1 группа безопасности: Группы допуска для работы на высоте, обучение выполнению работ на высоте для работников 1,2,3 групп допуска
Stiebel Eltron ZH 1 Группа безопасности
Stiebel Eltron ZH 1 Группа безопасностиЗащитная группа Stiebel Eltron ZH 1 представляет собой собранный в компактном корпусе необходимый набор из предохранительного и обратного клапанов и запорного вентиля. Возможно применение в комплексе с редукционным клапаном. Редуктор применяется в тех случаях, когда стабильный напор в трубопроводе превышает 0,48 МПа. Группа предназначена для защиты накопительных водонагревателей, емкостью 200…1000 литров, от гидравлических перегрузок, связанных как с резким увеличением напора в магистрали, так и с ростом давления в самом водонагревателе по причине перегрева воды.
Изделие ZH 1 используется совместно с соответствующими моделями водонагревателей фирмы Stiebel Eltron, а так же с некоторыми моделями фирмы AEG.
Конструкция и принцип действия
Корпус группы безопасности выполнен из латуни, устойчивой к разрушительному воздействию коррозии во влажных помещениях. В корпусе имеются специальные места, где располагаются защитный (предохранительный) клапан, клапан обратного хода, редукционный клапан. Сливное отверстие предохранительного клапана соединено с трубкой накопительной воронки. Эта трубка может удлиняться и позволяет воронке вращаться, что значительно облегчает адаптацию прибора в месте предполагаемой установки. Входные и выходные штуцеры имеют резьбовые соединения.
Редукционный клапан необходим для нормальной работы оборудования в условиях, когда напор в водопроводе превышает нормальный уровень в 4,8 атмосфер. Изначально он настроен так, что давление на выходе не превышает 4 атмосферы. С помощью имеющегося у него вентиля это давление можно корректировать.
Предохранительный клапан служит для непосредственного контроля над рабочим давлением в накопительной емкости водонагревателя и напором в подающем воду трубопроводе. Перегрев воды приводит к её расширению и, как следствие, увеличению давления. Чтобы это давление нормализовать, необходимо удалить излишки воды. Этим и занимается клапан. Как только с одной из контролируемых сторон давление превысит установленную на клапане величину сброса в 6 атмосфер, его мембрана приоткроется и выпустит излишки воды в сливную воронку.
Клапан обратного действия служит для того, чтобы не допустить потерю прогретой воды, а значит и затраченной энергии. Когда отключается вода или сильно падает её напор, создаются условия, при которых горячая вода из накопителя может вытечь в подающий трубопровод. Мембрана обратного клапана устроена так, что открывается только в одном направлении, позволяя воде двигаться только в сторону водонагревателя.
Монтаж
Группа безопасности Stiebel Eltron ZH 1 врезается в подающий трубопровод и крепится по средствам входного и выходного штуцеров с резьбовым соединением. Направление потока воды указано стрелкой на корпусе. Перед тем, как произвести монтаж необходимо как следует продуть или промыть входной трубопровод, так как посторонние твердые частицы могут привести к некачественной работе клапанов.
Система может быть установлена на горизонтальный или вертикальный трубопровод. Последний случай возможен, только при условии подачи воды снизу вверх. Возможен, так же и угловой монтаж. Предохранительный клапан имеет винтовое крепление и может поменяться местами с выходным штуцером, что может облегчить процесс размещения всего устройства.
Сливная воронка закрепляется на выходном отверстии предохранительного клапана при помощи обжимного резьбового соединения.
Производя монтажные работы по установке защитной системы Stiebel Eltron ZH 1, следует руководствоваться данными и рекомендациями, приведенными в технических документах к устройству.
Что из себя представляет работа на высоте 1 группа как оформить
Что такое работа на высоте 1 группа, каким нормативом регулируется, кому присваивается, с какой целью — об этих вопросах мы поговорим в данной статье.
С процессом оформления можно ознакомиться ТУТ.
Статья написана на основании Приказа 155н (изменение в Приказе 782н).
Как говорилось в прошлой статье, понятие о допуске к высотным работам в корне изменились с вступлением в силу Приказа 155н (от 28.03.2014 ред. от 17.06.2015, изменение в Приказе 782н от 01.01.2021).
Изменились не только ограничения по высоте (раньше допуск на высоту требовался от 1.3м и до 5м, сейчас же от 1.8м, и высшей точки нет), но и введены новые понятия как «группы».
Об одной из них, а точнее о первой, мы и поговорим.
Многие путают данное допущение с I группой по электробезопасности.
Нет, в них ничего общего даже близко нет. Если в электрике первую категорию присваивают сотрудникам, не имеющим непосредственного отношения к установке электрооборудования, то в «высоте» работник с данной категорией полноценный исполнитель.
В старых правилах тот, кто работал на высоте более 5м, считался «альпинистом». С выходом упомянутого норматива понятие «допуск к альпинистским работам» кануло в лету. По новым правилам работник, получивший первую группу, может лезть хоть на Эйфелеву башню.
А теперь давайте уточним, КОМУ необходимо ее присвоить.
В 2014 году, когда норматив только вступил в силу, предполагалось, что к группе I отнесут всех работников, кто будет выполнять свои обязанности с использованием канатного оборудования (как раньше альпинисты), но без применения люлек, подмостков, лесов, и других агрегатов и приспособлений.
Но оставался не решенным вопрос, куда девать спецов, выполнявших непосредственные обязанности на высоте более 5м с применением подъемных приспособлений (люльки, леса) или на крыше. Изначально предполагалось, что тем, кто будет работать с использованием подмостей, группу не присваивать вообще, и дать допуск до 5м. Поэтому в 2015 году внесли изменения в Приказ, и всех, кто работает с использованием подмостей свыше 5м, включили в первую категорию.
Давайте подытожим.
Группу I необходимо присвоить работникам, выполняющим работы на высоте свыше 5м с использованием приспособлений и агрегатов, а также спецам, использующим канатное оборудование, в составе бригады под присмотром старшего лица.
Хотя по факту никто этим присмотром не занимается (что приводит порой к непростительным последствиям). Банально «корочку» получили, наряд-допуск выписали (а иногда и такого не бывает) и вперед к «покорению вершины».
Как получить допуск для работы на высоте с первой (I) группой
О том, как решить данный вопрос, в том же самом приказе четко «русским по-белому» прописано (комиссия, программа обучения и т.д.). Но порой складывается впечатление, что подобные нормативы пишут для организаций, где сотрудников «вагон и маленькая тележка».
А вот фирмам, где работников «раз-два и обчелся» рекомендация одна — Учебный Центр.
Есть еще вариант обратиться к агенту (ссылка на условие оформления в начале статьи), но это только для опытных работников. Начинающих лучше все же усадить за парту, и пусть зубрят.
Специалистам, проводившим обучение, необходимо получить допуск с третьей группой, но это уже тема другой статьи.
Образец удостоверения с допуском к работе на высоте 1 группы
С внедрением Приказа, регулирующего высотные работы, позаботились и о внешнем виде «корочки».
В Приложении 4 прописали каким оно должно быть, представили примерный образец, указали, где и что прописывается, и где какие печати нужно ставить.
Но, как обычно, не все обращают внимание на мелкий шрифт под названием Приложения.
Приведенный в Приказе пример оформления удостоверения с допуском к работам на высоте I группы является примерным. Если руководителю предприятия и УЦ необходимо внести изменения, то он вправе это сделать (при наличии документальных обоснований).
Ниже я привел пример «корочки», выписываемой одним из учебных заведений, с которым у нас заключен договор на дистанционное обучение.
Но сразу оговорюсь — эталоном для других учебных центров не является!
Первая сторона
Вторая сторона
Также работнику выдают личную книжку (Образец в Приложении 5)
Ниже представлен образец 4 страниц. С остальными можете ознакомиться в самом приложении
Подведем итог.
Обсуждаемая категория — есть не что иное, как показатель того, в каких областях сотруднику можно доверять выполнение работ в той или иной области. Присваивается рабочему персоналу для работы с канатным оборудованием (альпинисты) или для выполнения работ на высоте более 5м с использованием специализированных машин и приспособлений.
P.S.
- 1.В удостоверении, где прописана группа, также прописывают и специальность, по которой работает человек.
К примеру, маляру для работы на высоте свыше 5 метров выдали «корочку», где прописано, что он маляр.
НО! Данное удостоверение не подтверждает то, что он действительно является маляром.
Это ДОПУСК МАЛЯРА К ВЫСОТНЫМ РАБОТАМ! И может быть использован ТОЛЬКО с основным удостоверением маляра. Т.е. удостоверение с допуском на высоту (в нашем случае с 1 группой) является ПРИ-ЛО-ЖЕ-НИ-ЕМ к основной корке.Если контролирующая инстанция потребовала документальное обоснование того, почему тот или иной человек «болтается» в люльке в известке и с кисточкой, вам необходимо будет предоставить и разрешение на высотные работы, и удостоверение маляра (естественно наряд-допуск, соответствующие журналы и т.д.).
- 2. В нормативе сказано, что работник, выполняющий поставленную задачу по 1 группе, должен работать под присмотром.
Что это значит?
А значит, что кто-то должен снизу, находясь на земле, контролировать его деятельность. И тот, кто контролирует, должен иметь группу 3 или 2 по наряду-допуску (тема следующей статьи).
Назад: Удостоверение на автопогрузчик | Далее: Допуск по пожарной безопасности
| Купить Группа безопасности котла в изоляции (корпус группы безопасности котла + предохранительный клапан 3 бар + воздухоотводчик + манометр + теплоизоляция), ВР 1″ (FAR FA2116) Вы всегда можете в нашем интернет-магазине FAR-Moscow.ru. Что бы заказать оригинальный группа безопасности котла итальянского производителя FAR Rubinetterie S.p.a. — Вам необходимо либо позвонить нам по телефонам (499) 519-03-69, либо написать на [email protected] и мы всегда проконсультируем Вас по подбору итальянской арматуры FAR. Группа безопасности котла в изоляции (корпус группы безопасности котла + предохранительный клапан 3 бар + воздухоотводчик + манометр + теплоизоляция), ВР 1″ (артикул ФАР FA 2116) базово отгружается нами по РФ транспортной компанией СДЭК или Деловые Линии три раза в неделю. Доставка Вашего заказа по Москве и Московской области иожет быть осуществена курьером, по Вашему желанию в не зависимости от суммы заказа.
