Cloud Computing - Gestione Security Groups
Regole firewall personalizzate e raggruppate sotto uno stesso nome
IMPORTANTE L'assegnazione di un security group aggiuntivo ad un'istanza dev'essere effettuata al momento della creazione dell'istanza stessa. Successivamente, cioè ad istanza già creata, non sarà più possibile eseguire la procedura.
Un security group è un insieme di regole firewall personalizzate e raggruppate sotto uno stesso nome; esiste un security group predefinito (default) che comprende le regole per consentire il ping dell'indirizzo IP pubblico dell'istanza e l'accesso ssh attraverso la porta 22.
L'utente può aggiungere in qualsiasi momento le regole desiderate al security group di default;
le nuove regole vengono applicate ad ogni istanza creata con quel security group.
È anche possibile creare un nuovo security group ed associarlo ad un'istanza,
ma solo in fase di creazione di quest'ultima.
Un security group aggiuntivo può essere utile, ad
esempio, quando si vogliono creare set di regole per scopi specifici ed assegnarle a
determinate istanze. Ad esempio, immaginiamo di avere un'istanza Linux
con Webmin installato ed un'istanza Windows con IIS; è possibile creare un security group
WindowSec con il quale aprire la porta 3389 per l'accesso in
Terminal e la porta 80 per IIS; per l'istanza Linux è possibile
creare un security group LinuxSec e qui aggiungerci la
porta 80 e 10000 (porta specifica di Webmin).
La creazione di security group dedicati ha lo scopo di evitare l'apertura di porte
che non sarebbero utilizzate da tutte le istanze (es: Linux non utilizza la porta 3389 assegnata ad IIS).
Per gestire i security groups, cliccare sull'icona Gestione Security Group nella sezione Cloud Computing del pannello ServerMate; si apre la seguente finestra:
Per visualizzare, aggiungere o rimuovere regole firewall dal security group default, cliccare su Modifica. Si apre la lista delle regole attualmente presenti:
È possibile eliminare le regole già presenti cliccando sul rispettivo pulsante Elimina Regola o aggiungerne di nuove; in quest'ultimo caso, è necessario specificare il protocollo (TCP, UDP o ICMP), l'intervallo di porte da aprire e il range di indirizzi IP che sono soggetti a questa regola (0.0.0.0/0 significa che la regola si applica per qualsiasi indirizzo IP, secondo la notazione CIDR); dopo aver inserito tutti i dati, cliccare su Aggiungi Regola.
Per creare un nuovo security group, cliccare sul pulsante Nuovo Security Group. Specificare, nella schermata successiva, il nome e la descrizione del security group che si desidera creare; ad esempio:
Cliccare sul bottone Ok, il security group viene creato e compare nella finestra principale del pannello di gestione dei security groups.
Cliccando sul pulsante Modifica in corrispondenza del security group appena creato, si accede alla finestra mostrata in precedenza nella quale è possibile aggiungere e rimuovere le regole.
Nella seguente figura si mostra l'aggiunta delle porte 3389 (accesso terminal), 80 (web server) e 21 (ftp).
I security groups sono associati all'istanza al momento di creazione della stessa; l'aggiunta delle regole ai security groups, e quindi la loro applicazione alle istanze associate ai security group relativi, invece, può avvenire in qualsiasi momento. Vediamo, ad esempio, come è possibile creare un'istanza Windows ed associarla al security group precedentemente creato, oltre a quello di default.
Come si nota nella precedente figura, oltre a default è stato selezionato anche il security group WindowSec; ciò garantirà l'applicazione delle regole di entrambi i security groups all'istanza appena creata.