IBM Cloud Docs
Informationen zu IBM Sicherheitsgruppen

Informationen zu IBM Sicherheitsgruppen

Eine IBM Cloud®-Sicherheitsgruppe ist eine Gruppe von IP-Filterregeln, die definieren, wie eingehender (Ingress) und abgehender (Egress) Datenverkehr sowohl an den öffentlichen als auch an den privaten Schnittstellen einer virtuellen Serverinstanz verarbeitet werden. Die Regeln, die Sie einer Sicherheitsgruppe hinzufügen, werden als Sicherheitsgruppenregeln bezeichnet.

  • Sie können Sicherheitsgruppen den öffentlichen und/oder privaten Netzschnittstellen eines einzelnen virtuellen Servers oder mehrerer Virtual Server-Instanzen zuordnen.
  • Sie können Sicherheitsgruppen zuordnen, die von IBM bereitgestellt wurden oder die Sie selbst erstellt haben.
  • Wenn eine Sicherheitsgruppe auf die Netzkomponente einer Virtual Server-Instanz angewendet wird, wird der gesamte Datenverkehr zu und von dieser Netzkomponente blockiert, es sei denn, er wird durch eine Sicherheitsgruppenregel explizit zugelassen.
  • Der eingehende Datenverkehr einer Virtual Server-Instanz wird als Eingangsdatenverkehr ('ingress') bezeichnet.
  • Der abgehende Datenverkehr einer Virtual Server-Instanz wird als Ausgangsdatenverkehr ('egress') bezeichnet.

Sicherheitsgruppen werden auf dem Hypervisor implementiert, der den virtuellen Server hostet.

Von IBM bereitgestellte Sicherheitsgruppen

Sie können den Netzschnittstellen Ihrer Virtual Server-Instanzen eine beliebige der folgenden, von IBM bereitgestellten Sicherheitsgruppen zuordnen:

  • allow_ssh - Diese Sicherheitsgruppe definiert die IP-Regeln, die den Ingress-TCP-Datenverkehr nur auf dem SSH-Port zulassen (22/TCP).
  • allow_http - Diese Sicherheitsgruppe definiert die IP-Regeln, die den Ingress-Datenverkehr nur auf dem HTTP-Port zulassen (80/TCP).
  • allow_https - Diese Sicherheitsgruppe definiert die IP-Regeln, die TCP-Datenverkehr nur auf dem HTTPS-Port zulassen (443/TCP).
  • allow_outbound - Diese Sicherheitsgruppe definiert die IP-Regeln, die den gesamten Egress-Datenverkehr vom Server zulassen.
  • allow_all - Diese Sicherheitsgruppe definiert die IP-Regeln, die den gesamten ingress-Datenverkehr auf allen Ports zulassen.

Sicherheitsgruppen und Auditprotokolle

Alle Interaktionen der Sicherheitsgruppen werden in einem Prüfprotokoll eines Kontos protokolliert. Die Einträge verfolgen die Änderungen bestimmter Sicherheitsgruppen und welcher Benutzer die Änderung angefordert hat. Protokolle werden für die folgenden Interaktionen geschrieben:

  • Eine Sicherheitsgruppe wird zu einer Netzschnittstelle eines virtuellen Servers hinzugefügt oder aus dieser entfernt.
  • Die Regeln einer Sicherheitsgruppe werden durch Hinzufügen, Bearbeiten oder Entfernen von Regeln geändert.

Für jede dieser Interaktionen wird pro betroffenem Objekt ein Protokoll geschrieben. Es wird immer ein Protokoll für die geänderte Sicherheitsgruppe geschrieben. Weitere Protokolle werden für jede Netzschnittstelle von virtuellen Servern geschrieben, die an die Sicherheitsgruppe angehängt sind. Das Filtern von Auditprotokollen für eine spezifische Sicherheitsgruppe zeigt alle sicherheitsgruppenbezogenen Änderungen für die Gruppe. Entsprechend zeigt das Filtern von Protokollen für einen spezifischen virtuellen Server alle sicherheitsgruppenbezogenen Änderungen für den virtuellen Server.

Da Sicherheitsgruppenänderungen dazu führen können, dass eine Reihe von virtuellen Servern im Hintergrund aktualisiert wird, können Prüfprotokolle verwendet werden, um genau zu bestimmen, wann eine Änderung in Kraft trat. Sicherheitsgruppen-APIs, die Auditprotokolle generieren, geben eine Anforderungs-ID zurück. Anhand dieser ID können API-Aufrufe mit ihren resultierenden Auditprotokollen korreliert werden.

Verwendung einer Sicherheitsgruppe als Quelle oder Ziel

Beim Erstellen von Regeln innerhalb einer Sicherheitsgruppe besteht eine Möglichkeit darin, eine Sicherheitsgruppe entweder als Quelle oder als Ziel für den Datenverkehr festzulegen. Damit werden im Wesentlichen zwei Dinge erreicht. Zunächst wird eine Gruppe von IP-Adressen erstellt, die von den Servern definiert werden, die der angegebenen Sicherheitsgruppe angehören. Zweitens wird diese Gruppe von IPs als Quelle oder Ziel für den Datenverkehr festgelegt. Auf diese Weise können Sie Server nach Funktion und Referenzen gruppieren, die in einer Regel zusammengefasst sind. Sie können beispielsweise in Ihrem Konto eine Sicherheitsgruppe für alle Webserver und eine weitere für alle Datenbankserver erstellen und die Sicherheitsgruppen nach Servertyp definieren. Um den Datenverkehr von Webservern zu Datenbankservern zuzulassen, können Sie dann eine Regel innerhalb der Webserver-Sicherheitsgruppe erstellen. Legen Sie das Ziel als die Datenbankserver-Sicherheitsgruppe fest (mit dem richtigen Zielport und Protokoll, die in der Regel festgelegt sind).

Jede Sicherheitsgruppe kann als Quelle oder Ziel innerhalb anderer Sicherheitsgruppen referenziert werden, standardmäßig maximal fünf Mal insgesamt im gesamten Konto.

Beispiel einer Sicherheitsgruppe

Im folgenden Diagramm sind Virtual Server-Instanzen einer Reihe von Sicherheitsgruppen zugeordnet, mit denen der Netzdatenverkehr eingeschränkt wird. Die Pfeile stellen den Datenverkehr im Netz dar. Der Anwendungsentwickler hat den Zugriff auf die verschiedenen Infrastrukturebenen wie folgt eingeschränkt:

  • Der Anwendungsentwickler kann nur auf die Webebene auf dem TCP-Port 443 (HTTPS) zugreifen.
  • Nur Instanzen der Web-Ebene verfügen über Zugriff auf die Instanzen der Anwendungsebene.
  • Nur Instanzen der Anwendungsebene verfügen über Zugriff auf die Instanzen der Datenbankebene.

caption-side=bottom"