Звоните нам по телефонам: (499) 519-03-69, 192-81-04 и наши специалисты по артматуре FAR ответят на все Ваши вопросы! Так же, Вы можете воспользоваться нашей формой обратной связи Консультация нашего специалиста! Уважаемые Пользователи! Убедительная просьба НЕ ОСУЩЕСТВЛЯТЬ каких-либо действий по оплате арматуры FAR, а также услуг по её доставке, до телефонного разговора со специалистом FAR-Moscow.ru в ходе которого будет окончательно определены артикул товара и срок поставки (в случае отсутствия на складе), а так же выбрана транспортная компания, которая будет осуществлять доставку и приблизительно определена стоимость услуг транспортной компании. |
| Купить Группа безопасности котла (корпус группы безопасности котла + предохранительный клапан 3 бар + воздухоотводчик + манометр), ВР 1″, без покрытия (FAR FA21151) Вы всегда можете в нашем интернет-магазине FAR-Moscow.ru. Что бы заказать оригинальный группа безопасности котла итальянского производителя FAR Rubinetterie S.p.a. — Вам необходимо либо позвонить нам по телефонам (499) 519-03-69, либо написать на [email protected] и мы всегда проконсультируем Вас по подбору итальянской арматуры FAR. Группа безопасности котла (корпус группы безопасности котла + предохранительный клапан 3 бар + воздухоотводчик + манометр), ВР 1″, без покрытия (артикул ФАР FA 2115 1) базово отгружается нами по РФ транспортной компанией СДЭК или Деловые Линии три раза в неделю. Доставка Вашего заказа по Москве и Московской области иожет быть осуществена курьером, по Вашему желанию в не зависимости от суммы заказа.
Звоните нам по телефонам: (499) 519-03-69, 192-81-04 и наши специалисты по артматуре FAR ответят на все Ваши вопросы! Так же, Вы можете воспользоваться нашей формой обратной связи Консультация нашего специалиста! Уважаемые Пользователи! Убедительная просьба НЕ ОСУЩЕСТВЛЯТЬ каких-либо действий по оплате арматуры FAR, а также услуг по её доставке, до телефонного разговора со специалистом FAR-Moscow.ru в ходе которого будет окончательно определены артикул товара и срок поставки (в случае отсутствия на складе), а так же выбрана транспортная компания, которая будет осуществлять доставку и приблизительно определена стоимость услуг транспортной компании. |
Группа безопасности котла Watts KSG 30 E (1″, 3 бар, до 50 кВт) 10005198
Артикул: 10005198- Изготовитель: Watts
Цена: 3345 руб
Доставка по г. Москве в пределах МКАД: 450 руб
РосТест. Гарантия низкой цены.
Группа безопасности Watts KSG 30 E защищает от превышения давления в системе, выполняет функцию отвода воздуха и газов, а также отображает информацию по давлению в системе на уровне манометра.
Аналогичные товары
Описание
Группа безопасности котла для защиты закрытых систем отопления до 50 кВт. Включает в себя предохранительный клапан с порогом срабатывания 3 бара, автоматический воздухоотводчик (с запорным клапаном) MKV10R и манометр MHR6 3/4¬3/8″, установленные на стальной консоли (с гальваническим покрытием). Подключение 1″ внутренняя резьба. Группа безопасности котла KSG 30/E применяется в закрытых системах водяного отопления мощностью до 50 кВт. В комплект входят предохранительный клапан, автоматический воздухоотводчик с запорным клапаном и манометр, смонтированные на консоли. Группа безопасности защищает от превышения давления в системе, выполняет функцию отвода воздуха и газов, а также отображает информацию по давлению в системе на уровне манометра.
Группа безопасности котла KSG 30/E
— рабочая температура от -10°С до 110°С.
— подключение 1″, внутренняя резьба.
— материал консоли: оцинкованная сталь.
— предохранительный клапан 1/2″.
— давление срабатывания 3 бар.
— автоматический воздухоотводчик MV 10R.
— производительность по отводу газов — 18 л/мин.
— манометр с диапазоном показаний 0 — 4 бар.
Технические характеристики
Тип группы безопасности — для котлов
Теплоизоляция — есть
Материал изготовления- сталь
Диаметр подключения, дюйм — 1″
Габариты, м 0.22 x 0.197 x 0.06
Вес Брутто, кг — 1.31
Качество товара
Наша компания закупает продукцию у крупных проверенных поставщиков.
Мы рады предложить Вам качественный оригинальный товар!
«ГидроТепло» — официальный продавец арматуры для котельного и отопительного оборудования по бренду Watts
новые правила и изменения с 2021 года (Приказ № 782н)
Приняты долгожданные изменения
Кому присвоить группу работ на высоте
С 1 января 2021 года нужно присваивать группу работ на высоте и тем, кто выполняет работы с применением средств подмащивания, если существует высокий риск падения с высоты. Это следует из п. 14 новых правил. Распределяйте работников по группам работ или примите решение не присваивать группу, исходите из отчета о проведении оценки профессиональных рисков.
Если в организации не проведена оценка профессиональных рисков, присваивайте группу работ на высоте в обязательном порядке, даже на работу на высоте со стремянки.
| Показатели | Работа с допустимым минимальным риском падения с высоты | Работа с высоким риском падения с высоты (при работе на средствах подмащивания или без этих средств) |
|---|---|---|
| Присвоение группы работ на высоте | Не требуется | Требуется |
| Выдача наряда-допуска | Не требуется | Требуется |
| Удостоверение | Прил. 1 | Прил. 3 |
| Где проводится первичное обучение | УЦ | УЦ |
| Где проводится периодическое обучение | У работодателя | УЦ |
| Периодичность | Устанавливается при необходимости самим работодателем | Не реже 1 раза в 3 года для 1-й, 2-й группы и не реже 1 раза в 5 лет для 3-й группы |
| Регламентирующий документ | Технологическая карта | План производства работ, план эвакуации и спасения, специализированный расчет нагрузки |
На какие работы оформить наряд-допуск
На работы с допустимым минимальным риском больше не нужно оформлять наряд-допуск. Что это за работы?
- Такие работы выполняются постоянным квалифицированным составом работников-исполнителей.
- Это периодически повторяющиеся работы, характеризуются постоянством места, условий и характера работ, средств коллективной защиты, являются частью технологического процесса.
Пример. К работам с допустимым минимальным риском можно отнести подъем на башенный кран машиниста. Он поднимается по огражденной лестнице с применением средств коллективной защиты. Этот подъем на высоту является частью технологии эксплуатации крана. Эти работы выполняются по технологическим картам. Разрабатывать для них план производства работ не требуется. Группа работникам не присваивается.
Если же работники выполняют работы с высоким риском, им присваивается группа работ на высоте и выдается удостоверение по форме согласно приложению 3, а удостоверение безгруппника дополнительно им получать не требуется.
Пример. Электромонтер линейных сооружений связи на своем шкафном районе устраняет обрыв, короткое замыкание. Этот работник закреплен за своим районом. Но если он будет выполнять работы с высоким риском, например в пролете пересечения с линией электропередачи или в зоне действия ВЛ, то нужно оформлять наряд-допуск и присваивать группу.
- В конце статьи в разделе «Шпаргалка» скачайте наряд-допуск на производство работ на высоте.
В конце статьи есть шпаргалка
Работа на высоте. Новые правила и изменения: как было и как стало
| Новшество | Ранее | Стало |
|---|---|---|
| Назначение ответственного руководителя работ по наряду-допуску | Мог не назначаться | Назначается обязательно. Проводит целевой инструктаж с членами бригады |
| Сертификация систем обеспечения безопасности и спасения | Подлежит обязательной сертификации на ТР ТС 019/2011 | Сертификации подлежит анкерное устройство |
| Установлены требования к технологической карте | Требования были только к ППР | Установлены конкретные требования к ППР и ТК (пп. 36-42 новых правил) |
| Специализированный расчет в ППР или ТК | Не требовался | Нужно рассчитать исходя из приложения 11 |
| Указание в наряде-допуске ссылок на ППР или ТК | Не требовалось | Следует или прописывать мероприятия, или сделать ссылку на ППР или ТК |
| Неблагоприятные климатические условия | Работа при ветре более 15 м/с, при тумане, дожде, снеге, обледенении запрещалась | Не запрещается, указываются меры безопасности в наряде-допуске, в таблице особые условия проведения работ |
| Работа с приставных лестниц с электро- и пневмоинструментом, работа над движущимися подвижными механизмами | Работа запрещалась | Не запрещается. Указываются меры безопасности в наряде-допуске, в таблице особые условия проведения работ |
| Указание опасных факторов | Перечень был общим | Теперь перечень указывается под конкретным видом работ |
| Леса | Появилось дополнительное требование в месте подъема работников на леса и подмости указывать еще и места расположения анкерных линий, угол наклона лестниц лесов должен быть не более 75° к горизонтальной поверхности, а наклон трапа должен быть не более 1 к 3 | |
| Люльки | Нельзя соединять 2 люльки в одну. Нельзя применять бочку с водой в качестве балласта. Допуск к лебедкам посторонних не разрешается. Нельзя использовать люльки при ветре более 10 м/с и при плохой видимости | |
| Лестницы и стремянки | Периодичность испытаний: 1 раз в 6 месяцев для деревянных и 1 раз в год для металлических лестниц. Нанести штамп с указанием номера, даты испытания и принадлежности к подразделению |
Где теперь проходить обучение работникам, выполняющим работы на высоте
Комментирует Наталья Герасименко, руководитель направления по охране труда в Контур.Школе:
«П. 17 новых Правил по охране труда при работе на высоте определено, что работники, выполняющие работы на высоте, должны знать и уметь применять безопасные методы и приемы выполнения работ на высоте, а также обладать соответствующими практическими навыками. Такие сотрудники с 1 января 2021 года не могут проходить обучение в заочной форме и исключительно с использованием электронного обучения и дистанционных технологий.
