Skip to content

1 группа безопасности: Группы допуска для работы на высоте, обучение выполнению работ на высоте для работников 1,2,3 групп допуска

Содержание

Обучение работников 1 группы по безопасности работ в ОЗП

Курс обучения правилам охраны труда работников 1 группы по безопасности работ в ограниченных и замкнутых пространствах (ОЗП) предназначен для освоения навыков применения средств коллективной и индивидуальной защиты, умения использовать оборудование для постоянного контроля параметров рабочей среды в ОЗП, приемов самоспасения, использования оборудования для осуществления связи между членами бригады и с наблюдающим.

Категория слушателей

К группе 1 относятся работники, допускаемые к непосредственному выполнению работ в ОЗП в составе бригады или под непосредственным контролем работника, назначенного приказом работодателя, с учетом специфики конкретных объектов ОЗП:

  • знающие риски, рабочие процедуры, план производства работ и прочие необходимые организационно-технические документы;
  • умеющие проводить самоспасение и под руководством работников 2-й группы проводить работы по спасению и эвакуации других работников;
  • умеющие пользоваться средствами коллективной и индивидуальной защиты;
  • умеющие поддерживать связь с наблюдающим (работник, находящейся снаружи ОЗП, осуществляющий контроль за работниками, работающими в ОЗП).

Продолжительность обучения: 36 часов.

Документы, выдаваемые по итогам освоения программы: удостоверение, протокол.

Срок действия удостоверения: 3 года.

Форма обучения: очная.

Периодичность обучения: 1 раз в 3 года.

Получаемые знания

  • инструкции по охране труда;
  • производственные инструкции;
  • режимы труда и отдыха;
  • обеспечение безопасности работ в ОЗП;
  • правила применения средств коллективной и индивидуальной защиты;
  • применения оборудования для постоянного контроля параметров рабочей среды в ОЗП;
  • приемы самоспасения;
  • правила применения оборудования для осуществления связи между членами бригады и с наблюдающим;
  • основные требованиям производственной санитарии и личной гигиены;
  • обстоятельства и характерные причины несчастных случаев, аварий, пожаров, происшедших на высоте в организациях (на предприятиях), случаев производственных травм, полученных при работах на высоте; обязанностями и действиями при аварии, пожаре; способами применения имеющихся на участке средств тушения пожара, противоаварийной защиты и сигнализации, местами их расположения, схемами и маршрутами эвакуации в аварийной ситуации;
  • основные опасные и вредные производственные факторы, характерные для работы в ограниченных и замкнутых пространствах;
  • подготовка ОЗП к проведению работ;
  • безопасные методы и приемы выполнения работ;
  • требования по охране труда при организации и проведении работ в ОЗП;
  • требования к работникам при работах на ОЗП;
  • обеспечение безопасности работ в ОЗП.

Учебный план

  • Нормативные документы и законодательство при осуществлении работ в ограниченных и замкнутых пространствах.
  • Требования к работникам при работе в ОЗП 1 группа.
  • Обеспечение безопасности работ в ОЗП 1 группа.
  • Организация работ на высоте с оформлением наряда-допуска.
  • Требования по охране труда, предъявляемые к производственным помещениям и производственным площадкам.
  • Требования к применению систем обеспечения безопасности работ в ОЗП 1 группа.
  • Специальные требования по охране труда, предъявляемые к производству работ в ОЗП.
  • Правила оказания приемов первой помощи.
  • Итоговая аттестация.

Группа безопасности консольная 1*3/4*1/2, Valtec цена 4 524 руб. в Новосибирске

Артикул VT.495.0.0
Базовая единица шт
Производитель Valtec
Преимущества Габариты группы безопасности позволяют подвешивать непосредственно к ней расширительный бак объемом до 50 л включительно.
Рекомендации по монтажу Консольная группа безопасности должна крепиться к стене двумя шурупами диаметром 5мм и длиной не менее 60мм.Сервисные приборы (воздухоотводчик, манометр, предохранительный клапан) должны находиться в строго вертикальном положении. Расширительный бак рекомендуется подключать к корпусу группы безопасности через сгон отсекатель(не входит в комплект поставки), упрощающий его обслуживание и эксплуатацию. Если бак не подключается, требуется приобретения заглушки 3/4 с НР.
Диаметр присоединения группы (мм/дюйм) 20 (3/4″)
Диаметр присоединения расшир-го бака (мм/дюйм) 20
Диаметр присоединения манометра (мм/дюйм) 10
Диаметр присоединения пред. клапана (мм/дюйм) 15
Диаметр присоединения воздухоотводчика (мм/дюйм) 15
MAX мощность обслуживаемого котла 44 кВт
Тип изделия Стальная консольная
Тип присоединения Резьба
Среда применения Вода, пар, растворы гликолей (50%)
MAX t рабочей среды 120
Рабочее давление (бар) 10
Пробное давление (испытательное) (бар) 15
MIN рабочее давление (бар) 0,05
MAX производ. по воздуху (л/мин) 13
MAX производ. предохр. клапана по воде (л/мин) 0,07
Средний полный срок службы (лет) 15
Монтажное положение Вертикально
Страна ИТАЛИЯ
Назначение Защита от превышения давл., отвод из системы возд. и газов, индикация дав. в системе науровне маном
Завод изготовитель Китай
Материал корпуса
Сталь Ст.3 оцинкованная
Цвет Никелированный
Материал Латунь
Давление номинальное (бар) 10
t при номинальном давление 120
Среда применения ля автономных систем водяного отопления и ГВС мощностью до 44 КВт и давлением до 10 бар
Завод Италия-Россия-Китай

Группа безопасности котла Watts KSG 30 E (1″, 3 бар, до 50 кВт) 10005198

Артикул: 10005198
  • Изготовитель: Watts

Цена: 7621 руб

Доставка по г. Москве в пределах МКАД: 500 руб

РосТест. Гарантия низкой цены.

Группа безопасности Watts KSG 30 E защищает от превышения давления в системе, выполняет функцию отвода воздуха и газов, а также отображает информацию по давлению в системе на уровне манометра.

Аналогичные товары

Описание

Группа безопасности котла для защиты закрытых систем отопления до 50 кВт. Включает в себя предохранительный клапан с порогом срабатывания 3 бара, автоматический воздухоотводчик (с запорным клапаном) MKV10R и манометр MHR6 3/4¬3/8″, установленные на стальной консоли (с гальваническим покрытием). Подключение 1″ внутренняя резьба.  Группа безопасности котла KSG 30/E применяется в закрытых системах водяного отопления мощностью до 50 кВт. В комплект входят предохранительный клапан, автоматический воздухоотводчик с запорным клапаном и манометр, смонтированные на консоли.

Группа безопасности защищает от превышения давления в системе, выполняет функцию отвода воздуха и газов, а также отображает информацию по давлению в системе на уровне манометра.

Группа безопасности котла KSG 30/E

— рабочая температура от -10°С до 110°С.
— подключение 1″, внутренняя резьба.
— материал консоли: оцинкованная сталь.
— предохранительный клапан 1/2″.
— давление срабатывания 3 бар.

— автоматический воздухоотводчик MV 10R.
— производительность по отводу газов — 18 л/мин.
— манометр с диапазоном показаний 0 — 4 бар.

Технические характеристики

Тип группы безопасности — для котлов

Теплоизоляция — есть

Материал изготовления- сталь

Диаметр подключения, дюйм — 1″

Габариты, м 0.22 x 0.197 x 0.06

Вес Брутто, кг — 1.31

Качество товара

Наша компания закупает продукцию у крупных проверенных поставщиков.

Мы рады предложить Вам качественный оригинальный товар!


«ГидроТепло» — официальный продавец арматуры для котельного и отопительного оборудования по бренду Watts

Группа безопасности, расширительние баки для отопления

Группа безопасности предназначена для обеспечения и контроля в системе отопления или горячего водоснабжения требуемого давления и сбросе его при выходе за максимальный предел.

Группа безопасности состоит из: предохранительного клапана, который сбрасывает часть воды (теплоносителя) при его избытке, воздухоотводчика, и манометра. Все эти элементы можно установить в системе как отдельно, так и в сборе в одном корпусе.

Предохранительный клапан (клапан избыточного давления) — представляет из себя вентиль, в котором закрывающий шток прижат пружиной. Жесткость пружины подбирают на заводе-изготовителе, настраивая клапан на определенное давление (1.5, 3, 6 бар или др.). Предохранительные клапаны необходимо монтировать во всех системах, где возможно расширение воды (теплоносителя) за счет нагрева. В доме такими системами являются — отопление и система горячего водоснабжения (бойлер косвенного нагрева или водонагреватель). В случае, если давление в системе поднимается выше, чем номинал предохранительного клапана — пружина клапана уже не сможет удерживать воду, она сожмется и откроет вентиль — происходит стравливание давления, а попросту сброс «лишнего» теплоносителя в боковой отвод клапана.

Для того чтобы не получить ожог при внезапном открытии клапана или не испортить ремонт в помещении, к боковому отводу прикручивают отводную трубу и направляют ее в канализацию или дренажную емкость.

