FAQ
Wir möchten unseren Kunden die Informationen zur Verfügung stellen, die sie benötigen, um Security Groups optimal zu nutzen. Dieser FAQ-Bereich beantwortet häufig gestellte Fragen. Dies hilft Ihnen, schnell Lösungen zu finden und Ihre Erfahrung zu verbessern. Wir empfehlen Ihnen, diese FAQ zu lesen, bevor Sie unser Support-Team kontaktieren, da Sie hier möglicherweise bereits die Antwort auf Ihre Frage finden.
-
Allgemeine Informationen
Was ist das Standardverhalten von Security Groups?
Wenn Sie eine neue Security Group erstellen, enthält diese eine Standard-Sicherheitsrichtlinie:
- Egress (Ausgehend): Der gesamte ausgehende Datenverkehr ist standardmäßig zulässig.
- Ingress (Eingehend): Der gesamte eingehende Datenverkehr ist standardmäßig blockiert, mit einer Ausnahme: Datenverkehr von Instanzen innerhalb derselben Security Group ist automatisch zulässig.
Dieser “Deny-by-Default” Ansatz stellt sicher, dass Ihre Server geschützt bleiben, bis Sie explizit bestimmten Datenverkehr zulassen.
Kann ich mehrere Security Groups an einen einzelnen Server anhängen?
Ja. Sie können mehrere Security Groups an ein einzelnes Network Interface (NIC) anhängen. Die Regeln aller angehängten Security Groups werden aggregiert und gemeinsam angewendet. Wenn eine Security Group Datenverkehr zulässt und eine andere ihn nicht erwähnt, wird der Datenverkehr zugelassen (permissiver Ansatz).
Wie wende ich Security Groups auf meine Server an?
Security Groups können nicht direkt auf Server angewendet werden. Sie müssen an Netzwerk-Schnittstellen (NICs) angehängt werden, welche wiederum mit Ihren Server-Instanzen verknüpft sind. Um Security Groups zu nutzen, muss die NIC-Security auf der Netzwerk-Schnittstelle aktiviert sein. Dies ist die Standardeinstellung beim Erstellen einer neuen NIC.
Werden Änderungen an Security-Group-Regeln sofort wirksam?
Ja. Wenn Sie die Regeln einer Security Group ändern, werden die Änderungen automatisch und sofort auf alle verbundenen Netzwerkschnittstellen angewendet. So lassen sich Sicherheitsrichtlinien für mehrere Server gleichzeitig auf einfache Weise aktualisieren.
Kann ich eine Security Group für mehrere Server wiederverwenden?
Ja. Eine einzelne Security Group kann an mehrere Netzwerkschnittstellen angehängt werden, sodass Sie dieselbe Sicherheitsrichtlinie gleichzeitig auf viele Server anwenden können. Dies macht es einfach, konsistente Sicherheitsrichtlinien in Ihrer Umgebung beizubehalten.
Welche Protokolle werden von Security Groups unterstützt?
Security Groups unterstützen verschiedene Protokolle, darunter TCP, UDP, ICMP und benutzerdefinierte Protokolle. Sie können Regeln sowohl für IPv4- als auch für IPv6-Traffic konfigurieren.
Kann ich "Deny"-Regeln in Security Groups erstellen?
Nein. Security Groups arbeiten auf Basis einer Allow-Liste mit einem “Default Deny” Verhalten. Sie können keine expliziten „Deny“-Regeln erstellen. Der gesamte Datenverkehr wird standardmäßig blockiert, es sei denn, Sie erstellen eine Regel, die ihn explizit zulässt.
Wie werden Security Group Regeln ausgewertet?
Regeln werden gleichzeitig und nicht in einer bestimmten Reihenfolge ausgewertet. Wenn eine Regel den Datenverkehr explizit zulässt, wird er gestattet. Wenn keine Regel den Datenverkehr zulässt, wird er verweigert. Freizügigere Regeln haben Vorrang, wenn mehrere Security Groups an denselben NIC angehängt sind.
Fallen für die Nutzung von Security Groups Gebühren an?
Nein. Für die Nutzung von Security Groups in STACKIT fallen keine zusätzlichen Gebühren an.
Unterstützen Security Groups IPv6?
Ja. Security Groups unterstützen sowohl IPv4- als auch IPv6-Traffic. IPv4- und IPv6-Regeln werden jedoch separat innerhalb derselben Security Group konfiguriert.
Was passiert mit dem Datenverkehr zwischen Servern in derselben Security Group?
Standardmäßig können Server innerhalb derselben Security Group frei miteinander kommunizieren. Diese Ausnahme von der standardmäßigen Deny-Ingress-Policy ermöglicht die interne Kommunikation zwischen zugehörigen Diensten, ohne dass explizite Regeln erforderlich sind.
Kann ich Security Groups für Tiered-Architecture verwenden?
Ja. Security Groups sind ideal für die Implementierung von Tiered-Architectures. Sie können separate Security Groups für verschiedene Tiers (Web-Tier, Applikations-Tier, Datenbank-Tier) erstellen und entsprechende Regeln konfigurieren, um den Traffic-Fluss zwischen ihnen zu steuern.
Was ist der Unterschied zwischen Security Groups und NIC Security?
NIC Security ist eine Funktion, die auf einem Network Interface aktiviert sein muss, um Security Groups nutzen zu können. Stellen Sie sich NIC Security als den Ein-/Ausschalter vor, während Security Groups die eigentlichen Firewall-Regeln enthalten, die den Datenverkehr steuern.