- Требуется обучение практическим навыкам, в том числе навыкам применения соответствующих СИЗ, их осмотру до и после использования.
- Возможно проводить заочное обучение для тех категорий сотрудников, которые непосредственно не выполняют работы на высоте, а назначаются работодателем ответственными за организацию и безопасное проведение работ на высоте, составление плана мероприятий по эвакуации и спасению работников при возникновении аварийной ситуации, выдают наряды-допуски, утверждают планы производства работ на высоте и технологические карты на производство работ на высоте, в том числе членов экзаменационных комиссий работодателей.
- Учитывайте, что к непосредственному выполнению работ на высоте таких сотрудников допускать нельзя».
Приглашаем на курсы обучения по работам на высоте по новым Правилам по охране труда при работе на высоте, утв. Приказом Министерства труда и социальной защиты РФ от 16.11.2020 № 782. Вы получите удостоверение и будете соответствовать 3 группе безопасности.
Шпаргалка
В шпаргалке собрана полезная информация из статьи:
-
Наряд‑допуск на производство работ на высоте 806.9 КБ
101 Советы и предложения по безопасности AWS, часть 3: Рекомендации по использованию групп безопасности в AWS
Это третья запись в нашей серии из 4 частей Советов и предложений по безопасности AWS, которая призвана помочь вам в развитии и укреплении безопасности вашей организации на основе проактивной комплексной стратегии безопасности.
На данный момент мы охватили:
Критические неправильные конфигурации AWS
Сегодня в центре внимания рекомендаций по использованию групп безопасности в AWS (а в последней части, части 4, мы рассмотрим рекомендаций по безопасности AWS) .
Лучшие практики использования групп безопасности в AWS
1. Группы безопасности являются центральным компонентом межсетевых экранов AWS.
«Amazon предлагает виртуальный брандмауэр для фильтрации трафика, проходящего через сегмент облачной сети; но способ управления межсетевыми экранами AWS немного отличается от подхода, используемого в традиционных межсетевых экранах. Центральным компонентом межсетевых экранов AWS является «группа безопасности», которую другие поставщики межсетевых экранов называют политикой (т.е., сборник правил). Однако есть ключевые различия между группами безопасности и традиционными политиками межсетевого экрана, которые необходимо понимать.
«Во-первых, в AWS в правиле нет« действия », указывающего, разрешен ли трафик или нет. Это связано с тем, что все правила в AWS положительны и всегда разрешают указанный трафик — в отличие от традиционных правил брандмауэра.
«Во-вторых, правила AWS позволяют указать источник трафика или пункт назначения трафика, но не оба в одном правиле.Для правил для входящего трафика есть источник, в котором указано, откуда идет трафик, но нет пункта назначения, указывающего, куда идти. Для исходящих правил все наоборот: вы можете указать место назначения, но не источник. Причина этого в том, что группа безопасности AWS всегда устанавливает неуказанную сторону (источник или место назначения, в зависимости от обстоятельств) в качестве экземпляра, к которому применяется группа безопасности.
«AWS позволяет гибко применять эти правила. Одиночные группы безопасности можно применять к нескольким экземплярам таким же образом, как вы можете применить традиционную политику безопасности к нескольким брандмауэрам.AWS также позволяет делать обратное: применять несколько групп безопасности к одному экземпляру, что означает, что экземпляр наследует правила от всех связанных с ним групп безопасности. Это одна из уникальных особенностей предложения Amazon, позволяющая создавать группы безопасности для определенных функций или операционных систем, а затем смешивать и сопоставлять их в соответствии с потребностями вашего бизнеса ».
— Avishai Wool, A Guide to AWS Security , Остров Инфосек; Твиттер: @InfosecIsland
2.Включите и настройте журналы потоков AWS VPC.
«Включите журналы потоков AWS VPC для вашего уровня VPC, подсети или ENI. Журналы потоков AWS VPC могут быть настроены для записи как принятых, так и отклоненных записей, проходящих через группы ENI и безопасности EC2, ELB и некоторых дополнительных сервисов. Эти записи журнала потока VPC можно сканировать, чтобы обнаруживать шаблоны атак, предупреждать об аномальных действиях и потоках информации внутри VPC, а также предоставлять ценную информацию для операций группы SOC / MS ».
— Хариш Ганесан, 27 рекомендаций по работе с группами безопасности веб-сервисов Amazon , 8 000 миль; Twitter: @ 8KMiles
3.Используйте текущие управляемые политики.
«Раньше были доступны только встроенные политики на основе идентификационных данных (IAM).
Управляемые политики появились позже. Таким образом, не все старые передовые практики облачных вычислений AWS, существовавшие в эпоху встроенных политик, могут быть применимы и в настоящее время. Поэтому рекомендуется использовать доступные сейчас управляемые политики. С помощью управляемых политик вы можете управлять разрешениями из центра, а не связывать их напрямую с пользователями. Это также позволяет вам правильно классифицировать политики и повторно использовать их.Обновление разрешений также становится проще, если одна управляемая политика прикреплена к нескольким пользователям. Кроме того, в управляемых политиках вы можете добавить до 10 управляемых политик для пользователя, роли или группы. Однако размер каждой управляемой политики не может превышать 5120 символов ».
— Jayashree Hegde, Аналитический центр AWS по облачной безопасности: 5 причин, почему следует подвергать сомнению свои старые методы , Botmetric;
4. Посмотрите на все группы безопасности, связанные с каждым экземпляром, чтобы получить полную картину того, что касается регулируемых данных.
«AWS четко настроен таким образом, чтобы вы могли просматривать каждую группу безопасности по очереди и проверять ее, чтобы вы могли просматривать правила, сравнивать их с корпоративными политиками и нормативными требованиями, чтобы увидеть, совпадают ли они. Таким образом, это простой и экономичный вариант.
Однако здесь есть два предостережения. Во-первых, у вас нет контекста, если вы посмотрите на отдельную группу безопасности отдельно. Вы даже не знаете, связаны ли с каждой группой безопасности какие-либо экземпляры — это может быть «свободно плавающее», что вполне возможно в AWS.
«Во-вторых, группы безопасности AWS можно смешивать и сопоставлять, поэтому вы можете иметь несколько групп безопасности, связанных с отдельными экземплярами или серверами. Чтобы по-настоящему понять ваше состояние безопасности, вам нужно посмотреть на все группы безопасности, связанные с каждым экземпляром. В противном случае у вас будет только частичное представление о том, какой трафик разрешен, а какой из экземпляров касается регулируемых данных ».
— Avishai Wool, Советы по правильному аудиту политик безопасности AWS , AlgoSec; Твиттер: @AlgoSec
5.Распределите группы безопасности по категориям.
«Разбивать группы безопасности по категориям — это хорошо. Например, все порты подключения к БД и веб-серверу в одной группе безопасности, все порты подключения мультимедиа в одной группе безопасности, все порты подключения сторонних производителей в одной группе безопасности и все порты для офиса в одной группе безопасности. Категоризация помогает вам эффективно управлять различными наборами соединений, чтобы вы не испортили свои группы безопасности всякий раз, когда вам нужно изменить некоторые вещи для определенного порта.”
— Чандан Мишра, 10 советов по защите вашего экземпляра EC2 на AWS с помощью групп безопасности , LinkedIn
6. Минимизируйте количество дискретных групп безопасности.
«Взлом учетной записи может происходить из различных источников, одним из которых является неправильная конфигурация группы безопасности. Минимизируя количество дискретных групп безопасности, предприятия могут снизить риск неправильной настройки учетной записи ».
— Сехар Саруккай, Блокировка в облаке: семь лучших практик для AWS , Cloud Security Alliance; Твиттер: @cloudsa
7.Используйте правильные соглашения об именах для ваших групп безопасности.
«Имейте надлежащие соглашения об именах для группы безопасности Amazon Web Services. Соглашение об именах должно соответствовать корпоративным стандартам. Например, он может иметь обозначение: «Регион AWS + код среды + тип ОС + уровень + код приложения»
.Имя группы безопасности — EU-P-LWA001
Регион AWS (2 символа) = EU, VA, CA и т. Д.
Экологический код (1 символ) = P-Production, Q-QA, T-testing, D-Development и т. Д.
Тип ОС (1 символ) = L-Linux, W-Windows и т. Д.
Уровень (1 символ) = W-Web, A-App, C-Cache, D-DB и т. Д.
Код приложения (4 символа) = A001
«Мы используем Amazon Web Services с 2008 года и за эти годы обнаружили, что управление группами безопасности в нескольких средах само по себе является огромной задачей.Правильные соглашения об именах с самого начала — это простая практика, но она сделает ваше путешествие в AWS управляемым ».
— Хариш Ганесан, Группы безопасности AWS — 27 рекомендаций по передовой практике , LinkedIn
8. Присоединяйте политики к группам, а не к отдельным пользователям.
«Рекомендуется прикреплять политики к группам, а не к отдельным пользователям. Если у отдельного пользователя есть политика, убедитесь, что вы понимаете, зачем этому пользователю политика.”
– Руководство по аудиту безопасности AWS , AWS; Твиттер: @awscloud
9. Не открывайте порты для 0.0.0.0/0, если это не требуется.
«Разрешение входящего доступа путем открытия портов для 0.0.0.0/0 в группах безопасности — самая распространенная ошибка, которую допускают профессионалы при инициализации ресурсов. В конечном итоге пользователи открывают свои облачные сети и подвергают свои облачные ресурсы и данные внешним угрозам ».
— Эяль Познер, Группы безопасности Amazon — 5 важных рекомендаций по составлению списка дел , Stratoscale; Твиттер: @Stratoscale
10.Предоставьте доступ из определенных групп безопасности Amazon EC2 или определенных IP-адресов для любого правила группы безопасности.
