云服务器实践:配置安全组(一)
导读: 云服务器自带的安全组设置可以提供虚拟防火墙功能,达到重要的安全隔离手段。那么创建ECS云服务器时怎么样来配置安全组呢?
本文主要介绍如何配置安全组的入网规则和安全组内网通讯的概念。
在云端安全组提供类似虚拟防火墙功能,用于设置单个或多个 ECS 实例的网络访问控制,是重要的安全隔离手段。创建 ECS 实例时,您必须选择一个安全组。您还可以添加安全组规则,对某个安全组下的所有 ECS 实例的出方向和入方向进行网络控制。
在配置安全组的入网规则之前,您应已经了解以下安全组相关的信息:
· 安全组限制
· 安全组默认规则
· 设置安全组 In 方向的访问权限
· 设置安全组 Out 方向的访问权限
安全组实践的基本建议
在开始安全组的实践之前,下面有一些基本的建议:
· 最重要的规则:安全组应作为白名单使用。
· 开放应用出入规则时应遵循“最小授权”原则,例如,您可以选择开放具体的端口(如 80 端口)。
· 不应使用一个安全组管理所有应用,因为不同的分层一定有不同的需求。
· 对于分布式应用来说,不同的应用类型应该使用不同的安全组,例如,您应对 Web、Service、Database、Cache 层使用不同的安全组,暴露不同的出入规则和权限。
· 没有必要为每个实例单独设置一个安全组,控制管理成本。
· 优先考虑 VPC 网络。
· 不需要公网访问的资源不应提供公网 IP。
· 尽可能保持单个安全组的规则简洁。因为一个实例最多可以加入 5 个安全组,一个安全组最多可以包括 100 个安全组规则,所以一个实例可能同时应用数百条安全组规则。您可以聚合所有分配的安全规则以判断是否允许流入或留出,但是,如果单个安全组规则很复杂,就会增加管理的复杂度。所以,应尽可能地保持单个安全组的规则简洁。
· 阿里云的控制台提供了克隆安全组和安全组规则的功能。如果您想要修改线上的安全组和规则,您应先克隆一个安全组,再在克隆的安全组上进行调试,从而避免直接影响线上应用。
说明 调整线上的安全组的出入规则是比较危险的动作。如果您无法确定,不应随意更新安全组出入规则的设置。
·
设置安全组的入网规则
以下是安全组的入网规则的实践建议。
不要使用 0.0.0.0/0 的入网规则
允许全部入网访问是经常犯的错误。使用 0.0.0.0/0 意味着所有的端口都对外暴露了访问权限。这是非常不安全的。正确的做法是,先拒绝所有的端口对外开放。安全组应该是白名单访问。例如,如果您需要暴露 Web 服务,默认情况下可以只开放 80、8080 和 443 之类的常用TCP端口,其它的端口都应关闭。
试用
{ "IpProtocol" : "tcp", "FromPort" : "80", "ToPort" : "80", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
{ "IpProtocol" : "tcp", "FromPort" : "8080", "ToPort" : "8080", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
{ "IpProtocol" : "tcp", "FromPort" : "443", "ToPort" : "443", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
关闭不需要的入网规则
如果您当前使用的入规则已经包含了 0.0.0.0/0,您需要重新审视自己的应用需要对外暴露的端口和服务。如果确定不想让某些端口直接对外提供服务,您可以加一条拒绝的规则。比如,如果您的服务器上安装了 MySQL 数据库服务,默认情况下您不应该将 3306 端口暴露到公网,此时,您可以添加一条拒绝规则,如下所示,并将其优先级设为100,即优先级最低。
试用
{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceCidrIp" : "0.0.0.0/0", "Policy": "drop", Priority: 100} ,
上面的调整会导致所有的端口都不能访问 3306 端口,极有可能会阻止您正常的业务需求。此时,您可以通过授权另外一个安全组的资源进行入规则访问。
授权另外一个安全组入网访问
不同的安全组按照最小原则开放相应的出入规则。对于不同的应用分层应该使用不同的安全组,不同的安全组应有相应的出入规则。