Не стоит думать, что при срабатывании клапан избыточного давления сбрасывает много воды — в обычных частных домах, для того чтобы давление упало с 3 до 1 бар, необходимо сбросить около одного стакана воды, а иногда и меньше.

Для того, чтобы группа безопасности выпускала воздух из системы, необходимо ее устанавливать в верхней части труб, подходящих к котлу или бойлеру, то есть воздухоотводчик защищает котел или бойлер от завоздушивания. Защиту радиаторов или других верхних точек системы обеспечивают другие автовоздушники или краны Маевского.

Между котлом и группой безопасности нельзя устанавливать запорную арматуру!

При выборе группы безопасности котла — необходимо уточнить, на какую мощность она рассчитана. Для мощных котлов — в группе безопасности применяются предохранительные клапаны с большим проходным сечением (резьба на 3/4 или 1 дюйм).

Предохранительные клапаны подбирают на основании номинального рабочего давления в системе. Рассмотрим номинальные давления основных инженерных систем и необходимые предохранительные клапаны для них.

1 бар = 1,0197 кгс/см2 = 0,98692 атм.

  • Системы отопления с настенными газовыми котлами. Номинальное — 1,5-2.0 бар, предохранительный клапан — 3.0 бар.

  • Системы отопления с напольными газовыми котлами. Номинальное — 1.0-1.5 бар, предохранительный клапан — 3.0 бар

  • Системы отопления с твердотопливными котлами, печи со встроенными котлами. Номинальное — 0.5-1.0 бар, предохранительный клапан — 1.5 бар.

  • Системы горячего водоснабжения. Номинальное 2.0-4.0 бар, предохранительный клапан — 6.0 бар.

Группа безопасности котла (корпус группы безопасности котла + предохранительный клапан 3 бар + воздухоотводчик + манометр 0-4 бар), ВР 1″, без покрытия

Купить Группа безопасности котла (корпус группы безопасности котла + предохранительный клапан 3 бар + воздухоотводчик + манометр), ВР 1″, без покрытия (FAR FA21151) Вы всегда можете в нашем интернет-магазине FAR-Moscow.ru. Что бы заказать оригинальный группа безопасности котла итальянского производителя FAR Rubinetterie S.p.a. — Вам необходимо либо позвонить нам по телефонам (499) 519-03-69, либо написать на [email protected] и мы всегда проконсультируем Вас по подбору итальянской арматуры FAR. Группа безопасности котла (корпус группы безопасности котла + предохранительный клапан 3 бар + воздухоотводчик + манометр), ВР 1″, без покрытия (артикул ФАР FA 2115 1) базово отгружается нами по РФ транспортной компанией СДЭК или Деловые Линии три раза в неделю. Доставка Вашего заказа по Москве и Московской области иожет быть осуществена курьером, по Вашему желанию в не зависимости от суммы заказа. Звоните нам по телефонам: (499) 519-03-69, 192-81-04 и наши специалисты по артматуре FAR ответят на все Ваши вопросы!
Так же, Вы можете воспользоваться нашей формой обратной связи Консультация нашего специалиста!

Уважаемые Пользователи!

Убедительная просьба НЕ ОСУЩЕСТВЛЯТЬ каких-либо действий по оплате арматуры FAR, а также услуг по её доставке, до телефонного разговора со специалистом FAR-Moscow. ru в ходе которого будет окончательно определены артикул товара и срок поставки (в случае отсутствия на складе), а так же выбрана транспортная компания, которая будет осуществлять доставку и приблизительно определена стоимость услуг транспортной компании.


Группа безопасности котла до 50 кВт 1″ Uni-Fitt 253G4530

  • ОСНОВНЫЕ ХАРАКТЕРИСТИКИ
  • Производитель

    Uni-fitt

  • Артикул

    253G4530

  • Страна бренда

    Италия

  • Страна производства

    Италия

  • Гарантия

    3 года

  • Продукт

    группа безопасности

  • Вид

    для котла

  • Назначение

    отопление

  • Область применения

    бытовая, загородные дома

  • РАЗМЕРЫ, ОБЪЕМ И ВЕС
  • Высота

    142 мм

  • Ширина

    164 мм

  • Глубина

    49 мм

  • КОНСТРУКЦИЯ
  • Материал

    латунь

  • Покрытие

    без покрытия

  • Запорное устройство

    нет

  • Предохранительный клапан

    есть

  • Манометр

    есть

  • Воздухоотводчик

    есть

  • Обратный клапан

    нет

  • Подключение мембранного бака

    нет

  • Сбросная насадка

    нет (приобретается отдельно)

  • Материал мембраны клапана

    EPDM

  • Материал седла клапана

    нержавеющая сталь

  • ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ
  • Максимальная мощность

    50 кВт

  • Максимальное рабочее давление

    10 бар

  • Давление настройки предохранительного клапана

    3 бар

  • Диапазон измерения манометра

    0 — 4 бар

  • Максимальная температура теплоносителя

    -10…+80 °С

  • Рабочая среда

    вода, водный раствор гликолей (до 50%)

  • ПОДКЛЮЧЕНИЯ
  • Способ соединения

    муфтовый

  • Диаметр подключения к системе резьбовой

    1 «

  • Вид резьбы к системе

    внутренняя

  • Диаметр подключения к дренажу резьбовой

    3/4 «

  • Вид резьбы к дренажу

    внутренняя

  • Диаметр подключения предохранительного клапана

    1/2 «

  • Диаметр подключения манометра

    3/8 «

  • Диаметр подключения воздухоотводчика

    3/8 «

  • ФУНКЦИИ И ОСНАЩЕНИЕ
  • Теплоизоляция

    да (Полистирол)

  • Настройка сбросного давления

    нет

  • Принудительное открытие клапана

    да

  • ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ
  • ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ

    Изоляционный кожух (теплоизоляция) класс огнезащиты В2, без хлор фтор углеродов (фреонов).

  • Общий контакт | Группа безопасности А-1

    Нажмите здесь, чтобы позвонить нам (972) 423-2233
    • Дом
    • Услуги
      • Деловые услуги
      • Жилищные услуги
    • локации
    • Контакт
      • Общий контакт
      • Запрос на бесплатную консультацию
      • Карьера
      • О нас
    • Домашняя страница
    • Общий контакт

    Общий контакт

    • Имя* Первый Прошлой
    • Электронная почта* Введите адрес электронной почты Подтвердите адрес электронной почты
    • Телефон (дополнительно)
    • Жилой или коммерческий

      ЖилойКоммерческий

    • Тип системы
      • Мониторинг сигналов тревоги
      • Система наблюдения
      • Контроль доступа
    • Дополнительные комментарии

    © Copyright 2016

    Тема Carpress от ProteusThemes

    101 AWS Security Tips & Quotes, Part 3: Best Practices for Use Security Groups in AWS

    Это третья запись в нашей серии советов и цитат по безопасности AWS, состоящей из 4 частей, которая призвана помочь вам развивать и укреплять безопасность вашей организации, опираясь на упреждающую комплексную стратегию безопасности.

    На данный момент мы рассмотрели:

    Критические ошибки конфигурации AWS

    Сегодня в центре внимания находится Рекомендации по использованию групп безопасности в AWS (и в последней части, части 4, мы рассмотрим Рекомендации по безопасности AWS) .

    Рекомендации по использованию групп безопасности в AWS

    1. Группы безопасности являются центральным компонентом брандмауэров AWS.

    «Amazon предлагает виртуальный брандмауэр для фильтрации трафика, проходящего через сегмент вашей облачной сети; но способ управления брандмауэрами AWS немного отличается от подхода, используемого традиционными брандмауэрами.Центральным компонентом брандмауэров AWS является «группа безопасности», которую другие поставщики брандмауэров называют политикой (то есть набором правил). Однако существуют ключевые различия между группами безопасности и традиционными политиками брандмауэра, которые необходимо понимать.

    «Во-первых, в AWS нет «действия» в правиле, указывающем, разрешен или запрещен трафик. Это связано с тем, что все правила в AWS являются положительными и всегда разрешают указанный трафик, в отличие от традиционных правил брандмауэра.

    «Во-вторых, правила AWS позволяют указать источник или место назначения трафика, но не оба в одном правиле. Для входящих правил существует источник, указывающий, откуда поступает трафик, но нет пункта назначения, указывающего, куда ему идти. Для исходящих правил все наоборот: вы можете указать место назначения, но не источник. Причина этого в том, что группа безопасности AWS всегда устанавливает неуказанную сторону (источник или пункт назначения, в зависимости от обстоятельств) в качестве экземпляра, к которому применяется группа безопасности.

    «AWS гибко позволяет применять эти правила. Единые группы безопасности можно применять к нескольким экземплярам точно так же, как вы можете применять традиционную политику безопасности к нескольким брандмауэрам. AWS также позволяет вам сделать обратное: применить несколько групп безопасности к одному экземпляру, что означает, что экземпляр наследует правила от всех групп безопасности, которые с ним связаны. Это одна из уникальных особенностей предложения Amazon, позволяющая создавать группы безопасности для определенных функций или операционных систем, а затем комбинировать их в соответствии с потребностями вашего бизнеса.

    — Avishai Wool, Руководство по безопасности AWS , Infosec Island; Твиттер: @InfosecIsland

    2. Включите и настройте журналы потоков AWS VPC.

