云服務(wù)器實(shí)踐：配置安全組(一)

　　導(dǎo)讀： 云服務(wù)器自帶的安全組設(shè)置可以提供虛擬防火墻功能，達(dá)到重要的安全隔離手段。那么創(chuàng)建ECS云服務(wù)器時(shí)怎么樣來配置安全組呢?

　　本文主要介紹如何配置安全組的入網(wǎng)規(guī)則和安全組內(nèi)網(wǎng)通訊的概念。

　　在云端安全組提供類似虛擬防火墻功能，用于設(shè)置單個(gè)或多個(gè) ECS 實(shí)例的網(wǎng)絡(luò)訪問控制，是重要的安全隔離手段。創(chuàng)建 ECS 實(shí)例時(shí)，您必須選擇一個(gè)安全組。您還可以添加安全組規(guī)則，對(duì)某個(gè)安全組下的所有 ECS 實(shí)例的出方向和入方向進(jìn)行網(wǎng)絡(luò)控制。

　　在配置安全組的入網(wǎng)規(guī)則之前，您應(yīng)已經(jīng)了解以下安全組相關(guān)的信息：

　　· 安全組限制

　　· 安全組默認(rèn)規(guī)則

　　· 設(shè)置安全組 In 方向的訪問權(quán)限

　　· 設(shè)置安全組 Out 方向的訪問權(quán)限

　　安全組實(shí)踐的基本建議

　　在開始安全組的實(shí)踐之前，下面有一些基本的建議：

　　· 最重要的規(guī)則：安全組應(yīng)作為白名單使用。

　　· 開放應(yīng)用出入規(guī)則時(shí)應(yīng)遵循“最小授權(quán)”原則，例如，您可以選擇開放具體的端口(如 80 端口)。

　　· 不應(yīng)使用一個(gè)安全組管理所有應(yīng)用，因?yàn)椴煌姆謱右欢ㄓ胁煌男枨蟆?/p>

　　· 對(duì)于分布式應(yīng)用來說，不同的應(yīng)用類型應(yīng)該使用不同的安全組，例如，您應(yīng)對(duì) Web、Service、Database、Cache 層使用不同的安全組，暴露不同的出入規(guī)則和權(quán)限。

　　· 沒有必要為每個(gè)實(shí)例單獨(dú)設(shè)置一個(gè)安全組，控制管理成本。

　　· 優(yōu)先考慮 VPC 網(wǎng)絡(luò)。

　　· 不需要公網(wǎng)訪問的資源不應(yīng)提供公網(wǎng) IP。

　　· 盡可能保持單個(gè)安全組的規(guī)則簡(jiǎn)潔。因?yàn)橐粋€(gè)實(shí)例最多可以加入 5 個(gè)安全組，一個(gè)安全組最多可以包括 100 個(gè)安全組規(guī)則，所以一個(gè)實(shí)例可能同時(shí)應(yīng)用數(shù)百條安全組規(guī)則。您可以聚合所有分配的安全規(guī)則以判斷是否允許流入或留出，但是，如果單個(gè)安全組規(guī)則很復(fù)雜，就會(huì)增加管理的復(fù)雜度。所以，應(yīng)盡可能地保持單個(gè)安全組的規(guī)則簡(jiǎn)潔。

　　· 阿里云的控制臺(tái)提供了克隆安全組和安全組規(guī)則的功能。如果您想要修改線上的安全組和規(guī)則，您應(yīng)先克隆一個(gè)安全組，再在克隆的安全組上進(jìn)行調(diào)試，從而避免直接影響線上應(yīng)用。

　　說明 調(diào)整線上的安全組的出入規(guī)則是比較危險(xiǎn)的動(dòng)作。如果您無法確定，不應(yīng)隨意更新安全組出入規(guī)則的設(shè)置。

