Een OpenStack security group is een set firewallregels die bepalen welk inkomend en uitgaand netwerkverkeer is toegestaan voor een virtuele machine of 'instance'. Je kunt verschillende security groups maken voor verschillende soorten instances (zoals webserver, database server, etc.) en bepalen welk soort verkeer je wilt toestaan op basis van zaken als IP-adres, protocol en poort.
Een security group is een vorm van een 'firewall op het niveau van het netwerk'. Het controleert verkeer op netwerkniveau, nog voordat het de eigenlijke instance bereikt.
In contrast werkt de firewall binnen het besturingssysteem (OS) van de instance op het niveau van het besturingssysteem. Het controleert het verkeer nadat het door de netwerklaag is gegaan en de instance heeft bereikt.
Het hebben van zowel security groups als een OS-firewall is zowel nuttig als een best practice in cloudbeveiliging. De redenen hiervoor zijn onder meer:
Verdediging in de diepte: Door meerdere lagen van beveiliging te hebben, verhoog je de kans om een aanval te stoppen. Als een aanvaller een beveiligingslaag weet te doorbreken, kunnen ze nog steeds worden gestopt door een andere laag.
Verschillende niveaus van controle: Security groups en OS-firewalls bieden controle op verschillende niveaus. Security groups zijn zeer geschikt voor het beheren van toegang op hoog niveau, terwijl OS-firewalls een fijnmaziger controle mogelijk maken.
Redundantie: Als een van de beveiligingssystemen faalt of verkeerd wordt geconfigureerd, kan het andere nog steeds bescherming bieden.