    «Включите журналы потоков AWS VPC для вашего уровня VPC, подсети или ENI. Журналы потоков AWS VPC можно настроить для записи как принятых, так и отклоненных записей, проходящих через группы ENI и Security EC2, ELB и некоторых дополнительных сервисов. Эти записи журнала VPC Flow можно сканировать, чтобы обнаруживать шаблоны атак, предупреждать об аномальных действиях и потоках информации внутри VPC, а также предоставлять ценную информацию для операций группы SOC/MS.

    — Хариш Ганесан, 27 практических советов по группам безопасности Amazon Web Services , 8 тыс. миль; Твиттер: @8KMiles

    3. Используйте текущие управляемые политики.

    «Ранее были доступны только встроенные политики на основе удостоверений (IAM).

    Управляемые политики появились позже. Таким образом, не все старые передовые методы работы с облаком AWS, существовавшие в эпоху встроенных политик, могут быть применимы и в наши дни. Поэтому рекомендуется использовать управляемые политики, доступные уже сейчас.С помощью управляемых политик вы можете управлять разрешениями из центрального места, а не напрямую привязывать их к пользователям. Это также позволяет вам правильно классифицировать политики и повторно использовать их. Обновление разрешений также упрощается, когда одна управляемая политика привязана к нескольким пользователям. Кроме того, в управляемых политиках вы можете добавить до 10 управляемых политик для пользователя, роли или группы. Однако размер каждой управляемой политики не может превышать 5120 символов».

    — Джаяшри Хегде, Аналитический центр AWS по безопасности облачных вычислений: 5 причин, почему вы должны подвергнуть сомнению свои старые методы , Botmetric;

    4.

    Просмотрите все группы безопасности, связанные с каждым экземпляром, чтобы получить полное представление о том, что касается регулируемых данных.

    «AWS явно настроен для того, чтобы вы могли просматривать каждую группу безопасности по очереди и просматривать ее, чтобы вы могли просмотреть правила, сравнить их с корпоративными политиками и нормативными требованиями, чтобы увидеть, совпадают ли они. Таким образом, это простой и ресурсосберегающий вариант.

    Однако с двумя оговорками. Во-первых, у вас нет никакого контекста, если вы смотрите на отдельную группу безопасности отдельно.Вы даже не знаете, связаны ли с каждой группой безопасности какие-либо экземпляры — они могут быть «свободно плавающими», что вполне возможно в AWS.

    «Во-вторых, группы безопасности AWS можно смешивать и сопоставлять, поэтому вы можете иметь несколько групп безопасности, связанных с отдельными экземплярами или серверами. Чтобы по-настоящему понять уровень вашей безопасности, вам нужно просмотреть все группы безопасности, связанные с каждым экземпляром. В противном случае вы будете иметь только частичное представление о том, какой трафик разрешен в и из экземпляров, которые касаются регулируемых данных.

    — Avishai Wool, Советы по правильному аудиту политик безопасности AWS , AlgoSec; Твиттер: @AlgoSec

    5. Классифицируйте группы безопасности.

    «Хорошо классифицировать группы безопасности. Например, все порты подключения к БД и веб-серверу в одной группе безопасности, все порты подключения мультимедиа в одной группе безопасности, все порты сторонних подключений в одной группе безопасности и все порты для конкретных офисов в одной группе безопасности.Категоризация помогает вам эффективно управлять различными наборами подключений, чтобы вы не путались в группах безопасности всякий раз, когда вам нужно изменить некоторые параметры для определенного порта».

    — Chandan Mishra, 10 советов по защите инстанса EC2 на AWS с помощью групп безопасности , LinkedIn

    6.

    Минимизируйте количество дискретных групп безопасности.

    «Компрометация учетной записи может происходить из разных источников, одним из которых является неправильная настройка группы безопасности.Минимизируя количество отдельных групп безопасности, предприятия могут снизить риск неправильной настройки учетной записи».

    — Сехар Саруккай, Блокировка в облаке: семь лучших практик для AWS , Cloud Security Alliance; Твиттер: @cloudsa

    7. Используйте правильные соглашения об именах для групп безопасности.

    «Примите соответствующие соглашения об именах для группы безопасности Amazon Web Services. Соглашение об именах должно соответствовать корпоративным стандартам.Например, он может следовать следующей записи: «Регион AWS+ Код среды+ Тип ОС+ Уровень+ Код приложения»

    Имя группы безопасности — EU-P-LWA001

    Регион AWS (2 символа) = ЕС, Вирджиния, Калифорния и т. д.

    Код среды (1 символ) = P-Production, Q-QA, T-testing, D-Development и т. д.

    Тип ОС (1 символ) = L-Linux, W-Windows и т. д.

    Уровень (1 символ) = W-Web, A-App, C-Cache, D-DB и т. д.

    Код приложения (4 символа) = A001

    «Мы используем Amazon Web Services с 2008 года и обнаружили, что за эти годы управление группами безопасности в нескольких средах само по себе является огромной задачей.Правильные соглашения об именах с самого начала — это простая практика, но она сделает ваше путешествие по AWS управляемым».

    — Хариш Ганесан, Группы безопасности AWS — 27 практических советов , LinkedIn

    8. Прикрепляйте политики к группам, а не к отдельным пользователям.

    «Рекомендуется прикреплять политики к группам, а не к отдельным пользователям. Если у отдельного пользователя есть политика, убедитесь, что вы понимаете, зачем этому пользователю эта политика.

    Руководство по аудиту безопасности AWS , AWS; Твиттер: @awscloud

    9.

    Не открывайте порты для 0.0.0.0/0, если это специально не требуется.

    «Разрешение входящего доступа путем открытия портов для 0.0.0.0/0 в группах безопасности — самая распространенная ошибка профессионалов при выделении ресурсов. В конечном итоге пользователи открывают свои облачные сети и подвергают свои облачные ресурсы и данные внешним угрозам».

    — Эяль Позенер, Amazon Security Groups — 5 важных рекомендаций для вашего списка дел , Stratoscale; Твиттер: @Stratoscale

    10.Предоставьте доступ из определенных групп безопасности Amazon EC2 или определенных IP-адресов для любого правила группы безопасности.

    «Amazon Relational Database Service (Amazon RDS) имеет конфигурации групп безопасности, которые проверяются явно, и выдается предупреждение, если правило для группы безопасности предоставляет или может предоставить чрезмерный доступ к вашей базе данных. Для любого правила группы безопасности рекомендуется предоставлять доступ только из определенных групп безопасности Amazon Elastic Compute Cloud (Amazon EC2) или с определенного IP-адреса.

    — Монали Гош, Аудит безопасности AWS и рекомендации , Centilytics;

    11. Создайте группу безопасности по умолчанию для новых экземпляров.

    «При создании нового экземпляра через Salt требуется указать группу безопасности по умолчанию. Чтобы избежать каких-либо нарушений безопасности, создайте группу по умолчанию, которая разрешает только SSH».

    Рекомендации групп безопасности AWS , TrackIt; Твиттер: @TrackItCloud

    12.Ограничьте доступ к группам безопасности EC2.

    «Это предотвратит DoS-атаки, атаки грубой силы и атаки «человек посередине». Кроме того, назначьте свои политики и разрешения управления идентификацией и доступом (IAM) определенным ролям/группам, а не конкретным пользователям».

    — Сехар Саруккай, 10 способов защитить конфиденциальную информацию на AWS , CyberScoop; Твиттер: @CyberScoopNews

    13.

    Создайте отдельных пользователей IAM, затем назначьте их группам, а затем прикрепите политики к группам.

    «Всегда следует создавать отдельных пользователей IAM , добавлять их в группы IAM и присоединять политики IAM к этим группам. Политики определяют разрешения группы , разрешающие или запрещающие доступ к ресурсам AWS. При подключении к группам (а не к пользователям) они упрощают тонкую настройку политики, чтобы она одновременно влияла на группу и всех соответствующих пользователей».

    — Евгений Гольдин, AWS IAM Best Practices , MinOps; Твиттер: @MinOpsInc

    14.Настройте группы безопасности для точек доступа, а не для конкретных ресурсов AWS.

    «По возможности создавайте группы безопасности, ориентированные на точки доступа, а не на конкретные ресурсы AWS. Другими словами, создайте группу безопасности для IP-адресов, связанных с филиалом компании A, филиалом компании B и т. д., а не группу безопасности, указывающую, какие IP-адреса могут получить доступ к EC2_A, EC2_B и т. д. Таким образом, вам нужно будет только обновить правила трафика в одном месте (например, если IP-адрес Филиала компании А изменился, вам нужно будет обновить только группу безопасности Филиала компании А вместо поиска в каждом EC2_A, EC2_B и т. д.группу безопасности и обновление правил дорожного движения во всех местах, где появляется информация о Филиале компании А)».

    — Джулия Стефан, Передовой опыт, советы и рекомендации по управлению вашей архитектурой безопасности , DiamondStream; Твиттер: @DiamondStream1

    15. Будьте осторожны при использовании нескольких групп безопасности.