«Amazon Relational Database Service (Amazon RDS) имеет конфигурации групп безопасности, которые проверяются явным образом, и выдается предупреждение, если правило для группы безопасности предоставляет или вероятно предоставит чрезмерный доступ к вашей базе данных. Для любого правила группы безопасности рекомендуется предоставлять доступ только из определенных групп безопасности Amazon Elastic Compute Cloud (Amazon EC2) или с определенного IP-адреса.”
— Монали Гош, AWS Security Audit and Best Practices , Centilytics;
11. Создайте группу безопасности по умолчанию для новых экземпляров.
«Когда вы создаете новый экземпляр с помощью Salt, вам необходимо указать группу безопасности по умолчанию. Чтобы избежать нарушения безопасности, создайте группу по умолчанию, которая разрешает только SSH ».
– Рекомендации групп безопасности AWS , TrackIt; Твиттер: @TrackItCloud
12.Ограничьте доступ к группам безопасности EC2.
«Это предотвратит DoS-атаки, грубую силу и атаки типа« злоумышленник в середине ». Кроме того, назначьте свои политики и разрешения управления идентификацией и доступом (IAM) определенным ролям / группам, а не конкретным пользователям ».
— Сехар Саруккай, 10 способов защиты конфиденциальной информации на AWS , CyberScoop; Твиттер: @CyberScoopNews
13. Создайте отдельных пользователей IAM, затем назначьте их группам, а затем присоедините политики к группам.
«Вы всегда должны создавать отдельных пользователей IAM , добавлять их в группы IAM и присоединять политики IAM к этим группам. Политики определяют права группы , разрешающие или запрещающие доступ к ресурсам AWS. Когда они прикреплены к группам (а не к пользователям), они упрощают настройку политики, чтобы влиять на группу и всех соответствующих пользователей одновременно ».
— Евгений Гольдин, AWS IAM Best Practices , MinOps; Твиттер: @MinOpsInc
14.Создавайте группы безопасности вокруг точек доступа, а не конкретных ресурсов AWS.
«По возможности создавайте группы безопасности, ориентированные на точки доступа, а не на конкретные ресурсы AWS. Другими словами, создайте группу безопасности для IP-адресов, связанных с филиалом компании A, филиалом компании B и т. Д., А не группой безопасности, определяющей, какие IP-адреса могут иметь доступ к EC2_A, EC2_B и т. Д. Таким образом, вам нужно только обновить свой правила трафика в одном месте (например, если IP-адрес филиала компании A изменился, вам нужно только обновить группу безопасности филиала компании A вместо поиска в каждом EC2_A, EC2_B и т. д.группы безопасности и обновления правил дорожного движения в каждом месте, где появляется информация о филиале компании A) ».
— Джулия Стефан, Передовой опыт, советы и рекомендации по управлению архитектурой безопасности , DiamondStream; Твиттер: @ DiamondStream1
15. Будьте осторожны при использовании нескольких групп безопасности.
« Будьте осторожны с несколькими группами безопасности. Вы можете применить несколько групп безопасности к одному экземпляру EC2 или применить одну группу безопасности к нескольким экземплярам EC2.Системные администраторы часто вносят изменения в состояние портов; однако, когда несколько групп безопасности применяются к одному экземпляру, существует более высокая вероятность перекрытия правил безопасности. Например, группа безопасности A открыла порт 80 для всего Интернета. Тем временем группа безопасности B открыла порт 80 для одного IP-адреса. Если вы назначите эти две группы безопасности экземпляру EC2 и измените любую из них, могут возникнуть проблемы. Если вы удалите правила порта 80 из группы безопасности A, группа безопасности B все еще будет иметь порт 80 открытым.Эти ошибки легче обнаружить при небольшом количестве инстансов EC2 или групп безопасности. Чем больше число, тем труднее находить ошибки ».
— Руйхай Фанг, Stand Your Cloud: серия по защите AWS , Bishop Fox; Твиттер: @bishopfox
16. Используйте IAM для управления разрешениями на создание и управление группами безопасности, сетевыми ACL и журналами потоков.
«Вы можете использовать AWS Identity and Access Management, чтобы контролировать, кто в вашей организации имеет разрешение на создание и управление группами безопасности, сетевыми списками контроля доступа и журналами потоков.Например, вы можете предоставить это разрешение только администраторам сети, но не персоналу, которому нужно только запускать экземпляры. Для получения дополнительной информации см. Управление доступом к ресурсам Amazon VPC.
«Группы безопасности Amazon и сетевые списки контроля доступа не фильтруют трафик к локальным адресам канала (169.254.0.0/16) или от них или от них, а также к зарезервированным AWS IPv4-адресам — это первые четыре IPv4-адреса подсети (включая DNS-сервер Amazon адрес для VPC). Точно так же журналы потоков не фиксируют IP-трафик к этим адресам или от них.Эти адреса поддерживают следующие службы: службы доменных имен (DNS), протокол динамической конфигурации хоста (DHCP), метаданные экземпляра Amazon EC2, сервер управления ключами (KMS — управление лицензиями для экземпляров Windows) и маршрутизацию в подсети. Вы можете реализовать в своих экземплярах дополнительные брандмауэры, чтобы блокировать сетевое взаимодействие с локальными адресами канала ».
— Безопасность , AWS; Твиттер: @awscloud
17.Создайте группу безопасности для открытия баз данных на порту 3306, но не разрешайте доступ к Интернету в целом.
«Вы хотите создать группу безопасности AWS для баз данных, которая открывает порт 3306, но не разрешает доступ в Интернет в целом. Только для вашей группы безопасности веб-сервера, определенной AWS. Вы также можете решить использовать единый блок и группу безопасности, которая разрешает порт 22 (ssh) из Интернета в целом. Все ssh-соединения будут поступать через этот ящик, а внутренние группы безопасности (базы данных и группы веб-серверов) должны разрешать соединения только с портом 22 из этой группы безопасности.
«При настройке репликации вы будете создавать пользователей и предоставлять права. Вам нужно будет предоставить подстановочный знак «%» для обозначения имени хоста, так как ваш внутренний и внешний IP-адреса будут меняться каждый раз, когда сервер умирает. Это безопасно, поскольку вы предоставляете порт 3306 своего сервера базы данных только другим группам безопасности AWS, а не интернет-хостам.
«Вы также можете решить использовать зашифрованную файловую систему для точки подключения базы данных, резервных копий базы данных и / или всей файловой системы.Будьте особенно осторожны с наиболее конфиденциальными данными. Если этого требуют требования соответствия, выберите хранение очень конфиденциальных данных за пределами облака и безопасные сетевые соединения, чтобы включить их на страницы приложений ».
— Шон Халл, Развертывание MySQL на Amazon EC2 — 8 передовых методов , масштабируемые стартапы; Твиттер: @hullsean
18. Держите свои соглашения об именах в секрете.
«Для обеспечения глубокой безопасности убедитесь, что ваше соглашение об именах групп безопасности Amazon Web Services не требует пояснений, а также убедитесь, что ваши стандарты именования остаются внутренними.Пример: группа безопасности AWS под названием UbuntuWebCRMProd не требует пояснений для хакеров, что это производственный веб-уровень CRM, работающий в ОС ubuntu. Иметь автоматизированную программу, обнаруживающую группы безопасности AWS с помощью Regex Pattern, периодически сканирующей активы AWS SG для получения информации, раскрывающей имена, и оповещения SOC / Managed сервисных групп ».
— Хариш Ганесан, 27 рекомендаций по работе с группами безопасности веб-сервисов Amazon , облако, большие данные и мобильная связь; Твиттер: @ harish21g
19.Закройте ненужные системные порты.
«Экземпляры EC2 могут быть защищены с помощью« групп безопасности ». Это базовый брандмауэр, который позволяет вам открывать и блокировать сетевой доступ к вашему серверу EC2.
«Группы безопасности позволяют ограничивать входящие и исходящие соединения для определенных протоколов (UDP и TCP) для общих системных служб (HTTP, DNS, IMAP, POP, MYSQL и т. Д.), Ограниченных диапазонами IP-адресов, вашим IP-адресом или где-либо еще.
«На серверах Linux самыми распространенными службами являются SSH, HTTP, HTTPS и MySQL.Давайте посмотрим, как мы можем защитить доступ к этим сервисам с помощью групп безопасности EC2.
«Из консоли управления AWS мы можем добавлять и редактировать правила фильтрации группы безопасности. Посмотрим, как это сделать:
- Войдите в Консоль управления AWS.
- Щелкните в левом меню: Группы безопасности.
- Щелкните группу безопасности вашего экземпляра.
- Нажмите «Изменить», чтобы добавить новые правила или настроить существующие ».
— Крис Уиланд, Как защитить виртуальные серверы EC2 , ScaleScale; Твиттер: @scalescalehq
20.Регулярно посещайте свои группы безопасности, чтобы оптимизировать правила.
«Многие организации начинают свой переход к AWS из облака с переноса нескольких приложений, чтобы продемонстрировать мощность и гибкость AWS. Эта первоначальная архитектура приложения включает создание групп безопасности, которые контролируют сетевые порты, протоколы и IP-адреса, которые управляют доступом и трафиком к их виртуальному частному облаку AWS (VPC). Когда процесс построения архитектуры завершен и приложение полностью функционально, некоторые организации забывают повторно посетить свои группы безопасности, чтобы оптимизировать правила и помочь обеспечить соответствующий уровень управления и соответствия.Отсутствие оптимизации групп безопасности может привести к неоптимальной безопасности с открытыми портами, которые могут не понадобиться, или набором диапазонов исходных IP-адресов, которые шире, чем требуется ».
— Гай Денни, Как визуализировать и улучшить безопасность вашей сети путем добавления идентификаторов групп безопасности в журналы потоков VPC , AWS; Твиттер: @awscloud
21. Периодически проверяйте группы безопасности, чтобы выявлять группы, не соблюдающие установленные соглашения об именах.
