<div dir="ltr"><div><div>Hi,<br><br></div>I understand that it's more user-friendly to enable by default all traffic to VMs,<br></div><div>but it seems clearly unsecure to enable  by default all traffic to VMs (including ssh from internet!!!),<br></div><div>as it increases the VM exposition surface on internet and reduces its security.<br></div><div><br><br><br></div><div>Cédric/ZZelle <br></div><div><br><br><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 1, 2016 at 11:52 PM, Kevin Benton <span dir="ltr"><<a href="mailto:kevin@benton.pub" target="_blank">kevin@benton.pub</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi,<div><br></div><div>I know this has come up in the past, but some folks in the infra channel brought up the topic of changing the default security groups to allow all traffic.</div><div><br></div><div>They had a few reasons for this that I will try to summarize here:</div><div>* Ports 'just work' out of the box so there is no troubleshooting to eventually find out that ingress is blocked by default. </div><div>* Instances without ingress are useless so a bunch of API calls are required to make them useful.</div><div>* Some cloud providers allow all traffic by default (e.g. Digital Ocean, RAX).</div><div>* It violates the end-to-end principle of the Internet to have a middle-box meddling with traffic (the compute node in this case).</div><div>* Neutron cannot be trusted to do what it says it's doing with the security groups API so users want to orchestrate firewalls directly on their instances.</div><div><br></div><div><br></div><div>So this ultimately brings up two big questions. First, can we agree on a set of defaults that is different than the one we have now; and, if so, how could we possibly manage upgrades where this will completely change the default filtering for users using the API?</div><div><br></div><div>Second, would it be acceptable to make this operator configurable? This would mean users could receive different default filtering as they moved between clouds.</div><div><br></div><div><br></div><div>Cheers,</div><div>Kevin Benton</div></div>
<br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br></div>