    Будьте осторожны с несколькими группами безопасности. Вы можете применить несколько групп безопасности к одному экземпляру EC2 или применить одну группу безопасности к нескольким экземплярам EC2.Системные администраторы часто вносят изменения в состояние портов; однако, когда к одному экземпляру применяется несколько групп безопасности, повышается вероятность перекрытия правил безопасности. Например, группа безопасности А открыла порт 80 для всего Интернета. Тем временем группа безопасности B открыла порт 80 для одного IP-адреса. Если вы назначите эти две группы безопасности экземпляру EC2 и измените любую из них, могут возникнуть проблемы. Если вы удалите правила для порта 80 из группы безопасности A, в группе безопасности B по-прежнему будет открыт порт 80.Эти ошибки легче найти, когда имеется небольшое количество экземпляров EC2 или групп безопасности. Большее число затрудняет поиск ошибок».

    — Ruihai Fang, Stand Your Cloud: серия статей о защите AWS , Bishop Fox; Твиттер: @bishopfox

    16. Используйте IAM для управления разрешениями на создание и управление группами безопасности, сетевыми ACL и журналами потоков.

    «Вы можете использовать AWS Identity and Access Management, чтобы контролировать, кто в вашей организации имеет разрешение на создание и управление группами безопасности, сетевыми ACL и журналами потоков. Например, вы можете предоставить такое разрешение только вашим сетевым администраторам, но не персоналу, которому нужно только запускать экземпляры. Дополнительные сведения см. в разделе Управление доступом к ресурсам Amazon VPC.

    «Группы безопасности Amazon и сетевые списки управления доступом не фильтруют трафик в направлении локальных адресов канала (169.254.0.0/16) или из них (169.254.0.0/16) или адресов IPv4, зарезервированных AWS — это первые четыре адреса IPv4 подсети (включая DNS-сервер Amazon). адрес VPC). Точно так же журналы потоков не фиксируют IP-трафик к этим адресам или от них.Эти адреса поддерживают службы: службы доменных имен (DNS), протокол динамической конфигурации хоста (DHCP), метаданные экземпляра Amazon EC2, сервер управления ключами (KMS — управление лицензиями для экземпляров Windows) и маршрутизацию в подсети. Вы можете внедрить в свои экземпляры дополнительные решения брандмауэра, чтобы блокировать сетевое взаимодействие с локальными адресами».

    Безопасность , АРМ; Твиттер: @awscloud

    17.

    Создайте группу безопасности для баз данных, открывающихся через порт 3306, но не разрешайте доступ к Интернету в целом.

    «Вам нужно создать группу безопасности AWS для баз данных, которая открывает порт 3306, но не разрешает доступ к Интернету в целом. Только для группы безопасности вашего веб-сервера, определенной AWS. Вы также можете решить использовать один ящик и группу безопасности, которая разрешает порт 22 (ssh) из Интернета в целом. Все ssh-соединения будут поступать через этот ящик, а внутренние группы безопасности (группы баз данных и веб-серверов) должны разрешать соединения только через порт 22 из этой группы безопасности.

    «При настройке репликации вы будете создавать пользователей и предоставлять привилегии. Вам нужно будет предоставить обозначение имени хоста с подстановочным знаком «%», так как ваши внутренние и внешние IP-адреса будут меняться каждый раз, когда сервер умирает. Это безопасно, поскольку вы предоставляете порт сервера базы данных 3306 только другим группам безопасности AWS, а не хостам в Интернете.

    «Вы также можете решить использовать зашифрованную файловую систему для точки подключения базы данных, резервных копий базы данных и/или всей файловой системы.Будьте особенно осторожны с наиболее конфиденциальными данными. Если диктуют требования соответствия, выберите хранение очень конфиденциальных данных вне облака и безопасные сетевые подключения, чтобы включить их на страницы приложений».

    — Шон Халл, Развертывание MySQL на Amazon EC2 — 8 лучших практик , Масштабируемые стартапы; Твиттер: @hullsean

    18. Держите свои соглашения об именах в секрете.

    «Для более глубокой безопасности убедитесь, что ваше соглашение об именовании групп безопасности Amazon Web Services не говорит само за себя, а также убедитесь, что ваши стандарты именования остаются внутренними.Пример: Группа безопасности AWS с именем UbuntuWebCRMProd не требует пояснений для хакеров, поскольку это веб-уровень Production CRM, работающий на ОС Ubuntu. Имейте автоматизированную программу, определяющую группы безопасности AWS с помощью шаблона регулярных выражений, периодически сканирующего активы AWS SG на наличие информации, раскрывающей имена, и оповещайте группы SOC/управляемого обслуживания».

    — Harish Ganesan, 27 практических советов по группам безопасности Amazon Web Services , облаку, большим данным и мобильным устройствам; Твиттер: @harish21g

    19.Закройте ненужные системные порты.

    «Инстансы EC2 можно защитить с помощью «групп безопасности». Это базовый брандмауэр, который позволяет вам открывать и блокировать сетевой доступ к вашему серверу EC2.

    «Группы безопасности позволяют ограничивать входящие и исходящие соединения для определенных протоколов (UDP и TCP) для общих системных служб (HTTP, DNS, IMAP, POP, MYSQL и т. д.), ограниченных диапазонами IP-адресов, вашим IP-адресом или любым другим.

    «На серверах Linux одними из наиболее распространенных служб являются SSH, HTTP, HTTPS и MySQL. Давайте посмотрим, как мы можем защитить доступ к этим службам с помощью групп безопасности EC2.

    «В консоли управления AWS мы можем добавлять и редактировать правила фильтрации группы безопасности. Давайте посмотрим, как это сделать:

    1. Войдите в Консоль управления AWS.
    2. Нажмите в левом меню: Группы безопасности.
    3. Нажмите на группу безопасности вашего экземпляра.
    4. Нажмите «Изменить», чтобы добавить новые правила или настроить существующие».

    — Chris Ueland, Как защитить виртуальные серверы EC2 , ScaleScale; Твиттер: @scalescalehq

    20.Регулярно пересматривайте свои группы безопасности, чтобы оптимизировать правила.

    «Многие организации начинают переход к облаку на AWS с переноса нескольких приложений, чтобы продемонстрировать мощь и гибкость AWS. Эта начальная архитектура приложения включает в себя создание групп безопасности, которые контролируют сетевые порты, протоколы и IP-адреса, управляющие доступом и трафиком к их виртуальному частному облаку AWS (VPC). Когда процесс создания архитектуры завершен и приложение полностью функционально, некоторые организации забывают повторно посетить свои группы безопасности, чтобы оптимизировать правила и обеспечить надлежащий уровень управления и соответствия требованиям.Неоптимизация групп безопасности может привести к менее чем оптимальной безопасности с открытыми портами, которые могут быть ненужными, или набором исходных диапазонов IP-адресов, которые шире, чем требуется».

    — Гай Денни, Как визуализировать и улучшить безопасность вашей сети, добавив идентификаторы групп безопасности в журналы потоков VPC , AWS; Твиттер: @awscloud

    21. Периодически проверяйте группы безопасности, чтобы выявить группы, не соответствующие установленным соглашениям об именах.

    «Периодически обнаруживайте, оповещайте или удаляйте группы безопасности AWS, которые не соблюдают строго стандарты именования организации. Также используйте автоматизированную программу, выполняющую это как часть операций SOC/Managed service. Как только вы внедрите этот более строгий контроль, все автоматически встанет на свои места».

    — Хариш Ганесан, 27 практических советов по группам безопасности Amazon Web Services , 8 тыс. миль; Твиттер: @8KMiles

    AWS Security Groups vs NACL

    Во второй части серии блогов Cloud Network Security мы обсудим два метода защиты вашей сети в Amazon Web Services: группы безопасности и списки управления доступом к сети (NACL).Оба типа ресурсов действуют как виртуальный брандмауэр для защиты вашей сети, и у них есть некоторые сходства. Например, группы безопасности и NACL используют наборы входящих и исходящих правил для управления входящим и исходящим трафиком ресурсов в VPC.

     

    Однако группы безопасности и NACL работают на разных уровнях в VPC, имеют несколько разные правила по умолчанию и по-разному обрабатывают ответный трафик.

     

    Итак, что лучше всего защитить вашу сеть — группы безопасности или NACL?

     

    На самом деле лучшим решением является реализация обоих типов ресурсов, чтобы заблокировать вашу сеть. Эшелонированная защита — это все, что касается уровней безопасности; группы безопасности и NACL — это два уровня, которые дополняют друг друга.

     

    Но мы вернемся к этому через минуту. Во-первых, давайте быстро рассмотрим основы. Начнем с групп безопасности.

     

     

    Что такое группа безопасности AWS?

    В AWS группа безопасности контролирует входящий или исходящий трафик экземпляра EC2 в соответствии с набором входящих и исходящих правил. Это означает, что он представляет безопасность на уровне экземпляра.Например, правило для входящего трафика может разрешать трафику с одного IP-адреса доступ к экземпляру, а правило для исходящего трафика может разрешать всему трафику покидать экземпляр.