«Периодически обнаруживайте, предупреждайте или удаляйте группы безопасности AWS, не соблюдающие строгие стандарты именования организации. Также имейте автоматизированную программу, делающую это как часть ваших операций SOC / Managed Service. Как только вы введете этот более строгий контроль, все будет автоматически согласовано ».
— Хариш Ганесан, 27 рекомендаций по работе с группами безопасности веб-сервисов Amazon , 8 000 миль; Twitter: @ 8KMiles
http — Какие группы безопасности создаются по умолчанию при первой настройке AWS EB?
Похоже, вы знаете, что такое группа безопасности: брандмауэр с отслеживанием состояния, который применяется к экземплярам EC2.
Когда вы вручную запускаете виртуальную машину EC2 из веб-консоли, AWS предоставит вам возможность повторно использовать существующую группу безопасности или создать новую. При создании нового правила по умолчанию используется SSH (порт 22), а имя группы безопасности по умолчанию — « launch-wizard- # ».
К сожалению, поскольку группа безопасности может использоваться несколькими экземплярами EC2, они не очищаются при удалении виртуальной машины. Поэтому, если вы удалили виртуальную машину, с которой был создан мастер запуска-1, она не удалит группу безопасности.
В «группу безопасности по умолчанию для VPC». Когда вы создаете свой VPC, вместе с ним создается группа безопасности по умолчанию. Когда экземпляры EC2 запускаются в подсети VPC, им будет назначена группа безопасности по умолчанию, если другая не указана. (http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#DefaultSecurityGroup).
Итак, что означает это правило, позволяющее ему разговаривать сам с собой? По умолчанию весь входящий трафик запрещен группой безопасности.Это входящее правило «разговаривать с самим собой» указывает, что если это правило назначено двум виртуальным машинам, им будет разрешено связываться друг с другом на всех портах. Следует ли использовать эту группу по умолчанию? Нет. Создайте уникальные группы безопасности, которые реализуют правило наименьших привилегий (открывайте нужные порты только для экземпляров, которым они нужны).
К сожалению, у меня мало опыта работы с эластичными бобовыми стеблями, поэтому здесь мой ответ сводится к предположениям. Из того немногого, что я играл с beanstalk, я напоминаю, что он создал вспомогательные ресурсы в вашем аккаунте.Похоже, это относится к вашему Elastic Load Balancer (ELB). Как указано в описании, когда Elastic Beanstalk необходимо запустить новую подсистему балансировки нагрузки, она будет использовать эту группу по умолчанию, если вы не укажете другую. Я считаю, что эта ссылка документирует, как вы это сделаете (http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.managing.elb.html).
Во всех случаях я бы не рекомендовал использовать группы безопасности по умолчанию в пользу индивидуальных правил брандмауэра, уникальных для потребностей безопасности этого экземпляра.
Можете ли вы изменить или удалить их?
- мастер запуска-1 : Да, вы можете удалить или изменить эту группу. Поскольку вы упомянули, что он не используется, идите вперед и уничтожьте его.
- по умолчанию : VPC привередлив в отношении некоторых ресурсов по умолчанию, которые он создает. Я проверил его на своей учетной записи и не могу его удалить. Вы, конечно, можете изменить его, но я бы рекомендовал вместо этого просто не использовать его.
- default_elb : Если я правильно помню, эластичный beanstalk использует облачную информацию для создания дополнительных ресурсов, таких как группа безопасности ELB.Вы можете изменить эту группу безопасности, но это создаст несоответствия между определением облачной информации и реальностью. По вашему конкретному вопросу вы можете изменить диапазон допустимых IP-адресов, но если вы пишете правила на частном IP-адресе, вы не сможете пересекать среды, если среды развернуты на отдельных VPC.
веб-сервисов Amazon — перемещение нескольких групп безопасности с одного VPC на другой
Как сказал @Chris, их нелегко переместить. Но вы можете получить подробный список своих SG.
Чтобы вывести список всех групп для данного VPC, вы можете использовать интерфейс командной строки describe-security-groups. Например
aws ec2 описать группы безопасности \
--filters Имя = vpc-id, Значения = vpc-0f3a07c98a37d224c
даст что-то из следующего (показаны не все):
{
"SecurityGroups": [
{
"Описание": "мастер запуска-1 создан 2020-07-01T12: 52: 42.308 + 08: 00 ",
"GroupName": "мастер запуска-1",
"IpPermissions": [
{
«FromPort»: 22,
«IpProtocol»: «tcp»,
"IpRanges": [
{
"CidrIp": "0.0,0.0 / 0 "
}
],
"Ipv6Ranges": [],
"PrefixListIds": [],
«ToPort»: 22, г.
«UserIdGroupPairs»: []
}
],
"OwnerId": "044050374169",
"GroupId": "sg-01a76edeabb0a8f69",
"IpPermissionsEgress": [
{
«IpProtocol»: «-1»,
"IpRanges": [
{
"CidrIp": "0.0,0.0 / 0 "
}
],
"Ipv6Ranges": [],
"PrefixListIds": [],
«UserIdGroupPairs»: []
}
],
"VpcId": "vpc-0f3a07c98a37d224c"
}
}
Это очень поможет воссоздать их в CloudFormation или использовать CLI в другом vpc.
AWS Security Groups против NACL
Во второй части серии блогов Cloud Network Security мы обсудим два метода защиты вашей сети с помощью Amazon Web Services: группы безопасности и списки управления доступом к сети (NACL). Оба типа ресурсов действуют как виртуальный брандмауэр для защиты вашей сети, и у них есть некоторые сходства. Например, группы безопасности и NACL используют наборы правил для входящего и исходящего трафика для управления трафиком к ресурсам и от них в VPC.
Однако группы безопасности и NACL работают на разных уровнях в VPC, имеют немного разные правила по умолчанию и не обрабатывают ответный трафик одинаково.
Итак, какой лучший способ защитить вашу сеть — группы безопасности или NACL?
На самом деле лучшим решением является реализация обоих типов ресурсов для блокировки вашей сети. Глубокая защита — это все, что связано с уровнями безопасности; группы безопасности и NACL — это два уровня, которые дополняют друг друга.
Но мы вернемся к этому через минуту. Во-первых, давайте быстро рассмотрим основы. Начнем с групп безопасности.
Что такое группа безопасности AWS?
В AWS группа безопасности контролирует трафик к или от экземпляра EC2 в соответствии с набором правил для входящего и исходящего трафика.Это означает, что он представляет безопасность на уровне экземпляра. Например, правило для входящего трафика может разрешить трафик с одного IP-адреса для доступа к экземпляру, в то время как правило для исходящего трафика может разрешить весь трафик покидать экземпляр.
Поскольку группы безопасности функционируют на уровне экземпляра VPC, каждая группа безопасности может применяться к одному или нескольким экземплярам, даже в подсетях. И каждый экземпляр должен быть связан с одной или несколькими группами безопасности. Если быть точным, группа безопасности связана с сетевым интерфейсом, подключенным к экземпляру, но мы не обсуждаем эту деталь для простоты.
При создании VPC AWS автоматически создает для него группу безопасности по умолчанию. Вы можете добавлять и удалять правила из группы безопасности по умолчанию, но вы не можете удалить саму группу безопасности.
Теперь давайте посмотрим на NACL.
Что такое AWS NACL?
В AWS сетевой ACL (или NACL) контролирует трафик в или из подсети в соответствии с набором правил для входящего и исходящего трафика. Это означает, что он представляет собой безопасность сетевого уровня.Например, правило для входящего трафика может запрещать входящий трафик с диапазона IP-адресов, а правило для исходящего трафика может разрешать весь трафик покидать подсеть.
Поскольку NACL функционируют на уровне подсети VPC, каждый NACL может применяться к одной или нескольким подсетям, но каждая подсеть должна быть связана с одним — и только одним — NACL.
При создании VPC AWS автоматически создает для него NACL по умолчанию. Вы можете добавлять и удалять правила из NACL по умолчанию, но вы не можете удалить сам NACL.
В чем разница?
Вы, безусловно, можете защитить свой VPC с помощью только групп безопасности. Поскольку для экземпляров требуются группы безопасности, вы все равно будете их использовать, так что вы также можете настроить их в соответствии со своими потребностями. А поскольку у групп безопасности и NACL так много общего, вы можете добиться одинаковых результатов с обоими. Но для практики глубокой защиты лучшим решением является использование обоих типов ресурсов в качестве виртуальных межсетевых экранов. Если вы правильно настроите их правила, они образуют очень эффективную комбинацию для фильтрации трафика к вашим экземплярам и от них.
Теперь, когда мы установили основы, давайте углубимся в то, что отличает группы безопасности и NACL, и, что более важно, как они работают вместе. Мы сосредоточимся на следующих ключевых областях:
- Как воспользоваться «порядком операций»
- Как они применяются к экземплярам
- Все, что вы хотели знать о правилах, но боялись спросить
- Как обрабатывается состояние
- Разделение обязанностей
Воспользовавшись «порядком операций»
Когда трафик входит в вашу сеть, он фильтруется NACL , прежде чем фильтруется группами безопасности.
Это означает, что трафик, разрешенный NACL, может быть разрешен или запрещен группой безопасности, а трафик, остановленный NACL, никогда не продвигается дальше.
Учитывая этот «порядок операций» при обработке входящего трафика, вот два примера реализации NACL и групп безопасности в тандеме:
Используйте детальные правила с NACL и позвольте группам безопасности управлять подключениями между VPC.
Например, если вы настраиваете NACL с детализированными правилами для управления входящим и исходящим трафиком, NACL могут взять на себя основную тяжесть работы по фильтрации трафика.Вы можете настроить NACL, чтобы разрешить входящий трафик HTTP и HTTPS с любого IP-адреса, запретить весь другой входящий трафик и разрешить весь исходящий трафик. В качестве другого примера вы можете разрешить входящий SSH-доступ (порт 22) с одного IP-адреса — вашего — и разрешить исходящий доступ через любой порт к тому же IP-адресу.
