• Informacje podstawowe.

Grupy zabezpieczeń to nic innego jak reguły firewalla, za którymi schowane są nasze instancje. Zalecane jest ograniczanie ruchu do otwartych portów do konkretnych adresów IP. Otwarcie portu dla 0.0.0.0/0 spowoduje, że do takiego portu dostęp będą mieli wszyscy pracownicy PCSS.

Z pozycji grup zabezpieczeń możemy dowolnie sterować ruchem wychodzącym. Jeśli chodzi o ruch przychodzący to standardowo możemy zarządzać usługami, które działają na portach 80,443,22,3389,8080.

Jeśli potrzebujemy odblokować ruch przychodzący dla innych usług/portów to konieczne jest utworzenie zgłoszenia ServiceDesk  https://support.pcss.pl/servicedesk/customer/portal/5/create/147?q=firew&q_time=1685522254743

Po realizacji zgłoszenia należy dodać odpowiedni wyjątek w grupie zabezpieczeń dla instancji.

  • Dodanie grupy

Standardowo dostępna jest 1 grupa zabezpieczeń: default, która pozwala tylko na ruch wychodzący z instancji. Taką grupę można zmodyfikować, ale lepszym rozwiązaniem jest definiowanie nowych grup z wybranymi protokołami.

Aby dodać nową grupę należy:

  1. w panelu WWW wybrać z menu po lewej stronie Dostęp i bezpieczeństwo
  2. kliknąć Utwórz grupę zabezpieczeń'
  3. podać nazwę i opis (na potrzeby przykładu Simple-SSH)
  4. zatwierdzamy wprowadzone dane
  5. na liście pojawia się nowa grupa Simple-SSH. Dla nie wybieramy z menu opcję Zarządzaj regułami
  6. klikamy w przycisk Dodaj regułę
  7. na nowym ekranie możemy stworzyć własną regułę lub wybrać z listy zdefiniowanych. Wybieramy SSH
  8. w polu CIDR ograniczamy ruch do pojedynczego hosta lub podsieci
  9. zatwierdzamy wybór

New-sec-0.png

W analogiczny sposób możemy odblokować inne protokoły. Możliwe jest też stworzenie jednej grupy pod konkretną instancję z odblokowanymi kilkoma portami.

  • Skorzystanie z grupy

Grupy zabezpieczeń wskazujemy przy tworzeniu nowej instancji maszyny wirtualnej. Jeżeli zdefiniowaliśmy nowe grupy, to przy zakładaniu nowej instancji zostaną one wyświetlone w zakładce Dostęp i bezpieczeństwo:

New-sec-1.png

Nowa instancja może korzystać wielu grup jednocześnie.

Gdy chcemy dodać grupę do istniejącej już instancji wystarczy w menu instancji wybrać opcję Modyfikuj grupy zabezpieczeń i na wyświetlonym ekranie kliknąć + przy nowej grupie:

New-sec-2.png