Konzepte

Konzept

STACKIT Security Groups fungieren als virtuelle Firewalls, die den Netzwerkverkehr zu und von Ihren STACKIT Server-Instanzen steuern. Sie dienen als Schutzschicht auf Ebene der Netzwerkschnittstelle und ermöglichen es Ihnen, granulare Regeln zu definieren, die festlegen, welcher Datenverkehr Ihre Server erreichen darf (Ingress) und welchen Datenverkehr Ihre Server senden dürfen (Egress).

Allgemein

Security Groups bieten eine flexible und wiederverwendbare Möglichkeit, die Netzwerksicherheit über Ihre STACKIT-Infrastruktur hinweg zu verwalten. Wenn Sie eine Security Group erstellen, definieren Sie einen Satz von Regeln, die den Datenverkehr basierend auf IP-Protokollen, Ports und IP-Adressen steuern. Diese Gruppen können gleichzeitig auf Netzwerkschnittstellen mehrerer Server-Instanzen angewendet werden, was es einfach macht, konsistente Sicherheitsrichtlinien in Ihrer gesamten Umgebung aufrechtzuerhalten.

Herausragende Merkmale von Security Groups:

• Wiederverwendbarkeit: Eine einzelne Security Group kann an mehrere Netzwerkschnittstellen (NICs) angehängt werden, sodass Sie dieselbe Sicherheitsrichtlinie auf viele Server gleichzeitig anwenden können.
• Dynamische Updates: Wenn Sie die Regeln einer Security Group ändern, werden die Änderungen automatisch und sofort auf alle angehängten Netzwerkschnittstellen angewendet.
• Stateful Operation: Security Groups können zustandsabhängig (stateful) sein. Das bedeutet: Wenn Sie ausgehenden Datenverkehr zulassen, wird der Antwortverkehr automatisch zugelassen, unabhängig von den Ingress-Regeln.
• Unterstützung mehrerer Protokolle: Konfigurieren Sie Regeln für sowohl IPv4- als auch IPv6-Datenverkehr, wobei verschiedene Protokolle einschließlich TCP, UDP und ICMP unterstützt werden.

Security-Regeln

Die Regeln einer Security Group definieren, welcher Datenverkehr zugelassen oder abgelehnt wird. Jede Regel spezifiziert Folgendes:

• Richtung: Ob die Regel für eingehenden Datenverkehr (Ingress) oder ausgehenden Datenverkehr (Egress) gilt.
• IP-Protokoll: Das Netzwerkprotokoll (TCP, UDP, ICMP oder ein beliebiges Protokoll).
• Portbereich: Der spezifische Port oder Portbereich, der von der Regel betroffen ist (für TCP/UDP).
• Quelle/Ziel: IP-Adressen oder CIDR-Blöcke, auf die sich die Regel bezieht.

Standardverhalten

Wenn Sie eine neue Security Group erstellen, enthält diese eine Standard-Sicherheitsrichtlinie:

• Egress (Ausgehend): Standardmäßig ist der gesamte ausgehende Datenverkehr erlaubt.
• Ingress (Eingehend): Standardmäßig wird der gesamte eingehende Datenverkehr blockiert, mit einer wichtigen Ausnahme: Datenverkehr von Instanzen innerhalb derselben Security Group ist zulässig.

Die standardmäßige „Deny-all“-Ingress-Richtlinie stellt sicher, dass Ihre Server geschützt bleiben, bis Sie explizit bestimmten Datenverkehr zulassen. Dieser „Deny-by-Default“-Ansatz verhindert die versehentliche Freigabe von Diensten im Internet und hilft, ein hohes Sicherheitsniveau aufrechtzuerhalten.

Ingress-Regeln

Ingress-Regeln steuern den eingehenden Datenverkehr zu Ihren Servern. Sie müssen explizit Ingress-Regeln erstellen, um Folgendes zu erlauben:

• Externer Zugriff auf Ihre Anwendungen (z. B. HTTP/HTTPS-Verkehr auf den Ports 80/443).
• Management-Zugriff (z. B. SSH auf Port 22 oder RDP auf Port 3389).
• Benutzerdefinierter Anwendungsdatenverkehr auf spezifischen Ports.
• Datenverkehr von bestimmten IP-Adressen oder -Bereichen.

Egress-Regeln

Egress-Regeln steuern den ausgehenden Datenverkehr von Ihren Servern. Standardmäßig gibt es eine Regel, die den gesamten Egress-Datenverkehr zulässt. Sie können restriktive Egress-Regeln erstellen, um:

• Ausgehende Verbindungen auf bestimmte Ziele zu beschränken.
• Zu steuern, welche Protokolle und Ports Ihre Server für die ausgehende Kommunikation nutzen dürfen.
• Sicherheitsrichtlinien zu implementieren, die den Abfluss von Daten (Data Exfiltration) einschränken.

Regelauswertung

Security Groups bewerten den Datenverkehr basierend auf allen konfigurierten Regeln:

• Wenn eine beliebige Regel den Datenverkehr explizit zulässt, wird er gestattet.
• Wenn keine Regel den Datenverkehr zulässt, wird er abgelehnt (Standard-Deny).
• Regeln werden gleichzeitig und nicht in einer bestimmten Reihenfolge ausgewertet.

Integration mit Netzwerkschnittstellen

Security Groups werden über Netzwerkschnittstellen (NICs) auf Server-Instanzen angewendet. Jede NIC kann mehrere angehängte Security Groups haben, wobei die Regeln aller angehängten Security Groups kombiniert werden:

• Sie können mehrere Security Groups an eine einzelne NIC anhängen.
• Alle Regeln der angehängten Security Groups werden aggregiert und angewendet.
• Wenn eine Security Group den Datenverkehr zulässt und eine andere ihn nicht erwähnt, wird der Datenverkehr zugelassen (permissiver Ansatz).

Um Security Groups mit einer Netzwerkschnittstelle zu verwenden, muss die NIC-Security aktiviert sein. Dies ist die Standardeinstellung beim Erstellen einer neuen NIC.