云服務(wù)器實踐：配置安全組(三)

　　導(dǎo)讀： 云服務(wù)器自帶的安全組設(shè)置可以提供虛擬防火墻功能，達(dá)到重要的安全隔離手段。那么創(chuàng)建ECS云服務(wù)器時怎么樣來配置安全組呢?上期說到了配置安全組的入網(wǎng)規(guī)則和安全組內(nèi)網(wǎng)通訊的概念，本文接著闡述下如何區(qū)分不同安全組使用跳板機的原理和方法。

　　在安全組的使用過程中，通常會將所有的云服務(wù)器放置在同一個安全組中，從而可以減少初期配置的工作量。但從長遠(yuǎn)來看，業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)的交互將變得復(fù)雜和不可控。在執(zhí)行安全組變更時，您將無法明確添加和刪除規(guī)則的影響范圍。

　　合理規(guī)劃和區(qū)分不同的安全組將使得您的系統(tǒng)更加便于調(diào)整，梳理應(yīng)用提供的服務(wù)并對不同應(yīng)用進(jìn)行分層。這里推薦您對不同的業(yè)務(wù)規(guī)劃不同的安全組，并設(shè)置不同的安全組規(guī)則。

　　區(qū)分不同的安全組

　　·

　　公網(wǎng)服務(wù)的云服務(wù)器和內(nèi)網(wǎng)服務(wù)器盡量屬于不同的安全組

　　·

　　是否對外提供公網(wǎng)服務(wù)，包括主動暴露某些端口對外訪問(例如 80、443 等)，被動地提供(例如云服務(wù)器具有公網(wǎng) IP、EIP、NAT 端口轉(zhuǎn)發(fā)規(guī)則等)端口轉(zhuǎn)發(fā)規(guī)則，都會導(dǎo)致自己的應(yīng)用可能被公網(wǎng)訪問到。

　　·

　　2 種場景的云服務(wù)器所屬的安全組規(guī)則要采用最嚴(yán)格的規(guī)則，建議拒絕優(yōu)先，默認(rèn)情況下應(yīng)當(dāng)關(guān)閉所有的端口和協(xié)議，僅僅暴露對外提供需要服務(wù)的端口，例如 80、443。由于僅對屬于對外公網(wǎng)訪問的服務(wù)器編組，調(diào)整安全組規(guī)則時也比較容易控制。

　　·

　　對于對外提供服務(wù)器編組的職責(zé)應(yīng)該比較明晰和簡單，避免在同樣的服務(wù)器上對外提供其它的服務(wù)。例如 MySQL、Redis 等，建議將這些服務(wù)安裝在沒有公網(wǎng)訪問權(quán)限的云服務(wù)器上，然后通過安全組的組組授權(quán)來訪問。

　　·

　　如果當(dāng)前有公網(wǎng)云服務(wù)器已經(jīng)和其它的應(yīng)用在同一個安全組 SG_CURRENT。您可以通過下面的方法來進(jìn)行變更。

　　·

　　i. 梳理當(dāng)前提供的公網(wǎng)服務(wù)暴露的端口和協(xié)議，例如 80、443。

　　ii. 新創(chuàng)建一個安全組，例如 SG_WEB， 然后添加相應(yīng)的端口和規(guī)則。

　　說明 授權(quán)策略：允許，協(xié)議類型：ALL， 端口: 80/80，授權(quán)對象: 0.0.0.0/0， 授權(quán)策略:允許，協(xié)議類型:ALL，端口: 443/443 授權(quán)對象: 0.0.0.0/0。

　　iii.

　　iv. 選擇安全組 SG_CURRENT， 然后添加一條安全組規(guī)則，組組授權(quán)，允許 SG_WEB 中的資源訪問SG_CURRENT。

　　說明 授權(quán)策略：允許，協(xié)議類型：ALL，端口：-1/-1，授權(quán)對象：SG_WEB，優(yōu)先級：按照實際情況自定義[1-100]。

　　v.