Между тем, вы можете настроить группу безопасности, чтобы разрешить входящий трафик от самой себя, обеспечивая связь между ресурсами. Или вы можете настроить группу безопасности, чтобы разрешать входящий и исходящий трафик из другой группы безопасности, что позволяет экземплярам в разных подсетях взаимодействовать друг с другом.
Устранение целых классов трафика с помощью NACL и использование детальных правил с группами безопасности.
В этом сценарии вы можете настроить NACL, чтобы запретить весь трафик от широкого диапазона IP-адресов к определенному протоколу и порту и позволить остальной части перейти к группе безопасности, которая может быть настроена для оценки входящего и исходящего трафика на более детальный уровень. NACL использует грубый подход к контролю трафика, оставляя группу безопасности фильтровать остальное через зубчатую гребенку.
Приложение для инстансов AWS EC2
Как мы упоминали ранее, группы безопасности работают на уровне экземпляра, тогда как NACL работают на уровне подсети.
Группы безопасности — это форма защиты required для экземпляров, потому что экземпляр должен быть связан хотя бы с одной группой безопасности. Вы не можете запустить экземпляр без него, и вы не можете удалить единственную оставшуюся группу безопасности из существующего экземпляра.
Однако конкретная группа безопасности применяется к экземпляру только в том случае, если пользователь намеренно связывает ее с экземпляром, либо во время запуска, либо после того, как экземпляр был создан.
NACL, с другой стороны, автоматически применяется ко всем экземплярам в подсети, с которой он связан. Это повышает безопасность при использовании вместе с группами безопасности. Например, если пользователь случайно связывает экземпляр с чрезмерно разрешающей группой безопасности, экземпляр все равно может быть защищен NACL.
NACL считаются необязательной формой защиты , например. Подсеть должна иметь NACL, но по умолчанию NACL настроен так, чтобы разрешать весь входящий и исходящий трафик.Напротив, группы безопасности по умолчанию заблокированы.
Говоря о правилах, давайте рассмотрим, как они работают как для групп безопасности, так и для NACL.
Правила для входящих и исходящих
Как оцениваются правила
И группы безопасности, и NACL имеют правила для входящего и исходящего трафика. Однако AWS оценивает все правила для всех групп безопасности, связанных с экземпляром, прежде чем принять решение, разрешить входящий или исходящий трафик. Применяется наиболее разрешающее правило, поэтому помните, что ваш экземпляр защищен ровно настолько, насколько надежно ваше самое слабое правило.
Напротив, AWS обрабатывает правила NACL по одному. У каждого правила NACL есть номер, и AWS начинается с правила с наименьшим номером. Если трафик соответствует правилу, правило применяется, и никакие другие правила не оцениваются. Если трафик не соответствует правилу, AWS переходит к оценке следующего правила подряд.
Разрешить или запретить правила
Правила группы безопасности неявно запрещены, что означает, что запрещается весь трафик, если это явно не разрешено входящим или исходящим правилом.Вы можете только добавлять или удалять «разрешающие» правила — вы не можете добавлять или удалять «запрещающие» правила, и в этом нет необходимости.
С другой стороны, с NACL вы можете добавлять или удалять «разрешающие» правила и «запрещать». Правило для входящего или исходящего трафика может явно разрешать или запрещать соответствующий трафик.
Группы безопасности по умолчанию, NACL по умолчанию
Когда вы создаете VPC, AWS автоматически создает для вас группу безопасности по умолчанию и NACL по умолчанию .
Вы также можете создавать собственные (не по умолчанию) группы безопасности и NACL по своему усмотрению.
Правила по умолчанию
Все группы безопасности и NACL — как стандартные, так и настраиваемые — поставляются с набором правил по умолчанию .
Этот набор правил по умолчанию различается в зависимости от того, применяется ли он к группе безопасности по умолчанию, настраиваемой группе безопасности или NACL. Давайте посмотрим на разницу.
Группы безопасности по умолчанию: Группа безопасности по умолчанию, созданная AWS, имеет одно правило для входящего трафика по умолчанию , разрешающее трафик от других экземпляров, связанных с той же группой безопасности.Правило позволяет экземплярам общаться друг с другом без необходимости выходить в Интернет.
Группы безопасностипо умолчанию, как и все группы безопасности, имеют одно правило для исходящего трафика по умолчанию , разрешающее весь исходящий трафик.
Настраиваемые группы безопасности: Когда вы создаете настраиваемую группу безопасности (не по умолчанию), она не имеет правил для входящих входящих событий по умолчанию.
Группы безопасности, созданные пользователями, как и все группы безопасности, имеют одно правило исходящего трафика по умолчанию , разрешающее весь исходящий трафик.
NACL по умолчанию: В отличие от групп безопасности, созданный AWS NACL по умолчанию имеет правила по умолчанию, которые разрешают весь входящий и исходящий трафик. Этот NACL по умолчанию имеет одно правило «разрешить все» и одно правило «запретить все» как для входящего, так и для исходящего трафика, всего четыре правила по умолчанию. Сначала обрабатываются разрешающие все правила. В правилах запретить все есть звездочка вместо номера, поэтому они не обрабатываются, если не соответствует ни одно другое правило.
В результате NACL по умолчанию разрешают весь входящий и исходящий трафик по умолчанию.
Пользовательские NACL: Когда вы создаете пользовательский (не используемый по умолчанию) NACL, он имеет одно правило запретить все как для входящего, так и для исходящего трафика, как и NACL по умолчанию. В правилах запретить все вместо номера стоит звездочка. Однако, в отличие от NACL по умолчанию, пользовательский NACL не имеет разрешающих всех правил, поэтому правило deny-all вместо этого соответствует трафику.
В результате настраиваемые NACL по умолчанию запрещают весь входящий и исходящий трафик.
Удаление правил
Вы можете удалить любое существующее правило для входящего или исходящего трафика в группе безопасности.
Напротив, вы можете удалить любое существующее правило в NACL , кроме для правил запретить все по умолчанию.
В любом случае конечный результат один — весь входящий и весь исходящий трафик запрещен.
Правила NACL, правила группы безопасности и вы
Правила группы безопасности и правила NACL могут выполнять одни и те же задачи и одинаково управлять трафиком. NACL по умолчанию разрешены для всех, поэтому, если вы решите оставить их такими, используйте группы безопасности для фильтрации трафика VPC.Однако наиболее безопасный подход — использовать NACL в качестве первой линии защиты, а затем настроить группы безопасности для обработки трафика, разрешенного из NACL. Вы можете сделать это, настроив одни и те же правила для групп безопасности и NACL.
Этот метод глубокой защиты способствует избыточности сети и снижает риск неправильной конфигурации, утечки данных и атак со стороны злоумышленников. Если NACL настроен неправильно, группа безопасности должна быть неправильно настроена таким же образом, чтобы пропустить трафик.Например, если правило NACL открывает порт 22 для всего мира, правило группы безопасности также должно открывать порт 22 для всего мира, чтобы неавторизованный трафик SSH мог пройти к экземпляру.
Состояние
Еще одно важное различие между группами безопасности и NACL заключается в том, применяют ли они правила на основе состояния соединения.
Группы безопасности с отслеживанием состояния; они автоматически разрешают обратный трафик независимо от установленных правил.Если ваш экземпляр отправляет запрос, соединение отслеживается и ответ принимается независимо от явных правил для входящих подключений. Если трафик разрешен в экземпляр, ответ разрешен независимо от явных исходящих правил.
NACL, с другой стороны, не имеют состояния. Если экземпляр в вашей подсети отправляет запрос, соединение не отслеживается, и ответ подчиняется правилам для входящих подключений NACL. Аналогичным образом, если в подсеть разрешен трафик, ответ оценивается в соответствии с правилами исходящего трафика.
На практике это означает, что правила NACL обычно идут парами. Для каждого входящего правила для NACL должно быть соответствующее исходящее правило, и наоборот.
Группам безопасности не нужны правила для оценки ответного трафика. Для оценки запросов необходимо только определить правила для входящих или исходящих сообщений, поскольку, если запрос разрешен, автоматически разрешается и его ответ.
Штат обычно не имеет большого значения при принятии решения о внедрении групп безопасности vs.NACL, потому что оба инструмента могут эффективно контролировать трафик. Основное различие в отношении состояния состоит в том, что с группами безопасности вы не можете разрешить трафик в одном направлении, но запретите ответ.
Например, если ваш источник находится за пределами экземпляра и он разрешен, вы не сможете отклонить ответ, потому что он автоматически вернется обратно. Если ваше состояние безопасности требует очень детального контроля для обработки трафика запросов и ответов, NACL больше подходят для этой задачи, потому что и запросы, и ответы оцениваются в соответствии с явными правилами.
С другой стороны, если у вас небольшая операция и вам не нужен трафик запросов и ответов, оцениваемый на таком детальном уровне, группами безопасности легче управлять, и для них требуется меньше правил, чем для NACL.
В конечном счете, оба метода действительны сами по себе — и даже лучше в сочетании.
Разделение обязанностей
Настройка групп безопасности и NACL способствует разделению обязанностей, что является еще одним передовым методом обеспечения безопасности.Поскольку группы безопасности и NACL работают на разных уровнях, вы можете гарантировать, что за них несут ответственность разные группы. Если в вашей организации есть группа для уровня сетевой безопасности и группа для уровня безопасности сервера, сетевые администраторы могут управлять NACL, а администраторы серверов могут управлять группами безопасности. Таким образом, одному члену группы намного сложнее поставить под угрозу оба уровня безопасности. Это также способ продвигать принцип безопасности наименьших привилегий, потому что обязанности разделены между командами.
