雲伺服器ECS安全:ECS安全組實踐(一)
ECS安全組實踐(一)
在雲端安全組提供類似虛擬防火牆功能,用於設定單個或多個 ECS 例項的網路訪問控制,是重要的安全隔離手段。建立 ECS 例項時,您必須選擇一個安全組。您還可以新增安全組規則,對某個安全組下的所有 ECS 例項的出方向和入方向進行網路控制。
本文主要介紹如何配置安全組的入網規則。
安全組相關的資訊
在配置安全組的入網規則之前,您應已經瞭解以下安全組相關的資訊:
- 安全組限制
- 安全組預設規則
- 設定安全組 In 方向的訪問許可權
- 設定安全組 Out 方向的訪問許可權
安全組實踐的基本建議
在開始安全組的實踐之前,下面有一些基本的建議:
- 最重要的規則:安全組應作為白名單使用。
- 開放應用出入規則時應遵循“最小授權”原則,例如,您可以選擇開放具體的埠(如 80 埠)。
- 不應使用一個安全組管理所有應用,因為不同的分層一定有不同的需求。
- 對於分散式應用來說,不同的應用型別應該使用不同的安全組,例如,您應對 Web、Service、Database、Cache 層使用不同的安全組,暴露不同的出入規則和許可權。
- 沒有必要為每個例項單獨設定一個安全組,控制管理成本。
- 優先考慮 VPC 網路。
- 不需要公網訪問的資源不應提供公網 IP。
- 儘可能保持單個安全組的規則簡潔。因為一個例項最多可以加入 5 個安全組,一個安全組最多可以包括 100 個安全組規則,所以一個例項可能同時應用數百條安全組規則。您可以聚合所有分配的安全規則以判斷是否允許流入或留出,但是,如果單個安全組規則很複雜,就會增加管理的複雜度。所以,應儘可能地保持單個安全組的規則簡潔。
- 調整線上的安全組的出入規則是比較危險的動作。如果您無法確定,不應隨意更新安全組出入規則的設定。阿里雲的控制檯提供了克隆安全組和安全組規則的功能。如果您想要修改線上的安全組和規則,您應先克隆一個安全組,再在克隆的安全組上進行除錯,從而避免直接影響線上應用。
設定安全組的入網規則
以下是安全組的入網規則的實踐建議。
不要使用 0.0.0.0/0 的入網規則
允許全部入網訪問是經常犯的錯誤。使用 0.0.0.0/0 意味著所有的埠都對外暴露了訪問許可權。這是非常不安全的。正確的做法是,先拒絕所有的埠對外開放。安全組應該是白名單訪問。例如,如果您需要暴露 Web 服務,預設情況下可以只開放 80、8080 和 443 之類的常用TCP埠,其它的埠都應關閉。
{ "IpProtocol" : "tcp", "FromPort" : "80", "ToPort" : "80", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
{ "IpProtocol" : "tcp", "FromPort" : "8080", "ToPort" : "8080", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
{ "IpProtocol" : "tcp", "FromPort" : "443", "ToPort" : "443", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,關閉不需要的入網規則
如果您當前使用的入規則已經包含了 0.0.0.0/0,您需要重新審視自己的應用需要對外暴露的埠和服務。如果確定不想讓某些埠直接對外提供服務,您可以加一條拒絕的規則。比如,如果您的伺服器上安裝了 MySQL 資料庫服務,預設情況下您不應該將 3306 埠暴露到公網,此時,您可以新增一條拒絕規則,如下所示,並將其優先順序設為100,即優先順序最低。
{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceCidrIp" : "0.0.0.0/0", "Policy": "drop", Priority: 100} ,上面的調整會導致所有的埠都不能訪問 3306 埠,極有可能會阻止您正常的業務需求。此時,您可以通過授權另外一個安全組的資源進行入規則訪問。
授權另外一個安全組入網訪問
不同的安全組按照最小原則開放相應的出入規則。對於不同的應用分層應該使用不同的安全組,不同的安全組應有相應的出入規則。
例如,如果是分散式應用,您會區分不同的安全組,但是,不同的安全組可能網路不通,此時您不應該直接授權 IP 或者 CIDR 網段,而是直接授權另外一個安全組 ID 的所有的資源都可以直接訪問。比如,您的應用對 Web、Database 分別建立了不同的安全組:sg-web 和 sg-database。在sg-database 中,您可以新增如下規則,授權所有的 sg-web 安全組的資源訪問您的 3306 埠。