     

    Поскольку группы безопасности функционируют на уровне экземпляра VPC, каждую группу безопасности можно применить к одному или нескольким экземплярам даже в разных подсетях. И каждый экземпляр должен быть связан с одной или несколькими группами безопасности. Чтобы быть точным, группа безопасности связана с сетевым интерфейсом, который подключен к экземпляру, но мы не обсуждаем эту деталь для простоты.

     

    При создании VPC AWS автоматически создает для него группу безопасности по умолчанию. Вы можете добавлять и удалять правила из группы безопасности по умолчанию, но не можете удалить саму группу безопасности.

     

    Теперь рассмотрим NACL.

     

    Что такое NACL AWS?

    В AWS сетевой ACL (или NACL) управляет трафиком, входящим или исходящим из подсети в соответствии с набором входящих и исходящих правил. Это означает, что он представляет безопасность на уровне сети.Например, правило для входящего трафика может запрещать входящий трафик с диапазона IP-адресов, а правило для исходящего трафика может разрешать весь трафик покидать подсеть.

     

    Поскольку NACL функционируют на уровне подсети VPC, каждый NACL может применяться к одной или нескольким подсетям, но каждая подсеть должна быть связана с одним — и только с одним — NACL.

     

    Когда вы создаете VPC, AWS автоматически создает для него NACL по умолчанию. Вы можете добавлять и удалять правила из NACL по умолчанию, но не можете удалить сам NACL.

     

    Какая разница?

    Вы, безусловно, можете защитить свое VPC только с помощью групп безопасности. Поскольку для экземпляров требуются группы безопасности, вы все равно будете их использовать, поэтому вы также можете настроить их в соответствии со своими потребностями. А поскольку группы безопасности и NACL имеют так много общего, с ними можно добиться одинаковых результатов. Но чтобы практиковать эшелонированную защиту, лучшим решением является использование обоих типов ресурсов в качестве виртуальных брандмауэров. Если вы правильно настроите их правила, они составят очень эффективную комбинацию для фильтрации входящего и исходящего трафика ваших экземпляров.

     

    Теперь, когда мы изучили основы, давайте углубимся в то, что отличает группы безопасности и NACL, и, что более важно, как они работают вместе. Мы сосредоточимся на этих ключевых областях:

    • Как воспользоваться «порядком операций»
    • Как они применяются к экземплярам
    • Все, что вы хотели знать о правилах, но боялись спросить
    • Как обрабатывается состояние
    • Разделение обязанностей

     

    Использование «порядка операций»

    Когда трафик входит в вашу сеть, он фильтруется NACL до групп безопасности.

     

    Это означает, что трафик, разрешенный NACL, может затем быть разрешен или запрещен группой безопасности, и трафик, остановленный NACL, никогда не продвинется дальше.

     

    Учитывая этот «порядок операций» при обработке входящего трафика, вот два примера реализации NACL и групп безопасности в тандеме:

     

    Используйте подробные правила с NACL и позвольте группам безопасности управлять подключением между VPC.

    Например, если вы настроите NACL с подробными правилами для управления входящим и исходящим трафиком, NACL могут взять на себя основную тяжесть работы по фильтрации трафика. Вы можете настроить NACL, чтобы разрешить входящий трафик HTTP и HTTPS с любого IP-адреса, запретить весь остальной входящий трафик и разрешить весь исходящий трафик. В качестве другого примера вы можете разрешить входящий доступ по SSH (порт 22) с одного IP-адреса — вашего — и разрешить исходящий доступ через любой порт на тот же IP-адрес.

     

    Между тем, вы можете настроить группу безопасности, чтобы разрешить входящий трафик от себя, обеспечивая связь между ресурсами. Или вы можете настроить группу безопасности, чтобы разрешить входящий и исходящий трафик другой группы безопасности, что позволяет экземплярам в разных подсетях взаимодействовать друг с другом.

     

    Исключите целые классы трафика с помощью NACL и используйте подробные правила с группами безопасности.

    В этом сценарии вы можете настроить NACL, чтобы запретить весь трафик с широкого диапазона IP-адресов на определенный протокол и порт, а остальной трафик оставить в группе безопасности, которая может быть настроена для оценки входящего и исходящего трафика на более детальный уровень. NACL использует грубый подход к управлению трафиком, предоставляя группе безопасности фильтровать остальную часть с помощью мелкозубчатой ​​гребенки.

     

    Применение к экземплярам AWS EC2

    Как упоминалось ранее, группы безопасности работают на уровне экземпляра, а NACL — на уровне подсети.

     

    Группы безопасности являются необходимой формой защиты для экземпляров, поскольку экземпляр должен быть связан хотя бы с одной группой безопасности. Вы не можете запустить экземпляр без него и не можете удалить единственную оставшуюся группу безопасности из существующего экземпляра.

     

    Однако определенная группа безопасности применяется к экземпляру только в том случае, если пользователь намеренно связывает ее с экземпляром либо во время запуска, либо после создания экземпляра.

     

    NACL, с другой стороны, автоматически применяется ко всем экземплярам в подсети, с которой он связан. Это повышает безопасность при использовании в сочетании с группами безопасности. Например, если пользователь случайно свяжет экземпляр с чрезмерно разрешительной группой безопасности, экземпляр все равно может быть защищен NACL.

     

    NACL считаются необязательными формами защиты для инстансов. Подсеть должна иметь NACL, но по умолчанию NACL настроен на разрешение всего входящего и исходящего трафика.Напротив, группы безопасности по умолчанию заблокированы.

     

    Говоря о правилах, давайте рассмотрим, как они работают как для групп безопасности, так и для NACL.

     

    Входящие и исходящие правила

    Как оцениваются правила

    И группы безопасности, и списки NACL имеют правила для входящего и исходящего трафика. Однако AWS оценивает все правила для всех групп безопасности, связанных с экземпляром, прежде чем принять решение о разрешении входящего или исходящего трафика. Применяется наиболее разрешающее правило, поэтому помните, что безопасность вашего экземпляра зависит от вашего самого слабого правила.

     

    Напротив, AWS обрабатывает правила NACL по одному. У каждого правила NACL есть номер, и AWS начинает с правила с наименьшим номером. Если трафик соответствует правилу, оно применяется, и дальнейшие правила не оцениваются. Если трафик не соответствует правилу, AWS переходит к оценке следующего правила.

     

    Правила разрешения и запрета

    Правила группы безопасности неявно запрещают, что означает, что весь трафик запрещен, если это явно не разрешено правилом для входящего или исходящего трафика.Вы можете добавлять или удалять только «разрешающие» правила — вы не можете добавлять или удалять «запрещающие» правила, да и не нужно.

     

    С другой стороны, в NACL можно добавлять или удалять правила «разрешить» и «запретить». Правило для входящего или исходящего трафика может явно разрешать или запрещать соответствующий трафик.

     

    Группы безопасности по умолчанию, NACL по умолчанию

    Когда вы создаете VPC, AWS автоматически создает для вас группу безопасности по умолчанию и NACL по умолчанию .

     

    Вы также можете самостоятельно создавать настраиваемые (не используемые по умолчанию) группы безопасности и списки NACL.

     

    Правила по умолчанию

    Все группы безопасности и списки NACL — как стандартные, так и пользовательские — поставляются с набором правил по умолчанию .

     

    Этот набор правил по умолчанию зависит от того, применяется ли он к стандартной или пользовательской группе безопасности или NACL. Давайте посмотрим на разницу.

     

    Группы безопасности по умолчанию: Созданная AWS группа безопасности по умолчанию имеет одно правило входящего трафика по умолчанию , разрешающее трафик от других экземпляров, связанных с той же группой безопасности.Правило позволяет экземплярам взаимодействовать друг с другом без необходимости выхода в Интернет.

     

    Группы безопасности по умолчанию, как и все группы безопасности, имеют одно правило для исходящего трафика по умолчанию , разрешающее весь исходящий трафик.

     

    Пользовательские группы безопасности: Когда вы создаете пользовательскую (не используемую по умолчанию) группу безопасности, она не имеет правил для входящего трафика по умолчанию.

     

    Созданные пользователем группы безопасности, как и все группы безопасности, имеют одно правило исходящего трафика по умолчанию, разрешающее весь исходящий трафик.

     

    NACL по умолчанию: В отличие от групп безопасности, созданный AWS NACL по умолчанию имеет правила по умолчанию, разрешающие весь входящий и исходящий трафик. Этот NACL по умолчанию имеет одно правило «разрешить все» и одно правило «запретить все» как для входящего, так и для исходящего трафика, всего четыре правила по умолчанию. Сначала обрабатываются разрешающие все правила. Правила запрета всех действий имеют звездочку вместо числа, поэтому они не обрабатываются, если никакое другое правило не соответствует.

     

    В результате списки NACL по умолчанию разрешают весь входящий и исходящий трафик.

     

    Пользовательские NACL: Когда вы создаете настраиваемый (не используемый по умолчанию) NACL, он имеет одно правило запрета всего как для входящего, так и для исходящего трафика, как и NACL по умолчанию. В правилах запрета всего есть звездочка вместо цифры. Однако, в отличие от NACL по умолчанию, настраиваемый NACL не имеет разрешающих все правил, поэтому трафику соответствует правило запрета всего.

     

    В результате настраиваемые NACL по умолчанию запрещают весь входящий и исходящий трафик.

