Quản lý Security Group của máy chủ trong Portal Cloud Gdata
Giới thiệu
Security Group là cơ chế tường lửa ảo được sử dụng để kiểm soát lưu lượng mạng ra vào máy chủ trong Portal Cloud Gdata.
Thông qua Security Group, người dùng có thể cho phép hoặc từ chối các kết nối đến máy chủ theo địa chỉ IP, giao thức và cổng dịch vụ.
Việc cấu hình Security Group đúng cách giúp tăng cường bảo mật, giảm thiểu nguy cơ truy cập trái phép và bảo vệ hệ thống trước các rủi ro từ Internet.
Điều kiện trước khi thực hiện
• Đã đăng nhập Portal Cloud Gdata
• Máy chủ đang tồn tại trong Project
• Đã có Security Group được tạo trong Project
• Tài khoản có quyền quản lý máy chủ
Nguyên nhân phổ biến
Người dùng thường quản lý Security Group trong các trường hợp:
• Mở cổng SSH hoặc RDP
• Công khai Website ra Internet
• Mở cổng Database
• Hạn chế truy cập theo địa chỉ IP
• Cấu hình bảo mật cho ứng dụng
Hướng dẫn thực hiện
Bước 1: Truy cập danh sách Security Group
Portal Cloud Gdata hiển thị toàn bộ Security Group đang được gắn với máy chủ.
Thực hiện:
Truy cập trang Chi tiết máy chủ.
Chọn tab Security Group.
Hệ thống hiển thị danh sách Security Group đang áp dụng.
Kiểm tra:
• Hiển thị Interface đang sử dụng
• Hiển thị tên Security Group
• Hiển thị đầy đủ các Security Group đang được gắn
Lưu ý:
• Một máy chủ có thể sử dụng nhiều Security Group cùng lúc.
Bước 2: Xem Security Group đang áp dụng
Người dùng có thể kiểm tra nhanh các nhóm bảo mật hiện tại.
Thực hiện:
Quan sát danh sách Security Group.
Kiểm tra từng Security Group được gắn với Interface.
Đối chiếu với nhu cầu sử dụng thực tế.
Kiểm tra:
• Security Group hiển thị chính xác
• Không có Security Group dư thừa
• Các nhóm bảo mật phù hợp với dịch vụ đang chạy
Lưu ý:
• Nên định kỳ kiểm tra Security Group để giảm thiểu rủi ro bảo mật.
Bước 3: Thêm Security Group vào máy chủ
Portal Cloud Gdata cho phép áp dụng thêm Security Group mà không cần khởi động lại máy chủ.
Thực hiện:
Nhấn Thêm Security Group.
Chọn Security Group cần áp dụng.
Nhấn Xác nhận.
Hệ thống tự động gắn Security Group vào máy chủ.
Kiểm tra:
• Security Group mới xuất hiện trong danh sách
• Các rule được áp dụng
• Dịch vụ hoạt động bình thường
Lưu ý:
• Chỉ có thể chọn Security Group thuộc cùng Project.
Bước 4: Tạo Security Group mới
Người dùng có thể tạo Security Group mới trực tiếp từ giao diện máy chủ.
Thực hiện:
Tại cửa sổ Thêm Security Group.
Nhấn Tạo Security Group mới.
Hệ thống chuyển tới giao diện tạo Security Group.
Khai báo tên và các rule bảo mật.
Lưu cấu hình.
Kiểm tra:
• Security Group mới được tạo thành công
• Xuất hiện trong danh sách lựa chọn
• Có thể gắn vào máy chủ
Lưu ý:
• Nên đặt tên phản ánh đúng mục đích sử dụng.
Bước 5: Gỡ Security Group khỏi máy chủ
Khi không còn nhu cầu sử dụng, Security Group có thể được gỡ khỏi máy chủ.
Thực hiện:
Tại danh sách Security Group.
Nhấn biểu tượng xóa.
Xác nhận thao tác.
Hệ thống sẽ ngừng áp dụng Security Group đó.
Kiểm tra:
• Security Group không còn xuất hiện
• Rule tương ứng không còn hiệu lực
• Máy chủ vẫn hoạt động bình thường
Lưu ý:
• Không nên gỡ Security Group đang phục vụ truy cập quản trị nếu chưa có nhóm thay thế.
Bước 6: Kiểm tra hiệu lực của Security Group
Sau khi thay đổi Security Group, người dùng nên xác minh khả năng truy cập thực tế.
Thực hiện:
Kiểm tra các dịch vụ đang hoạt động.
Thử kết nối từ bên ngoài.
Xác nhận các cổng cần thiết vẫn hoạt động.
Kiểm tra:
• SSH truy cập bình thường
• RDP hoạt động bình thường
• Website hoạt động bình thường
• Database phản hồi đúng
Lưu ý:
• Security Group và Firewall hệ điều hành có thể hoạt động đồng thời.
Bước 7: Quản lý nhiều Security Group trên cùng máy chủ
Portal Cloud Gdata cho phép sử dụng nhiều Security Group cùng lúc để đơn giản hóa quản trị.
Thực hiện:
Tạo các Security Group theo từng mục đích sử dụng.
Gắn nhiều Security Group cho cùng một Interface.
Kiểm tra lại các rule được áp dụng.
Kiểm tra:
• Security Group quản trị
• Security Group Web Server
• Security Group Database
• Security Group VPN
Lưu ý:
• Nên tách Security Group theo chức năng thay vì tạo một nhóm quá lớn.
Kết quả sau khi thực hiện
Kết quả:
• Xem được Security Group đang áp dụng
• Thêm Security Group mới cho máy chủ
• Gỡ Security Group không còn sử dụng
• Tạo Security Group trực tiếp từ giao diện quản lý
• Kiểm soát lưu lượng mạng hiệu quả
• Nâng cao mức độ bảo mật cho hệ thống
Các lỗi thường gặp
Lỗi: Không thể truy cập dịch vụ sau khi thay đổi Security Group
Nguyên nhân:
• Chưa mở đúng cổng dịch vụ
• Rule bị cấu hình sai
• Firewall hệ điều hành đang chặn
Cách xử lý:
• Kiểm tra lại Security Group
• Kiểm tra Firewall trong hệ điều hành
• Xác minh cổng dịch vụ đang sử dụng
Lỗi: Không thể thêm Security Group
Nguyên nhân:
• Security Group không thuộc cùng Project
• Hệ thống đang xử lý tác vụ khác
• Tài khoản không đủ quyền
Cách xử lý:
• Kiểm tra Project hiện tại
• Chờ tác vụ hoàn tất
• Kiểm tra quyền tài khoản
Khuyến nghị và lưu ý bảo mật
• Chỉ mở các cổng thực sự cần thiết
• Hạn chế sử dụng dải IP 0.0.0.0/0 cho dịch vụ quản trị
• Định kỳ rà soát Security Group
• Tách riêng Security Group cho từng loại dịch vụ
• Kiểm tra Security Group sau mỗi lần thay đổi hạ tầng hoặc triển khai ứng dụng mới