Security Group چیست و چگونه امنیت سرور ابری را کنترل می‌کند؟

در این مقاله هدف این است که مفهوم Security Group در سرویس‌های ابری ایران‌سرور به‌صورت ساده و کاربردی توضیح داده شود و کاربر بداند چگونه باید از آن برای افزایش امنیت سرور استفاده کند.

آشنایی با Security Group در فضای ابری ایران‌سرور

Security Group در سرویس‌های ابری ایران‌سرور نقش یک دیوار آتش نرم‌افزاری را دارد. این دیوار آتش مشخص می‌کند چه ترافیکی اجازه ورود و چه ترافیکی اجازه خروج از سرور را دارد. هر سرور ابری باید حداقل به یک Security Group متصل باشد تا قوانین دسترسی شبکه برای آن مشخص شود. با استفاده از Security Group می‌توان دسترسی به سرور را فقط به آی‌پی‌های مشخص یا پورت‌های مشخص محدود کرد و از دسترسی‌های ناخواسته جلوگیری کرد.

کاربرد اصلی Security Group برای کاربران

معمولاً از Security Group برای موارد زیر استفاده می‌کنند:

• برای باز کردن پورت‌های ضروری مثل ۸۰ و ۴۴۳ برای سایت
• برای محدود کردن دسترسی مدیریتی مثل SSH یا RDP فقط به آی‌پی خود کاربر
• برای جلوگیری از دسترسی عمومی به سرویس‌های حساس مثل دیتابیس

Security Group باعث می‌شود حتی اگر روی خود سرور تنظیم اشتباهی انجام شود باز هم لایه‌ای از امنیت در سطح شبکه وجود داشته باشد.

تفاوت ترافیک ورودی و خروجی در Security Group

قوانین Security Group به دو بخش تقسیم می‌شوند:

قوانین ورودی مشخص می‌کنند چه درخواست‌هایی اجازه ورود به سرور را دارند.

قوانین خروجی مشخص می‌کنند سرور به چه مقصدهایی اجازه ارسال اطلاعات دارد.

در اکثر سناریوها تمرکز اصلی روی قوانین ورودی است؛ چون پاسخ خروجی به درخواست‌های مجاز به‌صورت خودکار اجازه داده می‌شود.

اتصال Security Group به سرور ابری

در زمان ساخت سرور ابری می‌توان یک Security Group انتخاب کرد یا یک Security Group جدید ساخت. بعد از ساخت سرور هم امکان تغییر یا اضافه کردن Security Group وجود دارد. هر تغییری که روی قوانین Security Group انجام شود بلافاصله روی همه سرورهای متصل به آن اعمال می‌شود و نیازی به ریستارت سرور نیست.

سناریوی ساده برای استفاده درست از Security Group

برای یک سایت معمولی این ساختار پیشنهاد می‌شود:

• فقط پورت ۸۰ و ۴۴۳ برای همه باز باشد.
• پورت مدیریت سرور فقط برای آی‌پی شخصی مدیر باز باشد.
• هیچ پورت دیتابیسی به‌صورت عمومی باز نشود.

با این کار حتی اگر رمز عبور سرور لو برود دسترسی مستقیم از اینترنت ممکن نخواهد بود.

Security Group باید همیشه بر اساس اصل حداقل دسترسی تنظیم شود. نباید همه پورت‌ها برای همه آی‌پی‌ها باز باشد. بهتر است برای محیط تست و محیط اصلی Security Group جداگانه ساخته شود. تغییر مستقیم Security Group سرورهای مهم بهتر است ابتدا روی یک نسخه آزمایشی بررسی شود.

در این مقاله ساختار و کاربرد Security Group در سرویس‌های ابری ایران‌سرور به‌صورت عملی توضیح داده شد تا کاربر بتواند بدون ورود به جزئیات پیچیده امنیتی از سرور خود محافظت کند.