例如,如果是分布式应用,您会区分不同的安全组,但是,不同的安全组可能网络不通,此时您不应该直接授权 IP 或者 CIDR 网段,而是直接授权另外一个安全组 ID 的所有的资源都可以直接访问。比如,您的应用对 Web、Database 分别创建了不同的安全组:sg-web 和 sg-database。在sg-database 中,您可以添加如下规则,授权所有的 sg-web 安全组的资源访问您的 3306 端口。
试用
{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceGroupId" : "sg-web", "Policy": "accept", Priority: 2} ,
授权另外一个 CIDR 可以入网访问
经典网络中,因为网段不太可控,建议您使用安全组 ID 来授信入网规则。
VPC 网络中,您可以自己通过不同的 VSwitch 设置不同的 IP 域,规划 IP 地址。所以,在 VPC 网络中,您可以默认拒绝所有的访问,再授信自己的专有网络的网段访问,直接授信可以相信的 CIDR 网段。
试用
{ "IpProtocol" : "icmp", "FromPort" : "-1", "ToPort" : "-1", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,
{ "IpProtocol" : "tcp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,
{ "IpProtocol" : "udp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,
变更安全组规则步骤和说明
变更安全组规则可能会影响您的实例间的网络通信。为了保证必要的网络通信不受影响,您应先尝试以下方法放行必要的实例,再执行安全组策略收紧变更。
说明 执行收紧变更后,应观察一段时间,确认业务应用无异常后再执行其它必要的变更。
· 新建一个安全组,将需要互通访问的实例加入这个安全组,再执行变更操作。
· 如果授权类型为 安全组访问,则将需要互通访问的对端实例所绑定的安全组 ID 添加为授权对象;
· 如果授权类型为 地址段访问,则将需要互通访问的对端实例内网 IP 添加为授权对象。
具体操作指引请参见 经典网络内网实例互通设置方法。
阿里云的网络类型分为 经典网络 和 VPC,它们对安全组支持不同的设置规则:
· 如果是经典网络,您可以设置以下几个规则:内网入方向、内网出方向、公网入方向和公网出方向。
· 如果是 VPC 网络,您可以设置:入方向 和 出方向。
安全组内网通讯的概念
本文开始之前,您应知道以下几个安全组内网通讯的概念:
· 默认只有同一个安全组的 ECS 实例可以网络互通。即使是同一个账户下的 ECS 实例,如果分属不同安全组,内网网络也是不通的。这个对于经典网络和 VPC 网络都适用。所以,经典网络的 ECS 实例也是内网安全的。
· 如果您有两台 ECS 实例,不在同一个安全组,您希望它们内网不互通,但实际上它们却内网互通,那么,您需要检查您的安全组内网规则设置。如果内网协议存在下面的协议,建议您重新设置。
· 允许所有端口;
· 授权对象为 CIDR 网段 (SourceCidrIp):0.0.0.0/0 或者 10.0.0.0/8 的规则。 如果是经典网络,上述协议会造成您的内网暴露给其它的访问。
· 如果您想实现在不同安全组的资源之间的网络互通,您应使用安全组方式授权。对于内网访问,您应使用源安全组授权,而不是 CIDR 网段授权。
【阿里云,阿里巴巴集团旗下云计算品牌,全球卓越的云计算技术和服务提供商。海商(www.hishop.com.cn)作为阿里云湖南唯一授权服务中心,国内知名商城系统及商城网站建设提供商,专为企业提供专业完善电商整体解决方案、微商云、视频云、医疗云等,咨询阿里云服务器详情可电联:18684778716(微信同号)】
相关推荐
现在的微信已经不再局限于一个小小的交流工具,越来越多的人开始看到其中蕴含的商机,这是自微商声音渐小之后的不同变…
导读:为帮助新手伙伴快速入门,了解熟悉 云服务器 的相关内容,本文主要讲述云服务器ECS挂载云盘。 您可以将从云盘管理…
阿里云,阿里巴巴集团旗下云计算品牌,全球卓越的云计算技术和服务提供商。云服务器作为阿里云最热门产品之一,快跟上…
导读:处于大数据时代,服务器应用时数据存储就变成了很大的问题,担心数据备份本地遗忘丢失?数据库购买费用昂贵? 日新…
阿里云服务器企业用户入门问题…
导读:各种服务器版本太多如何选择,选择对应的实例可以节约成本,更好的结合业务运用 云服务器 的优势,有具体相关疑…