     

    Удаление правил

    Вы можете удалить любое существующее правило для входящего или исходящего трафика в группе безопасности.

     

    Напротив, вы можете удалить любое существующее правило в NACL , кроме для правил по умолчанию, запрещающих все.

     

    В любом случае конечный результат один и тот же — весь входящий и весь исходящий трафик запрещен.

     

     

    Правила NACL, правила группы безопасности и вы

    Правила группы безопасности и правила NACL могут выполнять одни и те же задачи и одинаково контролировать трафик. NACL по умолчанию разрешают все, поэтому, если вы решите оставить их такими, используйте группы безопасности для фильтрации трафика VPC.Однако наиболее безопасным подходом является использование NACL в качестве первой линии защиты, а затем настройка групп безопасности для обработки трафика, разрешенного от NACL. Это можно сделать, настроив одни и те же правила как для групп безопасности, так и для NACL.

     

    Этот метод глубокоэшелонированной защиты обеспечивает избыточность сети и снижает риск неправильной настройки, утечки данных и атак со стороны злоумышленников. Если NACL настроен неправильно, группа безопасности должна быть неправильно настроена таким же образом, чтобы пропускать трафик.Например, если правило NACL открывает порт 22 для всего мира, правило группы безопасности также должно открыть порт 22 для всего мира, чтобы неавторизованный трафик SSH мог пройти к экземпляру.

     

    Состояние

    Еще одно важное различие между группами безопасности и списками NACL заключается в том, применяют ли они правила на основе состояния подключения.

     

    Группы безопасности сохраняют состояние; они автоматически разрешают обратный трафик, независимо от того, какие правила указаны.Если ваш экземпляр отправляет запрос, соединение отслеживается, и ответ принимается независимо от явных входящих правил. Если трафик разрешен в экземпляре, ответ разрешается вне зависимости от явных исходящих правил.

     

    NACL, с другой стороны, не имеют состояния. Если экземпляр в вашей подсети отправляет запрос, соединение не отслеживается, а ответ подчиняется входящим правилам NACL. Аналогичным образом, если трафик в подсеть разрешен, ответ оценивается в соответствии с исходящими правилами.

     

    На практике это означает, что правила NACL обычно идут парами. Для каждого входящего правила для NACL должно быть соответствующее исходящее правило, и наоборот.

     

    Группам безопасности не нужны правила для оценки ответного трафика. Необходимо только определить входящие или исходящие правила для оценки запросов, потому что, как только запрос разрешен, его ответ также автоматически разрешается.

     

    Состояние обычно не имеет большого значения при принятии решения о внедрении групп безопасности и групп безопасности.NACL, потому что оба инструмента могут эффективно контролировать трафик. Основное отличие в отношении сохранения состояния заключается в том, что с группами безопасности вы не можете разрешить трафик в одном направлении, но запретить ответ.

     

    Например, если ваш источник находится за пределами экземпляра и ему разрешен вход, вы не сможете отклонить ответ, потому что он автоматически вернется обратно. Если ваша система безопасности требует очень детального управления для обработки трафика запросов и ответов, NACL больше подходят для этой задачи, поскольку и запросы, и ответы оцениваются в соответствии с явными правилами.

     

    С другой стороны, если у вас небольшая операция и вам не требуется оценка трафика запросов и ответов на таком детальном уровне, группами безопасности легче управлять, и для них требуется меньше правил, чем для NACL.

     

    В конечном счете, оба метода хороши сами по себе, а в сочетании еще лучше.

     

    Разделение обязанностей

    Настройка групп безопасности и NACL способствует разделению обязанностей, что является еще одним передовым методом обеспечения безопасности.Поскольку группы безопасности и NACL работают на разных уровнях, вы можете обеспечить, чтобы за них отвечали разные команды. Если в вашей организации есть группа для уровня безопасности сети и команда для уровня безопасности сервера, сетевые администраторы могут управлять списками NACL, а администраторы сервера могут управлять группами безопасности. Таким образом, одному члену команды будет намного сложнее скомпрометировать оба уровня безопасности. Это также способ продвижения принципа безопасности с наименьшими привилегиями, поскольку обязанности распределяются между командами.

     

    Лучшее из двух миров

    Подведем итог тому, что мы узнали о группах безопасности и NACL:

     

    Оба…

    • Использовать правила для входящего и исходящего трафика для управления трафиком
    • Может применяться к более чем одному экземпляру (группе безопасности) или подсети (NACL)
    • Может быть заблокирован для запрета всего трафика в любом направлении
    • Допустимые методы защиты ресурсов в VPC
    • Совместная работа над резервированием сети и предотвращением несанкционированной активности


    Короче говоря, группы безопасности и NACL можно использовать для защиты вашей сети — по отдельности и вместе.При правильной настройке оба представляют собой эффективные способы защиты ресурсов в вашем VPC. Обратите внимание, что просто наличия этих ресурсов в вашей сети недостаточно; в конце концов, все сводится к тому, как вы их настроите. Ваш самый строгий брандмауэр настолько безопасен, насколько его самое разрешающее правило. И все группы безопасности и все NACL в мире не смогут защитить ваш экземпляр, если есть правило, разрешающее доступ к нему всему трафику из всех источников.

     

    Общие сведения о группах безопасности Amazon — часть 1

    Обзор

    Группа безопасности действует как виртуальный брандмауэр, контролирующий трафик для одного или нескольких экземпляров.Вы можете добавить правила в каждую группу безопасности, которые разрешают трафик в или из связанных с ней экземпляров.

    Группы безопасности связаны с сетевыми интерфейсами. Изменение групп безопасности экземпляра изменяет группы безопасности, связанные с основным сетевым интерфейсом ( eth0 ).

    Правила группы безопасности

    Правила группы безопасности контролируют входящий трафик, которому разрешено достигать экземпляров, связанных с группой безопасности, и исходящий трафик, которому разрешено покидать их.

    Ниже приведены характеристики правил группы безопасности:

    • По умолчанию группы безопасности разрешают весь исходящий трафик .
    • Правила группы безопасности всегда разрешительны; нельзя создавать правила, запрещающие доступ.
    • Группы безопасности сохраняют состояние — если вы отправляете запрос из своего экземпляра, ответный трафик для этого запроса может проходить вне зависимости от входящих правил группы безопасности.

    Для каждого правила вы указываете следующее:

    Протокол Протокол для разрешения.Наиболее распространенными протоколами являются 6 (TCP), 17 (UDP) и 1 (ICMP).
    Диапазон портов Для TCP, UDP или пользовательского протокола — диапазон разрешенных портов. Вы можете указать один номер порта (например, 22) или диапазон номеров портов (например, 7000-8000).
    Тип и код ICMP Для ICMP — тип и код ICMP.
    Источник или назначение Источник (правила для входящего трафика) или пункт назначения (правила для исходящего трафика) для трафика.
    (дополнительно) Описание Описание правила.

    источник или назначение может быть одним из следующих вариантов:

    • Индивидуальный IPv4-адрес. Вы должны использовать префикс /32 .
    • Индивидуальный IPv6-адрес. Вы должны использовать префикс /128 .
    • Диапазон адресов IPv4 в блочной нотации CIDR.
    • Диапазон адресов IPv6 в блочной нотации CIDR.
    • Идентификатор списка префиксов для сервиса AWS.
    • Другая группа безопасности.

    Использование другой группы безопасности в качестве источника или назначения позволяет экземплярам, ​​связанным с указанной группой безопасности, получать доступ к экземплярам, ​​связанным с этой группой безопасности.

    Отслеживание соединения

    Ваши группы безопасности используют отслеживание соединений для отслеживания информации о входящем и исходящем трафике экземпляра. Правила применяются на основе состояния подключения трафика, чтобы определить, разрешен или запрещен трафик.Это позволяет группам безопасности сохранять состояние — ответы на входящий трафик могут выходить из экземпляра независимо от исходящих правил группы безопасности, и наоборот. Например, если вы инициируете команду ICMP ping для своего экземпляра с домашнего компьютера, а правила вашей группы безопасности для входящего трафика разрешают трафик ICMP, информация о соединении (включая информацию о порте) отслеживается. Трафик ответа экземпляра на команду ping отслеживается не как новый запрос, а как установленное соединение, и ему разрешается выходить из экземпляра, даже если правила исходящей группы безопасности ограничивают исходящий трафик ICMP.

    Не все потоки трафика отслеживаются. Если правило группы безопасности разрешает потоки TCP или UDP для всего трафика (0.0.0.0/0) и существует соответствующее правило в другом направлении, которое разрешает весь ответный трафик (0.0.0.0/0) для всех портов (0-65535) , то этот поток трафика не отслеживается. Таким образом, поток ответа разрешен на основе входящего или исходящего правила, которое разрешает трафик ответа, а не на информации об отслеживании.

    ICMP-трафик отслеживается всегда, независимо от правил.Если удалить исходящее правило из группы безопасности, отслеживается весь входящий и исходящий трафик экземпляра, включая трафик на порту 80 (HTTP).