　　·

　　設(shè)置安全組的入網(wǎng)規(guī)則

　　以下是安全組的入網(wǎng)規(guī)則的實(shí)踐建議。

　　不要使用 0.0.0.0/0 的入網(wǎng)規(guī)則

　　允許全部入網(wǎng)訪問是經(jīng)常犯的錯(cuò)誤。使用 0.0.0.0/0 意味著所有的端口都對(duì)外暴露了訪問權(quán)限。這是非常不安全的。正確的做法是，先拒絕所有的端口對(duì)外開放。安全組應(yīng)該是白名單訪問。例如，如果您需要暴露 Web 服務(wù)，默認(rèn)情況下可以只開放 80、8080 和 443 之類的常用TCP端口，其它的端口都應(yīng)關(guān)閉。

　　試用

　　{ "IpProtocol" : "tcp", "FromPort" : "80", "ToPort" : "80", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,

　　{ "IpProtocol" : "tcp", "FromPort" : "8080", "ToPort" : "8080", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,

　　{ "IpProtocol" : "tcp", "FromPort" : "443", "ToPort" : "443", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,

　　關(guān)閉不需要的入網(wǎng)規(guī)則

　　如果您當(dāng)前使用的入規(guī)則已經(jīng)包含了 0.0.0.0/0，您需要重新審視自己的應(yīng)用需要對(duì)外暴露的端口和服務(wù)。如果確定不想讓某些端口直接對(duì)外提供服務(wù)，您可以加一條拒絕的規(guī)則。比如，如果您的服務(wù)器上安裝了 MySQL 數(shù)據(jù)庫服務(wù)，默認(rèn)情況下您不應(yīng)該將 3306 端口暴露到公網(wǎng)，此時(shí)，您可以添加一條拒絕規(guī)則，如下所示，并將其優(yōu)先級(jí)設(shè)為100，即優(yōu)先級(jí)最低。

　　試用

　　{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceCidrIp" : "0.0.0.0/0", "Policy": "drop", Priority: 100} ,

　　上面的調(diào)整會(huì)導(dǎo)致所有的端口都不能訪問 3306 端口，極有可能會(huì)阻止您正常的業(yè)務(wù)需求。此時(shí)，您可以通過授權(quán)另外一個(gè)安全組的資源進(jìn)行入規(guī)則訪問。

　　授權(quán)另外一個(gè)安全組入網(wǎng)訪問

　　不同的安全組按照最小原則開放相應(yīng)的出入規(guī)則。對(duì)于不同的應(yīng)用分層應(yīng)該使用不同的安全組，不同的安全組應(yīng)有相應(yīng)的出入規(guī)則。

　　例如，如果是分布式應(yīng)用，您會(huì)區(qū)分不同的安全組，但是，不同的安全組可能網(wǎng)絡(luò)不通，此時(shí)您不應(yīng)該直接授權(quán) IP 或者 CIDR 網(wǎng)段，而是直接授權(quán)另外一個(gè)安全組 ID 的所有的資源都可以直接訪問。比如，您的應(yīng)用對(duì) Web、Database 分別創(chuàng)建了不同的安全組：sg-web 和 sg-database。在sg-database 中，您可以添加如下規(guī)則，授權(quán)所有的 sg-web 安全組的資源訪問您的 3306 端口。

　　試用

　　{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceGroupId" : "sg-web", "Policy": "accept", Priority: 2} ,

　　授權(quán)另外一個(gè) CIDR 可以入網(wǎng)訪問

　　經(jīng)典網(wǎng)絡(luò)中，因?yàn)榫W(wǎng)段不太可控，建議您使用安全組 ID 來授信入網(wǎng)規(guī)則。

　　VPC 網(wǎng)絡(luò)中，您可以自己通過不同的 VSwitch 設(shè)置不同的 IP 域，規(guī)劃 IP 地址。所以，在 VPC 網(wǎng)絡(luò)中，您可以默認(rèn)拒絕所有的訪問，再授信自己的專有網(wǎng)絡(luò)的網(wǎng)段訪問，直接授信可以相信的 CIDR 網(wǎng)段。

　　試用

　　{ "IpProtocol" : "icmp", "FromPort" : "-1", "ToPort" : "-1", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,

　　{ "IpProtocol" : "tcp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,

　　{ "IpProtocol" : "udp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,

　　變更安全組規(guī)則步驟和說明

　　變更安全組規(guī)則可能會(huì)影響您的實(shí)例間的網(wǎng)絡(luò)通信。為了保證必要的網(wǎng)絡(luò)通信不受影響，您應(yīng)先嘗試以下方法放行必要的實(shí)例，再執(zhí)行安全組策略收緊變更。

