Security Group
Security Group là tập hợp quy tắc firewall (rule) gắn vào máy ảo (hoặc Network Interface) để kiểm soát traffic. Đặc điểm:
- Stateful — phản hồi của kết nối hợp lệ tự động được cho qua, không cần rule riêng.
- Default deny cho Ingress — chỉ traffic khớp rule mới được vào.
- Default allow cho Egress trong Security Group mặc định — máy ảo gọi ra ngoài tự do.
- Cộng dồn khi gắn nhiều SG vào một máy ảo — rule của tất cả SG hợp nhất bằng OR.
Tạo Security Group
Bước 1. Mở trang Security Group
Vào Mạng → Security Group và bấm + Tạo Security Group.
Bước 2. Đặt tên và mô tả
Đặt tên theo vai trò (web-public, db-private, bastion-only…) và mô tả ngắn.
Security Group mới có quy tắc Egress mặc định (cho phép ra mọi nơi) — bạn chỉ cần thêm rule Ingress cho các port cần mở.
Thêm rule vào Security Group
Bước 1. Mở chi tiết SG
Bấm vào tên SG trong danh sách.
Bước 2. Tạo rule
Bấm + Tạo rule.
Bước 3. Cấu hình rule
| Trường | Ý nghĩa | Ví dụ |
|---|---|---|
| Protocol | TCP, UDP, ICMP | TCP |
| Direction | Ingress (vào) hoặc Egress (ra) | Ingress |
| Port / Port Range | Cổng đích của packet | 22 hoặc 8000-9000 |
| Remote — CIDR | Dải IP nguồn/đích | 0.0.0.0/0 hoặc 203.0.113.10/32 |
| Remote — Security Group | Cho phép traffic từ máy ảo trong SG khác | sg-app-tier |
| Mô tả | Ghi chú | SSH from office |
Bấm Xác nhận.
Bước 4. Kiểm tra rule
Rule mới xuất hiện trong tab Rules và áp dụng ngay cho mọi máy ảo đang gắn SG này.
Các rule phổ biến
Web server công khai
| Direction | Protocol | Port | Remote | Mục đích |
|---|---|---|---|---|
| Ingress | TCP | 80 | 0.0.0.0/0 | HTTP |
| Ingress | TCP | 443 | 0.0.0.0/0 | HTTPS |
| Ingress | TCP | 22 | <IP-văn-phòng>/32 | SSH chỉ từ văn phòng |
Database nội bộ
| Direction | Protocol | Port | Remote | Mục đích |
|---|---|---|---|---|
| Ingress | TCP | 3306 | sg-app-tier | MySQL chỉ từ app server |
| Ingress | TCP | 22 | sg-bastion | SSH chỉ qua bastion |
Không có rule mở 3306 ra 0.0.0.0/0 — database không lộ ra Internet.
Bastion / Jump host
| Direction | Protocol | Port | Remote | Mục đích |
|---|---|---|---|---|
| Ingress | TCP | 22 | <IP-văn-phòng>/32 | Chỉ SSH từ văn phòng |
Sau đó các máy ảo nội bộ chỉ chấp nhận SSH từ sg-bastion.
Khuyến nghị bảo mật
- Không mở
0.0.0.0/0cho port quản trị (SSH 22, RDP 3389, DB 3306/5432, …) — giới hạn theo IP cụ thể. - Tách Security Group theo tầng (web / app / db) — không nhồi tất cả rule vào một SG.
- Dùng Security Group làm Remote thay vì CIDR khi traffic nội bộ — tự động cập nhật khi máy ảo thay đổi IP.
- Định kỳ rà soát rule, xóa rule không còn dùng để giảm bề mặt tấn công.
Thêm/xóa rule có hiệu lực ngay lập tức cho mọi máy ảo gắn SG. Trước khi gỡ rule cho port quản trị (SSH/RDP), đảm bảo có kênh khác (Portal Console, Security Group khác đang giữ port đó) để không tự khóa mình ra ngoài.
Liên kết
- Gắn Security Group cho máy ảo — gắn/gỡ SG đã tạo.
- Floating IP — cấp IP public; cần Security Group phù hợp để traffic vào được.
- SSH/RDP — port cần mở để kết nối từ xa.