Difference between revisions of "UEC: Security"
Onnowpurbo (talk | contribs) |
Onnowpurbo (talk | contribs) |
||
| Line 1: | Line 1: | ||
| − | Eucalyptus | + | Eucalyptus memberikan ingress filtering untuk instance berbasis pada konsep security group. Sebuah Security Group adalah sekumpulan aturan yang dijalankan oleh Eucalyptus terhadap paket yang masuk ke instance di mode Managed dan Managed-NOVLAN. Kita dapat menentukan sebuah security group pada saat menjalankan sebuah instance. Setiap security group dapat mempunyai banyak aturan terkait dengannya. Setiap aturan menentukan source IP/network, tipe protocol, port tujuan dll. Semua paket yang cocok dengan parameter yang di tentukan akan di ijinkan. Paket lainnya akan di blokir. |
| − | + | WARNING: sebuah security group yang tidak mempunyai aturan yang terkait dengannya akan memblokir semua traffic yang masuk. | |
| − | + | Mekanisme yang akan hanya memberikan ingress filtering dan tidak memberikan egress filtering. Akibatnya semua outbound traffic akan di ijinkan. Jika kita perlu mengimplementasikan egress filtering, kita perlu menjalankan dari dalam instance menggunakan firewall. | |
| − | + | Tool seperti Hybridfox akan memudahkan kita dalam memanage manage security group dan memungkinkan kita menset sebuah security group pada saat menjalankan sebuah instance. | |
Here are a few euca commands to manage security groups: | Here are a few euca commands to manage security groups: | ||
Revision as of 07:46, 22 March 2011
Eucalyptus memberikan ingress filtering untuk instance berbasis pada konsep security group. Sebuah Security Group adalah sekumpulan aturan yang dijalankan oleh Eucalyptus terhadap paket yang masuk ke instance di mode Managed dan Managed-NOVLAN. Kita dapat menentukan sebuah security group pada saat menjalankan sebuah instance. Setiap security group dapat mempunyai banyak aturan terkait dengannya. Setiap aturan menentukan source IP/network, tipe protocol, port tujuan dll. Semua paket yang cocok dengan parameter yang di tentukan akan di ijinkan. Paket lainnya akan di blokir.
WARNING: sebuah security group yang tidak mempunyai aturan yang terkait dengannya akan memblokir semua traffic yang masuk.
Mekanisme yang akan hanya memberikan ingress filtering dan tidak memberikan egress filtering. Akibatnya semua outbound traffic akan di ijinkan. Jika kita perlu mengimplementasikan egress filtering, kita perlu menjalankan dari dalam instance menggunakan firewall.
Tool seperti Hybridfox akan memudahkan kita dalam memanage manage security group dan memungkinkan kita menset sebuah security group pada saat menjalankan sebuah instance.
Here are a few euca commands to manage security groups:
Create a security group named “webservers” :
uecadmin@client1:~$ euca-add-group -d "Web Servers" webservers
Add a rule to the security group “webservers” allowing icmp and tcp traffic from a.b.c.d :
uecadmin@client1:~$ euca-authorize -P tcp -s a.b.c.d webservers uecadmin@client1:~$ euca-authorize -P icmp -s a.b.c.d webservers
The added rules can be viewed with euca-describe-groups command
$ euca-describe-groups GROUP admin default default group GROUP admin webservers Web Servers PERMISSION admin webservers ALLOWS icmp -1 -1 FROMCIDR 0.0.0.0/0 PERMISSION admin webservers ALLOWS tcp 22 22 FROMCIDR 0.0.0.0/0
Launch an instance associated with the security group “webservers” :
uecadmin@client1:~$ euca-run-instances emi-XXXXXXXX -k mykey -g webservers
List the details of the existing security groups :
euca-describe-groups
Remove the rule for icmp traffic from the source ip a.b.c.d from the security group “webservers” :
uecadmin@client1:~$ euca-revoke -P icmp -s a.b.c.d webservers
Delete the security group “webservers” :
euca-delete-group webservers
Referensi