Security Group

Tổng quan

Security Group hoạt động như một tường lửa ảo, kiểm soát lưu lượng được phép đi vào và đi ra từ các Instance trong hệ thống mạng Cloud. Security Group là công cụ bảo vệ lớp mạng quan trọng, giúp bảo vệ các máy chủ ảo khỏi các truy cập trái phép.

Lợi ích của Security Group

• Bảo vệ nhiều lớp: Tạo hàng rào bảo vệ cho máy chủ ảo bên cạnh các giải pháp bảo mật khác
• Linh hoạt: Dễ dàng tùy chỉnh quy tắc theo nhu cầu cụ thể của từng ứng dụng
• Quản lý tập trung: Quản lý chính sách bảo mật cho nhiều máy chủ từ một giao diện
• Áp dụng ngay lập tức: Các thay đổi có hiệu lực tức thì mà không cần khởi động lại máy chủ

Quản lý Security Group

Tại giao diện quản lý Security Group, bạn có thể xem danh sách các cấu hình tường lửa cho các Instance và Load Balancer đang sử dụng.

Giao diện quản lý Security Group

Các thành phần trong giao diện

Bảng danh sách Security Group hiển thị các thông tin quan trọng:

Trường	Mô tả
Security Group ID	Mã định danh duy nhất của nhóm bảo mật
Name	Tên hiển thị của nhóm bảo mật
Rule	Số lượng quy tắc đang được áp dụng trong nhóm
Assigned VM	Số lượng máy ảo đang được gán nhóm bảo mật này
Created At	Thời gian tạo nhóm bảo mật
Actions	Các thao tác có thể thực hiện (Edit, Delete)

Tìm kiếm Security Group

Bạn có thể sử dụng thanh tìm kiếm "Find security group by name" để nhanh chóng tìm một nhóm bảo mật cụ thể trong danh sách.

Tạo mới Security Group

Để tạo một nhóm bảo mật mới, nhấn vào nút + Create new Security Group trên giao diện quản lý.

Giao diện khởi tạo Security Group

Các bước tạo Security Group

1. Nhập tên cho nhóm bảo mật mới (nên đặt tên có ý nghĩa, ví dụ: web-servers, db-servers)
2. Nhập mô tả (tùy chọn) để giải thích mục đích sử dụng của nhóm
3. Thêm các rule bảo mật (xem phần Quản lý Rules)
4. Nhấn Create để hoàn tất

Thực hành tốt

Nên tạo các Security Group riêng biệt cho từng lớp hệ thống (Web, Application, Database) để dễ quản lý và tăng cường bảo mật.

Quản lý Rules

Rules (quy tắc) trong Security Group xác định luồng lưu lượng nào được phép và luồng nào bị chặn.

Giao diện quản lý các rules của Security Group

Cấu trúc của một Rule

Mỗi rule trong Security Group bao gồm các thành phần sau:

• Direction – Chiều của lưu lượng:

  • Ingress: Lưu lượng đi vào máy chủ (từ bên ngoài vào)
  • Egress: Lưu lượng đi ra từ máy chủ (từ trong ra ngoài)

• CIDR – IP/Dải IP nguồn hoặc đích:

  • Địa chỉ IP cụ thể: 192.168.1.10/32
  • Dải địa chỉ IP: 10.0.0.0/24
  • Tất cả các IP: 0.0.0.0/0

• Protocol – Giao thức mạng sử dụng:

  • TCP: Cho các dịch vụ như HTTP, HTTPS, SSH
  • UDP: Cho các dịch vụ như DNS, NTP
  • ICMP: Cho ping và thông báo lỗi mạng

• Port – Cổng dịch vụ:

  • Cổng đơn: 80
  • Dải cổng: 1024-2048
  • Tất cả các cổng: 1-65535

• Description – Mô tả thông tin Rule (ví dụ: "Allow HTTP traffic")

Các loại Rule phổ biến

Mục đích	Direction	Protocol	Port	CIDR	Mô tả
Web Server	Ingress	TCP	80, 443	0.0.0.0/0	Cho phép HTTP/HTTPS từ internet
SSH Access	Ingress	TCP	22	x.x.x.x/32	Cho phép SSH từ IP cụ thể
Database	Ingress	TCP	3306	10.0.0.0/24	Cho phép MySQL từ mạng nội bộ
DNS	Egress	UDP	53	0.0.0.0/0	Cho phép truy vấn DNS ra bên ngoài
ICMP	Ingress	ICMP	-	0.0.0.0/0	Cho phép ping để kiểm tra kết nối

Thêm và cấu hình Rule

Tại giao diện khởi tạo hoặc chỉnh sửa Security Group, bạn có thể quản lý các Firewall rules.

Các thông tin cấu hình Rule

• Type – Loại kết nối được thiết lập sẵn với các port mặc định:

  • SSH: Port 22
  • RDP: Port 3389
  • HTTP: Port 80
  • HTTPS: Port 443
  • ICMP: Cho phép ping
  • DNS: Port 53
  • Custom: Tự định nghĩa port tùy chỉnh

• Protocol – Hỗ trợ 3 giao thức cơ bản:

  • TCP: Truyền tải đáng tin cậy
  • UDP: Truyền tải nhanh, không đảm bảo
  • ICMP: Thông báo và kiểm tra lỗi

• Port – Cổng kết nối:

  • Source Port: Cổng nguồn (thường để trống)
  • Destination Port: Cổng đích (cổng dịch vụ)

• Source/Destination – IP/CIDR nguồn hoặc đích:

  • Địa chỉ IP cụ thể (ví dụ: 203.0.113.1/32)
  • Dải địa chỉ (ví dụ: 192.168.1.0/24)
  • Tất cả (0.0.0.0/0)

Lưu ý về bảo mật

Không nên cấu hình rule cho phép tất cả các IP (0.0.0.0/0) truy cập vào các cổng quản trị như SSH (22) hoặc RDP (3389). Luôn giới hạn truy cập này cho các địa chỉ IP cụ thể.

Chỉnh sửa Security Group

Sau khi tạo, bạn có thể chỉnh sửa các rule trong Security Group bất cứ lúc nào.

Giao diện chỉnh sửa Security Group

Các thao tác có thể thực hiện

1. Thêm rule mới: Nhấn vào nút "Add Rule" và cấu hình
2. Chỉnh sửa rule: Chọn rule cần sửa và cập nhật thông tin
3. Xóa rule: Nhấn vào biểu tượng thùng rác bên cạnh rule cần xóa

Lưu ý

Đối với Security Group mặc định được tạo sẵn, bạn sẽ không thể thay đổi các rule mà chỉ có thể xem thông tin.