　　vi. 將一臺需要切換安全組的實例 ECS_WEB_1 添加到新的安全組中。

　　a. 在 ECS 控制臺中，選擇 安全組管理。

　　b. 選擇 SG_WEB > 管理實例 > 添加實例，選擇實例 ECS_WEB_1 加入到新的安全組 SG_WEB 中，確認(rèn) ECS_WEB_1 實例的流量和網(wǎng)絡(luò)工作正常。

　　vii. 將 ECS_WEB_1 從原來的安全組中移出。

　　a. 在 ECS 控制臺中，選擇 安全組管理。

　　b. 選擇 SG_WEB > 管理實例 > 添加實例，選擇 ECS_WEB_1 ，從 SG_CURRENT 移除，測試網(wǎng)絡(luò)連通性，確認(rèn)流量和網(wǎng)絡(luò)工作正常。

　　c. 如果工作不正常，將 ECS_WEB_1 仍然加回到安全組 SG_CURRENT 中，檢查設(shè)置的 SG_WEB 暴露的端口是否符合預(yù)期，然后繼續(xù)變更。

　　viii. 執(zhí)行其它的服務(wù)器安全組變更。

　　·

　　不同的應(yīng)用使用不同的安全組

　　·

　　在生產(chǎn)環(huán)境中，不同的操作系統(tǒng)大多情況下不會屬于同一個應(yīng)用分組來提供負(fù)載均衡服務(wù)。提供不同的服務(wù)意味著需要暴露的端口和拒絕的端口是不同的，建議不同的操作系統(tǒng)盡量歸屬于不同的安全組。

　　·

　　例如，對于 Linux 操作系統(tǒng)，可能需要暴露 TCP(22)端口來實現(xiàn) SSH，對 Windows 可能需要開通 TCP(3389) 遠(yuǎn)程桌面連接。

　　·

　　除了不同的操作系統(tǒng)歸屬不同的安全組，即便同一個鏡像類型，提供不同的服務(wù)，如果之間不需要通過內(nèi)網(wǎng)進(jìn)行訪問的話，最好也劃歸不同的安全組。這樣方便解耦，并對未來的安全組規(guī)則進(jìn)行變更，做到職責(zé)單一。

　　·

　　在規(guī)劃和新增應(yīng)用時，除了考慮劃分不同的虛擬交換機配置子網(wǎng)，也應(yīng)該同時合理的規(guī)劃安全組。使用網(wǎng)段+安全組約束自己作為服務(wù)提供者和消費者的邊界。

　　·

　　具體的變更流程參見上面的操作步驟。

　　·

　　·

　　生產(chǎn)環(huán)境和測試環(huán)境使用不同的安全組

　　·

　　為了更好的做系統(tǒng)的隔離，在實際開發(fā)過程中，您可能會構(gòu)建多套的測試環(huán)境和一套線上環(huán)境。為了更合理的做網(wǎng)絡(luò)隔離，您需要對不同的環(huán)境配置使用不同的安全策略，避免因為測試環(huán)境的變更刷新到了線上影響線上的穩(wěn)定性。

　　·

　　通過創(chuàng)建不同的安全組，限制應(yīng)用的訪問域，避免生產(chǎn)環(huán)境和測試環(huán)境聯(lián)通。同時也可以對不同的測試環(huán)境分配不同的安全組，避免多套測試環(huán)境之間互相干擾，提升開發(fā)效率。

　　·

　　僅對需要公網(wǎng)訪問子網(wǎng)或者云服務(wù)器分配公網(wǎng) IP

　　不論是經(jīng)典網(wǎng)絡(luò)還是專有網(wǎng)絡(luò) (VPC) 中，合理的分配公網(wǎng) IP 可以讓系統(tǒng)更加方便地進(jìn)行公網(wǎng)管理，同時減少系統(tǒng)受攻擊的風(fēng)險。在專有網(wǎng)絡(luò)的場景下，創(chuàng)建虛擬交換機時，建議您盡量將需要公網(wǎng)訪問的服務(wù)區(qū)的 IP 區(qū)間放在固定的幾個交換機(子網(wǎng) CIDR)中，方便審計和區(qū)分，避免不小心暴露公網(wǎng)訪問。

