Cloud Firewall, una de las funcionalidades más esperadas -especialmente desde la salida de LKE- ya está disponible de forma general en todas las regiones de Linode. Viene a facilitarnos bastante la vida a los administradores de sistemas que hasta ahora teníamos que configurar las reglas a mano en cada servidor a base de iptables/nftables, UFW… algo que a medida que escalas en número de servidores se vuelve tedioso.
A tener en cuenta:
- Sirve tanto para conexiones externas como internas. Las externas son para Internet y las internas es importante aclararlo ya que dentro de un datacenter no estamos sólos. Todo direccionamiento interno que tengamos con IPs privadas también se puede proteger mediante Cloud Firewall.
- De momento sólo se pueden asignar un servidor a un conjunto de reglas, si intentamos hacerlo a más de uno tendremos el error
"Too many active firewalls attached to Linode [linode_server]"
- Recuerda que a nivel de aplicación sigue siendo necesario un WAF (ej.: mod_security) para protección desde frontales web Apache/Nginx.
Se trata de una excelente aportación a la administración de nuestros servidores, muy fácil de utilizar. Crearemos grupos de reglas, por ejemplo para servidores frontales web (necesitarán conexiones entrantes HTTPS), servidores de BD (tendremos que permitir conexiones a los listeners desde nuestros otros servidores), servidores de monitorización, etc… Una vez creado un grupo de reglas, las asignaremos a nuestros servidores, de forma que nos ahorramos tener que estar definiendo las mismas reglas una y otra vez para cada uno. Recuerda que un servidor no puede estar asignado a más de un grupo a la vez.
Una vez aplicadas las reglas Cloud Firewall comenzará a hacer su trabajo inmediatamente bloqueando todo el tráfico no permitido. En mi caso para frontales web se nota bastante y deja descansar a nftables que venía haciendo todos los bloqueos hasta ahora:
Puedes obtener más información sobre sus capacidades y uso en la guía oficial de Linode.