Сокращения:
Security Groups - SG;
Группа безопасности - ГБ;
Virtual Network - VN;
Узел виртуализации - УВ;
Виртуальная машина - ВМ;


Группы безопасности (Security Groups) - инструмент для установки ограничения маршрутизации.
Использует возможности штатного инструмента iptables, который является стандартным механизмом управления работой межсетевого экрана (брандмауэра) на узле виртуализации.


Группы безопасности можно настроить с помощью web-интерфейса в ПК СВ "Брест" при условии, что у пользователя имеются права доступа для редактирования соответствующего раздела:

  • если пользователь состоит в группе администраторов brestadmins, то он по умолчанию имеет необходимый доступ для редактирования;
  • пользователь должен состоять в группе, в правах которой должен быть установлен параметр просмотра Security Groups:

  • в правах самой Security Groups должны быть выставлены параметры редактирования и просмотра для группы, в которой состоит пользователь:

Раздел Security Groups располагается слева в раскрывающемся меню "Network", пункт "Security Groups":

При переходе в раздел Security Groups становится доступна панель управления группами безопасности:

  • Кнопка "Плюс" - добавить ГБ;
  • Круговые стрелки - обновить список ГБ;
  • Update - редактирование (активно при выделении ГБ);
  • Clone - клонирование (активно при выделении ГБ);
  • Commit - применение ГБ, применение по-умолчанию выполняется после редактирования ГБ (активно при выделении ГБ);
  • Силуэт - смена владельца или группы (активно при выделении ГБ);
  • Бирка - добавить метку (активно при выделении ГБ);
  • Мусорная корзина - удалить ГБ (активно при выделении ГБ).


Ниже панели управления располагается список доступных ГБ: 

  • ID - номер ГБ, используется в правилах iptables и templates;
  • Name - наименование ГБ;
  • Owner - владелец ГБ;
  • Group - группа ГБ.


ГБ с ID "0" и Name "default" является группой по-умолчанию и в своих правилах не имеет ограничения прохождения трафика.

ВАЖНО!

При создании новой виртуальной сети, ГБ "default" добавляется автоматически после создания! Если необходимо, отключите её в настройках виртуальной сети.


Создание ГБ:

Нажмите кнопку с зелёным плюсом и переходите к созданию новой ГБ.

  • ID присваивается автоматически после создания, согласно последовательному счетчику;
  • Name - введите имя для дальнейшего удобного использования;
  • Description - поле для произвольного описания ГБ.

Секция Rules (пространство добавления правил маршрутизации) содержит следующие настройки:

  • Traffic Direction (INbound, OUTbound) - входящее или исходящее направление трафика;
  • Protocol - протокол сетевого пакета, к которому будут применяться правила;
  • Port range (TCP, UDP) - в правилах есть возможность выбрать весь пул портов (all) или указать конкретный порт, диапазон портов или скомбинировать по необходимости (22,80,443,1000:2000,123);
  • Target Network - позволяет выбрать для использования один из 3 режимов работы правила по отношению к сети:
    • Any network - используется по-умолчанию, работает со всеми типами Virtual Network, кроме "Bridged";
    • Manual network - есть возможность вручную задать правило для конкретного адреса подсети или диапазона адресов (важно, чтобы адресное пространство совпадало с адресным пространством Virtual Network);
    • OpenNebula Virtual Network - предоставляется список ранее созданных VN и правила работают исключительно только внутри выбранной VN;
  • Add rule - добавляет правило маршрутизации с ранее выбранными параметрами в список.

После окончания создания ГБ, необходимо нажать кнопку "Create".
Если необходимо редактировать ГБ, выделите её в списке и нажмите "Update", после внесения изменения подтвердите изменения повторным нажатием "Update". Правила применяются сразу после применения изменения.

SG можно применить во время редактирования в разделе Security к таким объектам, как Virtual Network, прикреплённому сетевому интерфейсу ВМ, выбрать заранее в настройках виртуального интерфейса шаблона ВМ.

Важно помнить:
SG, прикрепленные к VN во вкладке "Network" будут прописаны на всех ВМ, где используется эта VN;
Правила SG прописываются в iptables узла виртуализации только при условии размещения ВМ на этом узле, проверить наличие правил SG в iptables узла виртуализации можно командой через терминал

sudo iptables-save
BASH

До внесения изменений группами безопасности в iptables узла виртуализации:

 После изменения и внесения правил в iptables узла виртуализации:


                    

Security Group имеет уязвимость во время миграции ВМ между узлами виртуализации!

Во время миграции ВМ между УВ, сначала переносится ВМ, а затем прописываются правила iptables на тот узел, куда мигрировала ВМ, в этот момент появляется возможность установить established соединение и поддерживать его до прерывания.