　　在分布式應(yīng)用中，大多數(shù)應(yīng)用都有不同的分層和分組，對于不提供公網(wǎng)訪問的云服務(wù)器盡量不提供公網(wǎng)IP，如果是有多臺服務(wù)器提供公網(wǎng)訪問，建議您配置公網(wǎng)流量分發(fā)的負(fù)載均衡服務(wù)來公網(wǎng)服務(wù)，提升系統(tǒng)的可用性，避免單點。

　　對于不需要公網(wǎng)訪問的云服務(wù)器盡量不要分配公網(wǎng) IP。專有網(wǎng)絡(luò)中當(dāng)您的云服務(wù)器需要訪問公網(wǎng)的時候，優(yōu)先建議您使用 NAT 網(wǎng)關(guān)，用于為 VPC 內(nèi)無公網(wǎng) IP 的 ECS 實例提供訪問互聯(lián)網(wǎng)的代理服務(wù)，您只需要配置相應(yīng)的 SNAT 規(guī)則即可為具體的 CIDR 網(wǎng)段或者子網(wǎng)提供公網(wǎng)訪問能力，具體配置參見 SNAT。避免因為只需要訪問公網(wǎng)的能力而在分配了公網(wǎng) IP(EIP) 之后也向公網(wǎng)暴露了服務(wù)。

　　最小原則

　　安全組應(yīng)該是白名單性質(zhì)的，所以需盡量開放和暴露最少的端口，同時盡可能少地分配公網(wǎng) IP。若想訪問線上機器進(jìn)行任務(wù)日志或錯誤排查的時候直接分配公網(wǎng) IP 或者掛載 EIP 雖然簡便，但是畢竟會將整個機器暴露在公網(wǎng)之上，更安全的策略是建議通過跳板機來管理。

　　使用跳板機

　　跳板機由于其自身的權(quán)限巨大，除了通過工具做好審計記錄。在專有網(wǎng)絡(luò)中，建議將跳板機分配在專有的虛擬交換機之中，對其提供相應(yīng)的 EIP 或者 NAT 端口轉(zhuǎn)發(fā)表。

　　首先創(chuàng)建專有的安全組 SG_BRIDGE，例如開放相應(yīng)的端口，例如 Linux TCP(22) 或者 Windows RDP(3389)。為了限制安全組的入網(wǎng)規(guī)則，可以限制可以登錄的授權(quán)對象為企業(yè)的公網(wǎng)出口范圍，減少被登錄和掃描的概率。

　　然后將作為跳板機的云服務(wù)器加入到該安全組中。為了讓該機器能訪問相應(yīng)的云服務(wù)器，可以配置相應(yīng)的組授權(quán)。例如在 SG_CURRENT 添加一條規(guī)則允許 SG_BRIDGE 訪問某些端口和協(xié)議。

　　使用跳板機 SSH 時，建議您優(yōu)先使用 SSH 密鑰對 而不是密碼登錄。

　　總之，合理的安全組規(guī)劃使您在擴容應(yīng)用時更加游刃有余，同時讓您的系統(tǒng)更加安全。
 

　　【阿里云，阿里巴巴集團旗下云計算品牌，全球卓越的云計算技術(shù)和服務(wù)提供商。海商(descansotropical.com)作為阿里云湖南唯一授權(quán)服務(wù)中心，國內(nèi)知名商城系統(tǒng)及商城網(wǎng)站建設(shè)提供商，專為企業(yè)提供專業(yè)完善電商整體解決方案、微商云、視頻云、醫(yī)療云等，咨詢阿里云服務(wù)器詳情可電聯(lián)：18684778716(微信同號)】