Лучшее из обоих миров
Подведем итог тому, что мы узнали о группах безопасности и NACL:
Оба…
- Использование правил для входящего и исходящего трафика для управления трафиком
- Может применяться более чем к одному экземпляру (группа безопасности) или подсети (NACL)
- Может быть заблокирован, чтобы запретить весь трафик в любом направлении
- Допустимые методы защиты ресурсов в VPC
- Совместная работа по обеспечению избыточности сети и предотвращению несанкционированных действий
Короче говоря, группы безопасности и NACL могут использоваться для защиты вашей сети — по отдельности и вместе.При правильной настройке оба представляют собой эффективные способы защиты ресурсов в вашем VPC. Обратите внимание, что просто иметь эти ресурсы в вашей сети недостаточно; в конце концов, все сводится к тому, как вы их настраиваете. Ваш самый строгий брандмауэр защищен настолько, насколько безопасны его самые разрешающие правила. И все группы безопасности и все NACL в мире не могут защитить ваш экземпляр, если есть правило, разрешающее доступ к нему всему трафику из всех источников.
Общие сведения о группах безопасности Amazon — Часть 1
Обзор
Группа безопасности действует как виртуальный межсетевой экран, который контролирует трафик для одного или нескольких экземпляров.Вы можете добавить правила к каждой группе безопасности, которые разрешают трафик к связанным экземплярам или от них.
Группы безопасности связаны с сетевыми интерфейсами. При изменении групп безопасности экземпляра меняются группы безопасности, связанные с основным сетевым интерфейсом ( eth0 ).
Правила группы безопасности
Правила группы безопасности управляют входящим трафиком, которому разрешено достигать экземпляров, связанных с группой безопасности, и исходящим трафиком, которому разрешено выходить из них.
Ниже приведены характеристики правил группы безопасности:
- По умолчанию группы безопасности разрешают весь исходящий трафик .
- Правила группы безопасности всегда разрешающие; вы не можете создавать правила, запрещающие доступ.
- Группы безопасности с отслеживанием состояния — если вы отправляете запрос из своего экземпляра, ответный трафик для этого запроса может поступать независимо от правил группы безопасности для входящего трафика.
Для каждого правила вы указываете следующее:
| Протокол | Протокол, который нужно разрешить.Наиболее распространены протоколы 6 (TCP), 17 (UDP) и 1 (ICMP). |
| Диапазон портов | Для TCP, UDP или пользовательского протокола — разрешенный диапазон портов. Вы можете указать один номер порта (например, 22) или диапазон номеров портов (например, 7000-8000). |
| Тип и код ICMP | Для ICMP — тип и код ICMP. |
| Источник или место назначения | Источник (правила для входящего трафика) или пункт назначения (правила для исходящего трафика) для трафика. |
| (дополнительно) Описание | Описание правила. |
Источник или место назначения может быть одним из следующих вариантов:
- Индивидуальный адрес IPv4. Вы должны использовать префикс
/32. - Индивидуальный адрес IPv6. Вы должны использовать префикс
/128. - Диапазон адресов IPv4 в блочной нотации CIDR.
- Диапазон адресов IPv6 в блочной нотации CIDR.
- Идентификатор списка префиксов для сервиса AWS.
- Другая группа безопасности.
Использование другой группы безопасности в качестве источника или назначения позволяет экземплярам, связанным с указанной группой безопасности, получать доступ к экземплярам, связанным с этой группой безопасности.
Отслеживание подключений
Группы безопасности используют отслеживание соединений для отслеживания информации о трафике к экземпляру и от него. Правила применяются в зависимости от состояния подключения трафика, чтобы определить, разрешен или запрещен трафик.Это позволяет группам безопасности сохранять состояние — ответы на входящий трафик могут выходить из экземпляра независимо от правил группы безопасности для исходящего трафика, и наоборот. Например, если вы инициируете команду ICMP ping для своего экземпляра со своего домашнего компьютера, а правила группы безопасности входящего трафика разрешают трафик ICMP, информация о соединении (включая информацию о порте) отслеживается. Трафик ответа от экземпляра для команды ping отслеживается не как новый запрос, а как установленное соединение, и ему разрешается выходить из экземпляра, даже если правила вашей исходящей группы безопасности ограничивают исходящий трафик ICMP.
Отслеживаются не все потоки трафика. Если правило группы безопасности разрешает потоки TCP или UDP для всего трафика (0.0.0.0/0) и существует соответствующее правило в другом направлении, которое разрешает весь ответный трафик (0.0.0.0/0) для всех портов (0-65535) , то этот поток трафика не отслеживается. Таким образом, ответный трафик может проходить на основе правила для входящего или исходящего трафика, которое разрешает ответный трафик, а не на основе информации отслеживания.
ICMP-трафик отслеживается всегда, независимо от правил.Если вы удалите правило исходящего трафика из группы безопасности, то будет отслеживаться весь трафик к экземпляру и от него, включая трафик на порт 80 (HTTP).
Группы безопасности по умолчанию
Ваша учетная запись AWS автоматически имеет группу безопасности по умолчанию для VPC по умолчанию в каждом регионе. Если вы не укажете группу безопасности при запуске экземпляра EC2, экземпляр автоматически будет связан с группой безопасности по умолчанию для VPC.
Группа безопасности по умолчанию называется по умолчанию , и ей присвоен идентификатор, присвоенный AWS.Ниже приведены правила по умолчанию для группы безопасности по умолчанию:
- Разрешает весь входящий трафик от других экземпляров, связанных с группой безопасности по умолчанию (группа безопасности указывает себя в качестве исходной группы безопасности в своих правилах для входящего трафика).
- Разрешает весь исходящий трафик от экземпляра.
Пользовательские группы безопасности
Если вы не хотите, чтобы ваши экземпляры использовали группу безопасности по умолчанию, вы можете создать свои собственные группы безопасности и указать их при запуске экземпляров.Вы можете создать несколько групп безопасности, чтобы отразить разные роли, которые играют ваши экземпляры; например, веб-сервер или сервер базы данных.
Ниже приведены правила по умолчанию для создаваемой вами группы безопасности:
- Не разрешает входящий трафик.
- Разрешает весь исходящий трафик.
Ссылка на правила группы безопасности
Здесь можно найти справочник по настройке групп безопасности для конкретных случаев использования.
Пример группы безопасности CloudFormation
Следующий шаблон CloudFormation определяет группу безопасности, которая разрешает весь входящий HTTP- и HTTPS-трафик с любого IPv4-адреса или IPv6-адреса:
EC2SecurityGroup:
Тип: AWS :: EC2 :: SecurityGroup
Характеристики:
Имя группы:! Sub '$ {AWS :: StackName} -sg'
SecurityGroupIngress:
-! Ссылка EC2SecurityGroupIngressHttp
-! Ссылка EC2SecurityGroupIngressHttps
EC2SecurityGroupIngressHttp:
Тип: AWS :: EC2 :: SecurityGroupIngress
Характеристики:
CidrIp: 0.0,0.0 / 0
CidrIpv6: :: / 0
Описание: Разрешить доступ по протоколу HTTP.
FromPort: 80
GroupId:! GetAtt EC2SecurityGroup.GroupId
Протокол IP: 6
ToPort: 80
EC2SecurityGroupIngress https:
Тип: AWS :: EC2 :: SecurityGroupIngress
Характеристики:
CidrIp: 0.0.0.0/0
CidrIpv6: :: / 0
Описание: Разрешить доступ по протоколу HTTP.
FromPort: 443
GroupId:! GetAtt EC2SecurityGroup.GroupId
Протокол IP: 6
ToPort: 443 OpenStack Docs: управление безопасностью проекта
Группы безопасности — это наборы правил IP-фильтрации, которые применяются ко всем проектам. экземпляры, которые определяют сетевой доступ к экземпляру.Правила группы конкретный проект; участники проекта могут редактировать правила по умолчанию для своей группы и добавить новые наборы правил.
Все проекты имеют группу безопасности по умолчанию , которая применяется к любому экземпляру.
у которого нет другой определенной группы безопасности. Если вы не измените значение по умолчанию, это
группа безопасности запрещает весь входящий трафик и разрешает только исходящий трафик
ваш экземпляр.
Вы можете использовать опцию allow_same_net_traffic в /etc/nova/nova.conf , чтобы глобально контролировать, применяются ли правила к
хосты, которые совместно используют сеть.Возможны два значения:
-
True(по умолчанию) - Хосты в одной подсети не фильтруются и могут передавать все типы трафика между ними. В плоской сети это позволяет всем экземплярам из все проекты без фильтров. Благодаря сети VLAN это позволяет доступ между экземплярами в рамках одного проекта. Вы также можете смоделировать это настройка, настроив группу безопасности по умолчанию, чтобы разрешить весь трафик из подсеть.
-
Ложь - Группы безопасности применяются для всех подключений.
Кроме того, максимальное количество правил на группу безопасности контролируется security_group_rules и количество разрешенных групп безопасности на
проект контролируется квотой security_groups (см.
Управление квотами).
Список и просмотр текущих групп безопасности
Из командной строки вы можете получить список групп безопасности для проекта, используя команды openstack и nova :
Убедитесь, что системные переменные установлены для пользователя и проекта, для которого вы проверяют правила группы безопасности.Например:
экспорт OS_USERNAME = demo00 экспорт OS_TENANT_NAME = tenant01
Группы безопасности вывода, как показано ниже:
$ список групп безопасности openstack + -------------------------------------- + --------- + ------------- + | Id | Имя | Описание | + -------------------------------------- + --------- + ------------- + | 73580272-d8fa-4927-bd55-c85e43bc4877 | по умолчанию | по умолчанию | | 6777138a-deb7-4f10-8236-6400e7aff5b0 | открыть | все порты | + -------------------------------------- + --------- + ------------- +
Просмотрите следующие сведения о группе:
$ openstack список правил группы безопасности ИМЯ ГРУППЫ
Например:
$ openstack список правил группы безопасности открыт + -------------------------------------- + ---------- --- + ----------- + ----------------- + ---------------- ------- + | ID | IP-протокол | Диапазон IP | Диапазон портов | Группа удаленной безопасности | + -------------------------------------- + ---------- --- + ----------- + ----------------- + ---------------- ------- + | 353d0611-3f67-4848-8222-a92adbdb5d3a | udp | 0.0.0.0 / 0 | 1: 65535 | Нет | | 63536865-e5b6-4df1-bac5-ca6d97d8f54d | tcp | 0.0.0.0/0 | 1: 65535 | Нет | + -------------------------------------- + ---------- --- + ----------- + ----------------- + ---------------- ------- +
Эти правила являются правилами разрешенного типа, так как по умолчанию используется запретить. Первый столбец протокол IP (один из ICMP, TCP или UDP). Второй и третий столбцы укажите диапазон затронутых портов. В третьем столбце указан диапазон IP-адресов в Формат CIDR.В этом примере показан полный диапазон портов для всех протоколов. разрешено со всех IP-адресов.