{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceGroupId" : "sg-web", "Policy": "accept", Priority: 2} ,授權另外一個 CIDR 可以入網訪問
經典網路中,因為網段不太可控,建議您使用安全組 ID 來授信入網規則。
VPC 網路中,您可以自己通過不同的 VSwitch 設定不同的 IP 域,規劃 IP 地址。所以,在 VPC 網路中,您可以預設拒絕所有的訪問,再授信自己的專有網路的網段訪問,直接授信可以相信的 CIDR 網段。
{ "IpProtocol" : "icmp", "FromPort" : "-1", "ToPort" : "-1", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,
{ "IpProtocol" : "tcp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,
{ "IpProtocol" : "udp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,變更安全組規則步驟和說明
變更安全組規則可能會影響您的例項間的網路通訊。為了保證必要的網路通訊不受影響,您應先嚐試以下方法放行必要的例項,再執行安全組策略收緊變更。
注意:執行收緊變更後,應觀察一段時間,確認業務應用無異常後再執行其它必要的變更。
- 新建一個安全組,將需要互通訪問的例項加入這個安全組,再執行變更操作。
- 如果授權型別為 安全組訪問,則將需要互通訪問的對端例項所繫結的安全組 ID 新增為授權物件;
- 如果授權型別為 地址段訪問,則將需要互通訪問的對端例項內網 IP 新增為授權物件。
相關文章
- 雲伺服器ECS安全>ECS資料安全最佳實踐伺服器
- ECS彈性雲伺服器常用埠、安全組伺服器
- 【推薦】如何使用好阿里雲的網路安全隔離?深入分享阿里雲ECS安全組實踐經驗阿里
- 華為雲彈性雲伺服器ECS搭建FTP服務實踐伺服器FTP
- 雲伺服器ECS使用OpenAPI管理ECS:使用OpenAPI彈性建立ECS例項伺服器API
- 阿里雲ECS伺服器CentOS7上系統安全加固阿里伺服器CentOS
- windowsserver2008阿里雲ECS伺服器安全設定WindowsServer阿里伺服器
- 雲伺服器ECS是什麼?伺服器
- 什麼是雲伺服器ECS伺服器
- 【乾貨】阿里雲ECS設定的安全組沒有生效的解決方法阿里
- ECS例項RAM角色實踐
- 雲伺服器 ECS 有哪些優勢?伺服器
- 阿里雲伺服器ECS選型阿里伺服器
- 查詢雲伺服器ECS的映象伺服器
- 阿里雲伺服器ECS配置LNMP阿里伺服器LNMP
- 使用TAG標籤對雲伺服器ECS的分組和管理伺服器
- 雲伺服器ECS和輕雲伺服器區別伺服器
- 阿里雲ECS雲伺服器新手上路阿里伺服器
- ECS7天實踐進階訓練營Day2:基於阿里雲ECS部署MediaWiki阿里
- 彈性雲伺服器(Elastic Cloud Server,ECS)伺服器ASTCloudServer
- 阿里雲伺服器 ECS 選購指南阿里伺服器
- 使用OpenApi彈性管理雲伺服器ECSAPI伺服器
- 阿里雲ECS伺服器配置全攻略阿里伺服器
- 阿里雲ecs 伺服器配置 nginx https阿里伺服器NginxHTTP
- [基礎常識]遷移ECS雲伺服器伺服器
- DATEGE:阿里雲國際雲伺服器ecs建站流程阿里伺服器
- 雲同學大白話第1期:雲伺服器ECS伺服器
- 高效查詢ECS可用資源的實踐
- Unirech-阿里雲國際雲伺服器ecs建站流程阿里伺服器
- 阿里雲伺服器ECS適合哪些場景?阿里伺服器
- 阿里雲的ecs伺服器,建立ftp站點阿里伺服器FTP
- 阿里雲伺服器ECS例項建立記錄阿里伺服器
- 阿里雲伺服器ecs配置之安裝mysql阿里伺服器MySql
- 雲伺服器ECS彈性變配能力總覽伺服器
- 輕雲伺服器、虛擬主機、雲伺服器ECS的區別?伺服器
- 可觀測實踐|如何使用阿里雲 Prometheus 觀測 ECS 應用阿里Prometheus
- 阿里雲ECS伺服器配置ubuntu安裝openfire伺服器阿里伺服器Ubuntu
- ECS 7天實踐訓練營-day1