　　說明 執(zhí)行收緊變更后，應(yīng)觀察一段時(shí)間，確認(rèn)業(yè)務(wù)應(yīng)用無異常后再執(zhí)行其它必要的變更。

　　· 新建一個(gè)安全組，將需要互通訪問的實(shí)例加入這個(gè)安全組，再執(zhí)行變更操作。

　　· 如果授權(quán)類型為 安全組訪問，則將需要互通訪問的對(duì)端實(shí)例所綁定的安全組 ID 添加為授權(quán)對(duì)象;

　　· 如果授權(quán)類型為 地址段訪問，則將需要互通訪問的對(duì)端實(shí)例內(nèi)網(wǎng) IP 添加為授權(quán)對(duì)象。

　　具體操作指引請(qǐng)參見 經(jīng)典網(wǎng)絡(luò)內(nèi)網(wǎng)實(shí)例互通設(shè)置方法。

　　阿里云的網(wǎng)絡(luò)類型分為 經(jīng)典網(wǎng)絡(luò) 和 VPC，它們對(duì)安全組支持不同的設(shè)置規(guī)則：

　　· 如果是經(jīng)典網(wǎng)絡(luò)，您可以設(shè)置以下幾個(gè)規(guī)則：內(nèi)網(wǎng)入方向、內(nèi)網(wǎng)出方向、公網(wǎng)入方向和公網(wǎng)出方向。

　　· 如果是 VPC 網(wǎng)絡(luò)，您可以設(shè)置：入方向 和 出方向。

　　安全組內(nèi)網(wǎng)通訊的概念

　　本文開始之前，您應(yīng)知道以下幾個(gè)安全組內(nèi)網(wǎng)通訊的概念：

　　· 默認(rèn)只有同一個(gè)安全組的 ECS 實(shí)例可以網(wǎng)絡(luò)互通。即使是同一個(gè)賬戶下的 ECS 實(shí)例，如果分屬不同安全組，內(nèi)網(wǎng)網(wǎng)絡(luò)也是不通的。這個(gè)對(duì)于經(jīng)典網(wǎng)絡(luò)和 VPC 網(wǎng)絡(luò)都適用。所以，經(jīng)典網(wǎng)絡(luò)的 ECS 實(shí)例也是內(nèi)網(wǎng)安全的。

　　· 如果您有兩臺(tái) ECS 實(shí)例，不在同一個(gè)安全組，您希望它們內(nèi)網(wǎng)不互通，但實(shí)際上它們卻內(nèi)網(wǎng)互通，那么，您需要檢查您的安全組內(nèi)網(wǎng)規(guī)則設(shè)置。如果內(nèi)網(wǎng)協(xié)議存在下面的協(xié)議，建議您重新設(shè)置。

　　· 允許所有端口;

　　· 授權(quán)對(duì)象為 CIDR 網(wǎng)段 (SourceCidrIp)：0.0.0.0/0 或者 10.0.0.0/8 的規(guī)則。 如果是經(jīng)典網(wǎng)絡(luò)，上述協(xié)議會(huì)造成您的內(nèi)網(wǎng)暴露給其它的訪問。

　　· 如果您想實(shí)現(xiàn)在不同安全組的資源之間的網(wǎng)絡(luò)互通，您應(yīng)使用安全組方式授權(quán)。對(duì)于內(nèi)網(wǎng)訪問，您應(yīng)使用源安全組授權(quán)，而不是 CIDR 網(wǎng)段授權(quán)。

 

　　【阿里云，阿里巴巴集團(tuán)旗下云計(jì)算品牌，全球卓越的云計(jì)算技術(shù)和服務(wù)提供商。海商(descansotropical.com)作為阿里云湖南唯一授權(quán)服務(wù)中心，國內(nèi)知名商城系統(tǒng)及商城網(wǎng)站建設(shè)提供商，專為企業(yè)提供專業(yè)完善電商整體解決方案、微商云、視頻云、醫(yī)療云等，咨詢阿里云服務(wù)器詳情可電聯(lián)：18684778716(微信同號(hào))】