日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云服務器 ECS 實踐教程 安全最佳實踐 ECS安全組實踐(入方向規則)

ECS安全組實踐(入方向規則)

更新時間:
產品詳情
我的收藏

您可以通過配置安全組規則,允許或禁止安全組內的ECS實例訪問公網或私網,實現對云資源的訪問控制和網絡安全防護。本文介紹配置安全組的入方向規則的最佳實踐。

安全組實踐建議

您在云端安全組提供類似虛擬防火墻功能,用于設置單臺或多臺ECS實例的網絡訪問控制,是重要的安全隔離手段。創建ECS實例時,您必須選擇一個安全組。您還可以添加安全組規則,對某個安全組下的所有ECS實例的出方向和入方向進行網絡控制。

在使用安全組前,您應先了解以下實踐建議:

  • 最重要的規則:安全組應作為白名單使用。

  • 開放應用出入規則時應遵循最小授權原則。例如,您可以選擇開放具體的端口,如80端口。

  • 不應使用一個安全組管理所有應用,因為不同的分層一定有不同的需求。

  • 對于分布式應用來說,不同的應用類型應該使用不同的安全組,例如,您應對Web層、Service層、Database層、Cache層使用不同的安全組,暴露不同的出入規則和權限。

  • 避免為每臺實例單獨設置一個安全組,控制管理成本。

  • 優先考慮專有網絡VPC。

  • 不需要公網訪問的資源不必提供公網IP。

  • 盡可能保持單個安全組的規則簡潔。因為一臺實例最多可以加入五個安全組,一個安全組最多可以包括200條安全組規則,所以一臺ECS實例可能同時應用數百條安全組規則。您可以聚合所有分配的安全規則以判斷是否允許流入或流出,但是,如果單個安全組規則很復雜,就會增加管理的復雜度。

  • 阿里云的控制臺提供了克隆安全組和安全組規則的功能。如果您想要修改線上的安全組和規則,您應該先克隆一個安全組,再在克隆的安全組上進行調試,以避免直接影響線上應用。

    重要

    調整線上的安全組的出入規則是比較危險的動作。如果您無法確定,不應隨意更新安全組出入規則的設置。

避免設置0.0.0.0/0授權對象

允許全部入網訪問是經常犯的錯誤。使用0.0.0.0/0意味著所有的端口都對外暴露了訪問權限。這是非常不安全的。正確的做法是,先拒絕所有的端口對外開放。安全組應該是白名單訪問。例如,如果您需要暴露Web服務,默認情況下可以只開放80、8080和443等常用TCP端口,其它的端口都應關閉。

{ "IpProtocol" : "tcp", "FromPort" : "80", "ToPort" : "80", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
{ "IpProtocol" : "tcp", "FromPort" : "8080", "ToPort" : "8080", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
{ "IpProtocol" : "tcp", "FromPort" : "443", "ToPort" : "443", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,

關閉不需要的入網規則

如果您當前使用的入規則已經包含了0.0.0.0/0,您需要重新審視自己的應用需要對外暴露的端口和服務。如果確定不想讓某些端口直接對外提供服務,您可以加一條拒絕的規則。例如,如果您的服務器上安裝了MySQL數據庫服務,默認情況下您不應該將3306端口暴露到公網,此時,您可以添加一條拒絕規則,如下所示,并將其優先級設為100,即優先級最低。

{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceCidrIp" : "0.0.0.0/0", "Policy": "drop", "Priority": 100} ,

上述調整會導致所有的端口都無法訪問3306端口,極有可能會阻止您的正常業務需求。在這種情況下,您可以通過授權另外一個安全組的資源進行入方向規則訪問。

以安全組為授權對象添加規則

不同的安全組按照最小原則開放相應的出入規則。對于不同的應用分層,應該使用不同的安全組,不同的安全組應有相應的出入規則。

例如,如果是分布式應用,您會區分不同的安全組,但是不同的安全組可能網絡不通,此時,您不應該直接授權IP或者CIDR網段,而是直接授權另外一個安全組ID的所有資源都可以直接訪問。例如,您的應用對Web、Database分別創建了不同的安全組:sg-websg-database。在sg-database中,您可以添加如下規則,授權所有的sg-web安全組的資源訪問您的3306端口。

{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceGroupId" : "sg-web", "Policy": "accept", "Priority": 2} ,

以IP地址段為授權對象添加規則

經典網絡中,因為網段不可控,建議您使用安全組ID來授信入網規則。

VPC網絡中,您可以通過不同的vSwitch設置不同的IP域,規劃IP地址。因此,在VPC網絡中,您可以默認拒絕所有的訪問,再授信自己的專有網絡的網段訪問,直接授信可以信任的CIDR網段。

{ "IpProtocol" : "icmp", "FromPort" : "-1", "ToPort" : "-1", "SourceCidrIp" : "10.0.0.0/24", "Priority": 2} ,
{ "IpProtocol" : "tcp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", "Priority": 2} ,
{ "IpProtocol" : "udp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", "Priority": 2} ,

修改安全組規則步驟

修改安全組規則可能會影響您的實例間的網絡通信。為了保證必要的網絡通信不受影響,您應先嘗試以下方法放行必要的實例,再執行安全組策略收緊變更。

說明

執行收緊變更后,應觀察一段時間,確認業務應用無異常后再執行其它必要的變更。

  1. 新建一個安全組,將需要互通訪問的實例加入這個安全組。具體操作,請參見創建安全組安全組與ECS實例關聯的管理。

  2. 根據授權類型選擇對應方式修改原有安全組規則。具體操作,請參見修改安全組規則。

    • 如果授權類型為安全組訪問,則需要將互通訪問的對端實例所綁定的安全組ID添加為授權對象。

    • 如果授權類型為地址段訪問,則需要將互通訪問的對端實例內網IP添加為授權對象。