Zum Inhalt springen
Produkte
Plattform
Developer Tools
Portal

Einführung

Security Groups fungieren als virtuelle Firewalls, die den eingehenden und ausgehenden Datenverkehr für Ihre Netzwerkressourcen in STACKIT steuern. Durch die Definition von Regeln auf Basis von IP-Adressen, Protokollen und Portbereichen ermöglichen Security Groups die Implementierung einer feingranularen Zugriffssteuerung auf Ebene der Netzwerkschnittstellen. Sie arbeiten auf Basis einer Allow-List mit dem Prinzip „Default Deny“, was bedeutet, dass der gesamte Datenverkehr blockiert wird, sofern er nicht explizit durch eine Regel erlaubt ist. Dieser zustandsorientierte (stateful) Filtermechanismus speichert Verbindungszustände und lässt Antwortdatenverkehr für bestehende Verbindungen automatisch zu.

Anwendungsfälle

Abschnitt betitelt „Anwendungsfälle“

Häufige Szenarien für den Einsatz von Security Groups sind:

  • Web-Applikationsserver: Erlauben Sie HTTP (80) und HTTPS (443) von jeder IP-Adresse sowie SSH (22) von spezifischen Management-IPs.
  • Datenbankserver: Erlauben Sie den Zugriff auf Datenbank-Ports (z. B. 3306 für MySQL, 5432 für STACKIT PostgreSQL) nur von den Security Groups der Applikationsserver.
  • Interne Dienste: Erlauben Sie Datenverkehr für die interne Kommunikation von Microservices nur zwischen Servern innerhalb derselben Security Group.
  • Mehrschichtige Architektur: Erstellen Sie separate Security Groups für die Web-Schicht, die Applikations-Schicht und die Datenbank-Schicht mit entsprechenden Regeln zwischen den Schichten.

Best Practices

Abschnitt betitelt „Best Practices“

Beachten Sie bei der Arbeit mit Security Groups die folgenden Empfehlungen:

  • Prinzip der minimalen Rechtevergabe (Least Privilege): Erlauben Sie nur den minimal erforderlichen Datenverkehr.
  • Nach Funktion organisieren: Erstellen Sie Security Groups basierend auf Serverrollen (Webserver, Datenbanken usw.), anstatt eine Security Group pro Server anzulegen.
  • Beschreibende Namen verwenden: Geben Sie Security Groups aussagekräftige Namen, die ihren Zweck und die Art der geschützten Server klar erkennen lassen.
  • Regelmäßige Audits: Überprüfen Sie Ihre Security-Group-Regeln regelmäßig, um sicherzustellen, dass sie noch Ihren Sicherheitsanforderungen entsprechen, und entfernen Sie unnötige Regeln.
  • Vermeiden Sie zu offene Regeln: Anstatt den Datenverkehr von 0.0.0.0/0 (jede IP) zuzulassen, beschränken Sie ihn nach Möglichkeit auf spezifische IP-Bereiche.
  • Mehrstufige Sicherheit: Verwenden Sie Security Groups in Kombination mit anderen Sicherheitsmaßnahmen wie NIC Security und Sicherheitskontrollen auf Applikationsebene.

Überlegungen

Abschnitt betitelt „Überlegungen“
  • Regeln für Security Groups treten sofort nach der Erstellung oder Änderung in Kraft.
  • Für die Nutzung von Security Groups fallen keine zusätzlichen Gebühren an.
  • Security Groups können nicht direkt auf Server angewendet werden. Sie müssen über Netzwerkschnittstellen angebunden werden.
  • Änderungen an Security Groups wirken sich gleichzeitig auf alle angebundenen Netzwerkschnittstellen aus.
  • IPv4- und IPv6-Regeln werden separat innerhalb derselben Security Group konfiguriert.
  • Sie können keine “Deny” Regeln erstellen – Security Groups arbeiten auf Basis einer Allow-List mit “Default Deny” Verhalten.