    Группы безопасности по умолчанию

    Ваша учетная запись AWS автоматически имеет группу безопасности по умолчанию для VPC по умолчанию в каждом регионе. Если вы не укажете группу безопасности при запуске инстанса EC2, инстанс будет автоматически связан с группой безопасности по умолчанию для VPC.

    Группа безопасности по умолчанию называется по умолчанию и имеет идентификатор, назначенный AWS.Ниже приведены правила по умолчанию для группы безопасности по умолчанию:

    .
    • Разрешает весь входящий трафик от других экземпляров, связанных с группой безопасности по умолчанию (группа безопасности указывает себя в качестве исходной группы безопасности в своих правилах для входящего трафика).
    • Разрешает весь исходящий трафик от экземпляра.

    Пользовательские группы безопасности

    Если вы не хотите, чтобы ваши экземпляры использовали группу безопасности по умолчанию, вы можете создать свои собственные группы безопасности и указать их при запуске своих экземпляров.Вы можете создать несколько групп безопасности, чтобы отразить различные роли, которые играют ваши экземпляры; например, веб-сервер или сервер базы данных.

    Ниже приведены правила по умолчанию для создаваемой вами группы безопасности:

    • Запрещает входящий трафик.
    • Разрешает весь исходящий трафик.

    Справочник по правилам группы безопасности

    Справочник по настройке групп безопасности для конкретных случаев использования можно найти здесь.

    Пример группы безопасности CloudFormation

    Следующий шаблон CloudFormation определяет группу безопасности, которая разрешает весь входящий трафик HTTP и HTTPS от любого IPv4-адреса или IPv6-адреса:

      EC2SecurityGroup:
      Тип: AWS::EC2::SecurityGroup
      Характеристики:
        Имя группы: !Sub '${AWS::StackName}-sg'
        SecurityGroupIngress:
          - !Ref EC2SecurityGroupIngressHttp
          - !Ref EC2SecurityGroupIngressHttps
    
    EC2SecurityGroupIngressHttp:
      Тип: AWS::EC2::SecurityGroupIngress
      Характеристики:
        Цидрип: 0.0.0.0/0
        CidrIpv6: ::/0
        Описание: Разрешить HTTP-доступ
        Из порта: 80
        Идентификатор группы: !GetAtt EC2SecurityGroup.GroupId
        IP-протокол: 6
        Порт: 80
    
    EC2SecurityGroupIngressHttps:
      Тип: AWS::EC2::SecurityGroupIngress
      Характеристики:
        Цидрип: 0.0.0.0/0
        CidrIpv6: ::/0
        Описание: Разрешить HTTP-доступ
        Из порта: 443
        Идентификатор группы: !GetAtt EC2SecurityGroup.GroupId
        IP-протокол: 6
        Порт: 443
      

    Общие конфигурации групп безопасности для использования с ArcGIS — ArcGIS Enterprise в облаке

    Экземпляры Amazon Elastic Compute Cloud (EC2) и Amazon Virtual Private Cloud (VPC) могут разрешать сетевой трафик только из источников и портов, определенных в их группах безопасности.Поэтому вам может потребоваться настроить правила для групп безопасности в соответствии с тем, что вы будете делать со своими инстансами Amazon. В этом разделе описываются некоторые общие параметры группы безопасности, которые вы можете настроить для различных развертываний ArcGIS.

    По умолчанию группы безопасности полностью заблокированы. Вы можете добавить правила в группу безопасности, указав тип разрешенного трафика, порты, через которые он будет разрешен, и компьютеры, с которых будет приниматься связь.Порты, которые вы решите открыть, и тип трафика, который вам необходимо разрешить, зависят от того, что вы делаете с экземпляром.

    Ниже приведены предложения по именам групп безопасности и правилам, которые вы можете настроить для своих экземпляров в консоли управления Amazon Web Services (AWS). Разрешенные порты и протоколы могут различаться в зависимости от политик вашей организации в области информационных технологий (ИТ). В приведенных ниже предложениях используются наиболее распространенные номера портов. Если в вашей организации есть ИТ-специалист, проконсультируйтесь с ним, чтобы разработать наилучшую стратегию безопасности для ваших экземпляров.

    Экземпляры разработки

    Рассмотрите возможность создания группы безопасности специально для экземпляров EC2 или VPC, которые вы используете для целей разработки и тестирования. Этот тип группы может разрешить следующий доступ:

    • Доступ по протоколу удаленного рабочего стола (RDP) через порт 3389 для вашего IP-адреса или диапазона утвержденных IP-адресов в вашей организации (только для Microsoft Windows).

      Это позволяет вам управлять своим экземпляром через удаленный рабочий стол Windows. Вы должны использовать нотацию бесклассовой междоменной маршрутизации (CIDR), чтобы указать диапазон IP-адресов (или один IP-адрес), которые могут устанавливать соединения.Например, 0.0.0.0/0 позволяет всем подключаться, тогда как 92.23.32.51/32 позволяет подключаться только одному конкретному IP-адресу. Обратитесь к системному администратору, если вам нужна помощь в получении внешнего IP-адреса вашего локального компьютера.

    • TCP-доступ через порт 22 для вашего IP-адреса или диапазона утвержденных IP-адресов в вашей организации (только для Linux).

      Открытие порта 22 позволяет вам работать с экземплярами Linux через SSH.

    • TCP-доступ через порт 6080 или 6443 для всех (если не используется Elastic Load Balancer) или группы безопасности Elastic Load Balancer (если используется Elastic Load Balancer).

      Порт 6080 используется для связи по протоколу HTTP, а порт 6443 используется для связи по протоколу HTTPS с сайтами ArcGIS Server. Если вы не размещаете Elastic Load Balancer перед своим сайтом, вам нужно открыть порт 6080 или 6443 для всех, кто будет использовать ваши веб-сервисы разработки ArcGIS Server. Если вы используете Elastic Load Balancer, откройте порт 6080 или 6443 для группы безопасности Elastic Load Balancer (которую можно обнаружить через Консоль управления AWS и, скорее всего, это такое значение, как amazon-elb/amazon-elb-sg).

    • Доступ с других машин в этой группе.

      Это необходимо для того, чтобы компьютеры ArcGIS Server на сайте могли взаимодействовать друг с другом и чтобы компоненты портала ArcGIS Enterprise могли взаимодействовать друг с другом. Это также облегчает обмен файлами.

    Производственные экземпляры

    После того как вы разработали и протестировали свое приложение и готовы перенести его на производственный уровень, рекомендуется отключить удаленный доступ к рабочему столу. Если возникает проблема и вам необходимо войти в систему, вы можете временно изменить конфигурацию группы безопасности, чтобы разрешить себе доступ.Производственная группа ArcGIS может разрешить следующий доступ:

    • TCP-доступ через порт 6443 для диапазона IP-адресов (если не используется Elastic Load Balancer) или группы безопасности Elastic Load Balancer (если используется Elastic Load Balancer).
    • TCP-доступ через порт 7443 для диапазона IP-адресов.
    • Доступ с других машин в этой группе.

    Защищенные производственные экземпляры

    Если вы хотите использовать зашифрованную связь с вашим компьютером, вам следует настроить Elastic Load Balancer на своем сайте, который получает трафик через порт 443, который обычно используется для зашифрованной связи через SSL.Затем настройте балансировщик нагрузки для перенаправления трафика на порт 6443 для многомашинных сайтов ArcGIS Server и порт 7443 для порталов ArcGIS Enterprise. В вашей группе безопасности откройте описанные выше порты для рабочей среды ArcGIS.

    Обычно используемые порты

    Ниже приведены некоторые из наиболее распространенных портов, с которыми вы можете работать при создании групп безопасности. Некоторые из этих портов вам не нужно явно открывать; скорее, вы можете просто решить предоставить машинам в вашей группе безопасности полный доступ друг к другу.Если вы хотите разрешить доступ с компьютеров, не входящих в ваши группы безопасности (например, с вашей настольной рабочей станции в офисе), вам необходимо открыть определенные номера портов.

    Порт общего назначения

    22

    Подключение через SSH

    80

    HTTP доступ к веб-серверу IIS или балансировки нагрузки

    443

    HTTPS доступ к веб-серверу IIS или балансировки нагрузки

    445

    обмена файлами для Windows

    3389

    Подключение через Windows Remote Desktop

    6080

    доступа HTTP к ArcGIS Server

    6443

    HTTPS доступ к ArcGIS Server

    7443

    HTTPS доступ к порталу для ArcGIS

    2443

    Связь с ArcGIS Data Store*

    *Внешние клиенты не имеют прямого доступа к ArcGIS Data Store; соединения проходят через сайт ArcGIS Server, для которого вы создали хранилище данных.

    Брандмауэр Windows включен на любом экземпляре Windows, который вы запускаете с помощью Esri Amazon Machine Image. Если вы устанавливаете стороннее приложение, для которого требуются порты, отличные от перечисленных выше, убедитесь, что брандмауэр Windows также настроен на разрешение порта.

    Для получения информации о дополнительных портах, используемых компонентами ArcGIS Enterprise, см. следующие страницы:


    Отзыв по этой теме?