Создать группу безопасности
При добавлении новой группы безопасности следует выбрать описательное, но краткое имя. Это имя отображается в кратких описаниях тех экземпляров, которые его используют, где в более длинном поле описания часто нет. Например, увидев, что экземпляр использование группы безопасности «http» намного легче понять, чем «bobs_group» или «secgrp1».
Убедитесь, что системные переменные установлены для пользователя и проекта, для которого вы создают правила группы безопасности.
Добавьте новую группу безопасности, как показано ниже:
$ openstack security group create GroupName --description Описание
Например:
$ openstack security group create global_http --description "Разрешает веб-трафик в любом месте Интернета." + ----------------- + ------------------------------- -------------------------------------------------- ----------------------------------------- + | Поле | Значение | + ----------------- + ------------------------------- -------------------------------------------------- ----------------------------------------- + | created_at | 2016-11-03T13: 50: 53Z | | описание | Разрешает веб-трафик в любом месте Интернета.| | заголовки | | | id | c0b92b20-4575-432a-b4a9-eaf2ad53f696 | | имя | global_http | | project_id | 5669caad86a04256994cdf755df4d3c1 | | project_id | 5669caad86a04256994cdf755df4d3c1 | | номер ревизии | 1 | | правила | created_at = '2016-11-03T13: 50: 53Z', direction = 'egress', ethertype = 'IPv4' ,, | | | project_id = '5669caad86a04256994cdf755df4d3c1', revision_number = '1', updated_at = '2016-11-03T13: 50: 53Z' | | | created_at = '2016-11-03T13: 50: 53Z', direction = 'egress', ethertype = 'IPv6' ,, | | | project_id = '5669caad86a04256994cdf755df4d3c1', revision_number = '1', updated_at = '2016-11-03T13: 50: 53Z' | | updated_at | 2016-11-03T13: 50: 53Z | + ----------------- + ------------------------------- -------------------------------------------------- ----------------------------------------- +
Добавьте новое правило группы, как показано ниже:
$ openstack security group rule create SEC_GROUP_NAME \ --protocol ПРОТОКОЛ --dst-port FROM_PORT: TO_PORT --remote-ip CIDRАргументы позиционные, а
от портаик портуаргументы определяют диапазон локальных портов, к которому разрешен доступ, а не порты источника и назначения соединения.Например:Правило группы безопасности $ openstack создать global_http \ --protocol tcp --dst-port 80:80 --remote-ip 0.0.0.0/0 + ------------------- + ----------------------------- --------- + | Поле | Значение | + ------------------- + ----------------------------- --------- + | created_at | 2016-11-06T14: 02: 00Z | | описание | | | направление | вход | | ethertype | IPv4 | | заголовки | | | id | 2ba06233-d5c8-43eb-93a9-8eaa94bc9eb5 | | port_range_max | 80 | | port_range_min | 80 | | project_id | 5669caad86a04256994cdf755df4d3c1 | | project_id | 5669caad86a04256994cdf755df4d3c1 | | протокол | tcp | | remote_group_id | Нет | | remote_ip_prefix | 0.0.0.0 / 0 | | номер ревизии | 1 | | security_group_id | c0b92b20-4575-432a-b4a9-eaf2ad53f696 | | updated_at | 2016-11-06T14: 02: 00Z | + ------------------- + ----------------------------- --------- +Вы можете создавать сложные наборы правил, создавая дополнительные правила. Например, если вы хотите передавать трафик HTTP и HTTPS, запустите:
Правило группы безопасности $ openstack создать global_http \ --protocol tcp --dst-port 443: 443 --remote-ip 0.0,0.0 / 0 + ------------------- + ----------------------------- --------- + | Поле | Значение | + ------------------- + ----------------------------- --------- + | created_at | 2016-11-06T14: 09: 20Z | | описание | | | направление | вход | | ethertype | IPv4 | | заголовки | | | id | 821c3ef6-9b21-426b-be5b-c8a94c2a839c | | port_range_max | 443 | | port_range_min | 443 | | project_id | 5669caad86a04256994cdf755df4d3c1 | | project_id | 5669caad86a04256994cdf755df4d3c1 | | протокол | tcp | | remote_group_id | Нет | | remote_ip_prefix | 0.0.0.0 / 0 | | номер ревизии | 1 | | security_group_id | c0b92b20-4575-432a-b4a9-eaf2ad53f696 | | updated_at | 2016-11-06T14: 09: 20Z | + ------------------- + ----------------------------- --------- +Несмотря на то, что выводится только новое добавленное правило, эта операция является аддитивной. (оба правила создаются и применяются).
Просмотрите все правила для новой группы безопасности, как показано ниже:
$ список правил группы безопасности openstack global_http + -------------------------------------- + ---------- --- + ----------- + ----------------- + ---------------- ------- + | ID | IP-протокол | Диапазон IP | Диапазон портов | Группа удаленной безопасности | + -------------------------------------- + ---------- --- + ----------- + ----------------- + ---------------- ------- + | 353d0611-3f67-4848-8222-a92adbdb5d3a | tcp | 0.0.0.0 / 0 | 80:80 | Нет | | 63536865-e5b6-4df1-bac5-ca6d97d8f54d | tcp | 0.0.0.0/0 | 443: 443 | Нет | + -------------------------------------- + ---------- --- + ----------- + ----------------- + ---------------- ------- +
Удалить группу безопасности
Убедитесь, что системные переменные установлены для пользователя и проекта, для которого вы удаляют группу безопасности.
Удалите новую группу безопасности следующим образом:
$ openstack группа безопасности удалить ИМЯ ГРУППЫ
Например:
$ openstack группа безопасности удалить global_http
Создать правила группы безопасности для кластера экземпляров
Группы источников — это особый, динамический способ определения CIDR разрешенных источники.Пользователь указывает исходную группу (имя группы безопасности) и все выбираются другие экземпляры пользователя, использующие указанную исходную группу динамически. Это устраняет необходимость в индивидуальных правилах, позволяющих каждому новому член кластера.
Обязательно установите системные переменные для пользователя и проекта, для которого вы создают правило группы безопасности.
Добавьте группу источников следующим образом:
Правило группы безопасности $ openstack создать secGroupName \ --remote-group source-group --protocol ip-протокол \ --dst-порт из-порта: в-портНапример:
правило группы безопасности openstack создать кластер \ --remote-group global_http --protocol tcp --dst-port 22:22Кластер
Правилоразрешает доступ по SSH из любого другого экземпляра, который используетglobal_httpгруппа.
Создание дополнительных групп безопасности :: AWS Application Migration Workshop
Создание групп безопасности для вашего VPC
В консоли AWS Console перейдите к Services и выберите VPC . На левой панели нажмите Группы безопасности в разделе Безопасность, а затем Создать группу безопасности .
1. Создайте группу безопасности балансировщика нагрузки
Введите следующие параметры для группы безопасности
| Имя группы безопасности | Описание | VPC |
|---|---|---|
| LB-SG | Группа безопасности балансировщика нагрузки | TargetVPC |
Прокрутите вниз и в разделе Inbound rules добавьте HTTP и HTTPS-доступ из Anywhere , чтобы разрешить пользователям доступ к веб-сайту.
| Тип | Протокол | Источник |
|---|---|---|
| HTTP | TCP | Где угодно |
| HTTPS | TCP | Где угодно |
Нажмите кнопку Создать группу безопасности , чтобы создать группу безопасности.
2. Создание группы безопасности задачи службы эластичного контейнера
Перейдите на экран Группы безопасности , щелкните Создать группу безопасности и введите следующие значения.
| Имя группы безопасности | Описание | VPC |
|---|---|---|
| ECS-Tasks-SG | Разрешить обмен данными между LB и задачами ECS | TargetVPC |
Прокрутите вниз до Входящие правила и разрешите обмен данными между Load Balancer и задачами ECS (выберите группу безопасности LB-SG из раскрывающегося списка Источник ).
| Тип | Протокол | Источник |
|---|---|---|
| Все TCP | TCP | На заказ> LB-SG |
Нажмите кнопку Создать группу безопасности , чтобы создать группу безопасности.
3. Создание группы безопасности эластичной файловой системы
Перейдите на экран Группы безопасности , щелкните Создать группу безопасности и введите следующие значения.
| Имя группы безопасности | Описание | VPC |
|---|---|---|
| EFS-SG | Разрешить обмен данными между задачами ECS и EFS | TargetVPC |
Прокрутите вниз до раздела Правила для входящих событий и разрешите обмен данными между задачами ECS и Amazon EFS.Доступ веб-сервера к EFS временно включен, чтобы можно было смонтировать том EFS и скопировать статические файлы веб-приложения (вы отмените его позже).
| Тип | Протокол | Источник |
|---|---|---|
| NFS | TCP | Пользовательский> ECS-Tasks-SG |
| NFS | TCP | Пользовательский> WebServer SG |
Нажмите кнопку Создать группу безопасности , чтобы создать группу безопасности.
4. Измените существующие группы безопасности базы данных
Перейдите на экран Security Groups и измените группу безопасности базы данных (DB-SG), чтобы разрешить входящий TCP-трафик на порт 3306 (порт MySQL) от ECS-Tasks-SG к целевой базе данных (у вас уже должны быть правила inboud для Веб-сервер и экземпляр репликации есть),
| Тип | Протокол | Источник |
|---|---|---|
| MySQL | TCP | Пользовательский> ECS-Tasks-SG |
