Difference between revisions of "UEC: Security"
Onnowpurbo (talk | contribs) (New page: Eucalyptus provides ingress filtering for the instances based on the concept of security groups. A Security Group is a named set of rules that Eucalyptus applies to the incoming packets fo...) |
Onnowpurbo (talk | contribs) |
||
(3 intermediate revisions by the same user not shown) | |||
Line 1: | Line 1: | ||
− | Eucalyptus | + | Eucalyptus memberikan ingress filtering untuk instance berbasis pada konsep security group. Sebuah Security Group adalah sekumpulan aturan yang dijalankan oleh Eucalyptus terhadap paket yang masuk ke instance di mode Managed dan Managed-NOVLAN. Kita dapat menentukan sebuah security group pada saat menjalankan sebuah instance. Setiap security group dapat mempunyai banyak aturan terkait dengannya. Setiap aturan menentukan source IP/network, tipe protocol, port tujuan dll. Semua paket yang cocok dengan parameter yang di tentukan akan di ijinkan. Paket lainnya akan di blokir. |
− | + | WARNING: sebuah security group yang tidak mempunyai aturan yang terkait dengannya akan memblokir semua traffic yang masuk. | |
− | + | Mekanisme yang akan hanya memberikan ingress filtering dan tidak memberikan egress filtering. Akibatnya semua outbound traffic akan di ijinkan. Jika kita perlu mengimplementasikan egress filtering, kita perlu menjalankan dari dalam instance menggunakan firewall. | |
− | + | Tool seperti Hybridfox akan memudahkan kita dalam memanage manage security group dan memungkinkan kita menset sebuah security group pada saat menjalankan sebuah instance. | |
− | + | Berikut adalah beberapa perintah euca untuk memanage security group: | |
− | + | Buat security group dengan nama “webservers” : | |
− | |||
− | |||
− | |||
− | + | uecadmin@client1:~$ euca-add-group -d "Web Servers" webservers | |
− | |||
− | |||
− | |||
− | |||
− | + | Tambahkan aturan ke security group “webservers” yang mengijinkan traffic icmp dan tcp dari a.b.c.d : | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | + | uecadmin@client1:~$ euca-authorize -P tcp -s a.b.c.d webservers | |
− | + | uecadmin@client1:~$ euca-authorize -P icmp -s a.b.c.d webservers | |
− | |||
− | |||
− | + | Aturan yang kita tambahkan dapat dilihat menggunakan perintah euca-describe-groups | |
− | |||
− | |||
− | |||
− | + | $ euca-describe-groups | |
− | + | GROUP admin default default group | |
− | + | GROUP admin webservers Web Servers | |
− | + | PERMISSION admin webservers ALLOWS icmp -1 -1 FROMCIDR 0.0.0.0/0 | |
+ | PERMISSION admin webservers ALLOWS tcp 22 22 FROMCIDR 0.0.0.0/0 | ||
+ | |||
+ | Jalankan sebuah instance dengan menggunakan security group “webservers” : | ||
+ | |||
+ | uecadmin@client1:~$ euca-run-instances emi-XXXXXXXX -k mykey -g webservers | ||
+ | |||
+ | Lihat daftar detail dari security groups yang ada : | ||
+ | |||
+ | euca-describe-groups | ||
+ | |||
+ | Buang aturan untuk traffic icmp dari sumber IP a.b.c.d untuk security group “webservers” : | ||
+ | |||
+ | uecadmin@client1:~$ euca-revoke -P icmp -s a.b.c.d webservers | ||
+ | |||
+ | Buang / delete security group “webservers” : | ||
+ | |||
+ | euca-delete-group webservers | ||
− | |||
− | |||
− | |||
− | |||
==Referensi== | ==Referensi== | ||
* http://cssoss.wordpress.com/2010/05/10/eucalyptus-beginner%E2%80%99s-guide-%E2%80%93-uec-edition-chapter-8-%E2%80%93%C2%A0security/ | * http://cssoss.wordpress.com/2010/05/10/eucalyptus-beginner%E2%80%99s-guide-%E2%80%93-uec-edition-chapter-8-%E2%80%93%C2%A0security/ | ||
− | |||
==Pranala Menarik== | ==Pranala Menarik== | ||
− | * [[Ubuntu Enterprise Cloud: | + | * [[Ubuntu Enterprise Cloud: Panduan Untuk Pemula]] '''RECOMMENDED''' |
* [[Ubuntu Enterprise Cloud: Instalasi UEC]] | * [[Ubuntu Enterprise Cloud: Instalasi UEC]] | ||
* [[Cloud Computing]] | * [[Cloud Computing]] |
Latest revision as of 07:49, 22 March 2011
Eucalyptus memberikan ingress filtering untuk instance berbasis pada konsep security group. Sebuah Security Group adalah sekumpulan aturan yang dijalankan oleh Eucalyptus terhadap paket yang masuk ke instance di mode Managed dan Managed-NOVLAN. Kita dapat menentukan sebuah security group pada saat menjalankan sebuah instance. Setiap security group dapat mempunyai banyak aturan terkait dengannya. Setiap aturan menentukan source IP/network, tipe protocol, port tujuan dll. Semua paket yang cocok dengan parameter yang di tentukan akan di ijinkan. Paket lainnya akan di blokir.
WARNING: sebuah security group yang tidak mempunyai aturan yang terkait dengannya akan memblokir semua traffic yang masuk.
Mekanisme yang akan hanya memberikan ingress filtering dan tidak memberikan egress filtering. Akibatnya semua outbound traffic akan di ijinkan. Jika kita perlu mengimplementasikan egress filtering, kita perlu menjalankan dari dalam instance menggunakan firewall.
Tool seperti Hybridfox akan memudahkan kita dalam memanage manage security group dan memungkinkan kita menset sebuah security group pada saat menjalankan sebuah instance.
Berikut adalah beberapa perintah euca untuk memanage security group:
Buat security group dengan nama “webservers” :
uecadmin@client1:~$ euca-add-group -d "Web Servers" webservers
Tambahkan aturan ke security group “webservers” yang mengijinkan traffic icmp dan tcp dari a.b.c.d :
uecadmin@client1:~$ euca-authorize -P tcp -s a.b.c.d webservers uecadmin@client1:~$ euca-authorize -P icmp -s a.b.c.d webservers
Aturan yang kita tambahkan dapat dilihat menggunakan perintah euca-describe-groups
$ euca-describe-groups GROUP admin default default group GROUP admin webservers Web Servers PERMISSION admin webservers ALLOWS icmp -1 -1 FROMCIDR 0.0.0.0/0 PERMISSION admin webservers ALLOWS tcp 22 22 FROMCIDR 0.0.0.0/0
Jalankan sebuah instance dengan menggunakan security group “webservers” :
uecadmin@client1:~$ euca-run-instances emi-XXXXXXXX -k mykey -g webservers
Lihat daftar detail dari security groups yang ada :
euca-describe-groups
Buang aturan untuk traffic icmp dari sumber IP a.b.c.d untuk security group “webservers” :
uecadmin@client1:~$ euca-revoke -P icmp -s a.b.c.d webservers
Buang / delete security group “webservers” :
euca-delete-group webservers