    Заметки о группах безопасности (брандмауэр EC2) — GEOS-Chem в облаке

    В кратком руководстве я просил вас пропустить детали конфигурации EC2.Если вы не последовали моему слову и перепутали «Шаг 6: Настройка группы безопасности», у вас могут возникнуть проблемы с ssh для вашего экземпляра EC2. (Неправильно настроенная группа безопасности должна быть наиболее распространенной причиной, по которой вы не можете ssh подключиться к вашему серверу. Другие возможные ситуации см. в разделе Устранение неполадок подключения EC2.)

    На шаге 6 по умолчанию будет создана новая «группа безопасности» с именем «launch-wizard-x»:

    «Группа безопасности» определяет, каким IP-адресам разрешен доступ к вашему серверу.Как вы уже видите в предупреждающем сообщении выше, текущая настройка позволяет разрешить подключение с любого IP-адреса (IP-номер «0.0.0.0/0» означает все IP-адреса, что эквивалентно выбору «Anywhere» в опции «Source» выше) , но только для типа подключения SSH (напомним, что «22» — это номер порта для SSH). Как правило, это нормально, так как вам также необходимо иметь пару ключей EC2 для доступа к этому серверу. Вы также можете установить «Источник» на «Мой IP», чтобы добавить еще один уровень безопасности (это означает, что ваш друг не сможет получить доступ к вашему серверу, даже если у него есть ваша пара ключей EC2).

    Однако, если вы ошиблись, скажите, что выбрана группа безопасности «по умолчанию»:

    В этом случае под параметром «Источник» находится идентификатор самой группы безопасности по умолчанию. Это означает, что НИКАКИЕ внешние IP-адреса не могут подключаться к этому серверу, поэтому вы не сможете ssh подключиться к нему со своего собственного компьютера.

    Если вы уже облажались и запустили экземпляр EC2, щелкните правой кнопкой мыши свой экземпляр EC2 в консоли, выберите «Сеть» — «Изменить группы безопасности», чтобы назначить более разрешительную группу безопасности.

    Вы можете просмотреть существующие группы безопасности на странице «Группы безопасности» в консоли EC2:

    Если вы запустили несколько экземпляров EC2, точно следуя шагам, описанным в кратком руководстве, и всегда пропускали «Шаг 6. Настройка группы безопасности», вы увидите несколько групп безопасности с именами «launch-wizard-1», «launch-wizard- 2”… Они создаются автоматически каждый раз, когда вы запускаете новые инстансы EC2. У них абсолютно одинаковые настройки (разрешить SSH-подключение со всех IP-адресов), поэтому вам нужно оставить только одну (удалить другие) и просто выбрать ее в «Шаг 6: Настройка группы безопасности» во время запуска инстанса EC2.Вы также можете изменить существующую группу безопасности, щелкнув ее правой кнопкой мыши и выбрав «Редактировать входящие правила».

    Это все, что вам нужно знать о группах безопасности. В отличие от локальных кластеров высокопроизводительных вычислений, которые могут обеспечить строгий контроль безопасности, облачные платформы открыты для всего мира и поэтому требуют сложных настроек безопасности для работы в различных ситуациях. Скажем, вы планируете получать доступ к серверу только со своего компьютера, или хотите открыть доступ для членов вашей группы, или даже открыть для более широкой публики? Эта сложность может немного сбить с толку новичков.

    Группа безопасности сети — как это работает

    • Статья
    • 5 минут на чтение
    • 4 участника

    Полезна ли эта страница?

    да Нет

    Любая дополнительная обратная связь?

    Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

    Представлять на рассмотрение

    В этой статье

    . Вы можете использовать группу безопасности сети Azure для фильтрации сетевого трафика к ресурсам Azure и от них в виртуальной сети Azure. Группа безопасности сети содержит правила безопасности, которые разрешают или запрещают входящий или исходящий сетевой трафик для нескольких типов ресурсов Azure.Для каждого правила можно указать источник и назначение, порт и протокол.

    Вы можете развернуть ресурсы из нескольких служб Azure в виртуальной сети Azure. Полный список см. в разделе Службы, которые можно развернуть в виртуальной сети. Вы можете связать ноль или одну группу безопасности сети с каждой подсетью виртуальной сети и сетевым интерфейсом на виртуальной машине. Одна и та же группа безопасности сети может быть связана с любым количеством подсетей и сетевых интерфейсов.

    На следующем рисунке показаны различные сценарии развертывания групп безопасности сети для разрешения сетевого трафика в Интернет и из Интернета через TCP-порт 80:

    .

    См. предыдущее изображение вместе со следующим текстом, чтобы понять, как Azure обрабатывает входящие и исходящие правила для групп безопасности сети:

    Входящий трафик

    Для входящего трафика Azure сначала обрабатывает правила в группе безопасности сети, связанной с подсетью, если она есть, а затем правила в группе безопасности сети, связанной с сетевым интерфейсом, если он есть.

    • VM1 : Правила безопасности в NSG1 обрабатываются, поскольку он связан с Subnet1 , а VM1 находится в Subnet1 . Если вы не создали правило, разрешающее входящий порт 80, трафик запрещается правилом безопасности по умолчанию DenyAllInbound и никогда не оценивается NSG2 , поскольку NSG2 связан с сетевым интерфейсом. Если NSG1 имеет правило безопасности, разрешающее порт 80, трафик затем обрабатывается NSG2 .Чтобы разрешить порт 80 для виртуальной машины, как NSG1 , так и NSG2 должны иметь правило, разрешающее порт 80 из Интернета.
    • VM2 : правила в NSG1 обрабатываются, поскольку VM2 также находится в Subnet1 . Поскольку VM2 не имеет группы безопасности сети, связанной с ее сетевым интерфейсом, она получает весь трафик, разрешенный через NSG1 , или получает отказ от всего трафика, запрещенного NSG1 . Трафик разрешается или запрещается ко всем ресурсам в одной подсети, когда группа безопасности сети связана с подсетью.
    • VM3 : поскольку группа безопасности сети не связана с Subnet2 , трафик в подсеть разрешен и обрабатывается NSG2 , поскольку NSG2 связан с сетевым интерфейсом, подключенным к VM3 .
    • VM4 : трафик разрешен для VM4, , поскольку группа безопасности сети не связана с Subnet3 или с сетевым интерфейсом в виртуальной машине. Весь сетевой трафик разрешен через подсеть и сетевой интерфейс, если с ними не связана группа безопасности сети.

    Исходящий трафик

    Для исходящего трафика Azure сначала обрабатывает правила в группе безопасности сети, связанной с сетевым интерфейсом, если он есть, а затем правила в группе безопасности сети, связанной с подсетью, если она есть.

    • VM1 : Обрабатываются правила безопасности в NSG2 . Если вы не создадите правило безопасности, запрещающее исходящий порт 80 в Интернет, трафик разрешается правилом безопасности по умолчанию AllowInternetOutbound как в NSG1 , так и в NSG2 .Если NSG2 имеет правило безопасности, запрещающее порт 80, трафик запрещается и никогда не оценивается NSG1 . Чтобы запретить порт 80 для виртуальной машины, в одной или обеих группах безопасности сети должно быть правило, запрещающее порт 80 в Интернете.
    • VM2 : Весь трафик отправляется через сетевой интерфейс в подсеть, поскольку сетевой интерфейс, подключенный к VM2 , не имеет связанной с ним группы безопасности сети. Обрабатываются правила в NSG1 .
    • VM3 : если NSG2 имеет правило безопасности, запрещающее порт 80, трафик запрещается. Если NSG2 имеет правило безопасности, разрешающее порт 80, то порт 80 разрешен для исходящего трафика в Интернет, поскольку группа безопасности сети не связана с Subnet2 .
    • VM4 : разрешен весь сетевой трафик от VM4, , поскольку группа безопасности сети не связана с сетевым интерфейсом, подключенным к виртуальной машине, или с Subnet3 .

    Трафик внутри подсети

    Важно отметить, что правила безопасности в группе безопасности сети, связанной с подсетью, могут влиять на подключение между виртуальными машинами внутри нее. Например, если к NSG1 добавить правило, запрещающее весь входящий и исходящий трафик, VM1 и VM2 больше не смогут взаимодействовать друг с другом. Чтобы разрешить это, необходимо добавить еще одно правило.

    Вы можете легко просмотреть совокупные правила, применяемые к сетевому интерфейсу, просмотрев действующие правила безопасности для сетевого интерфейса.Вы также можете использовать функцию проверки IP-потока в Наблюдателе за сетями Azure, чтобы определить, разрешен ли обмен данными с сетевым интерфейсом или с ним. Проверка IP-потока сообщает вам, разрешено или запрещено соединение, а также какое правило сетевой безопасности разрешает или запрещает трафик.

    Примечание

    Группы безопасности сети связаны с подсетями или с виртуальными машинами и облачными службами, развернутыми в классической модели развертывания, а также с подсетями или сетевыми интерфейсами в модели развертывания Resource Manager.Дополнительные сведения о моделях развертывания Azure см. в статье Общие сведения о моделях развертывания Azure.

    Наконечник

    Если у вас нет особой причины, мы рекомендуем связать группу безопасности сети с подсетью или с сетевым интерфейсом, но не с тем и другим одновременно.

    Добавить комментарий

    Ваш адрес email не будет опубликован.