Auf der Grundlage der Einführung in die Konfiguration der Netzwerkzugriffsregeln der Sicherheitsgruppe und der damit verbundenen Informationen konzentriert sich dieser Artikel auf die spezifischen Schritte. Der Inhalt dieses Artikels ist sehr kompakt geduldig.
Die Cloud-Sicherheitsgruppe bietet eine virtuelle Firewall-ähnliche Funktion, die zum Festlegen der Netzwerkzugriffskontrolle für einzelne oder mehrere ECS-Instanzen verwendet wird und ein wichtiges Mittel zur Sicherheitsisolation darstellt. Beim Erstellen einer ECS-Instanz müssen Sie eine Sicherheitsgruppe auswählen. Sie können auch Sicherheitsgruppenregeln hinzufügen, um das ausgehende und eingehende Netzwerk aller ECS-Instanzen unter einer bestimmten Sicherheitsgruppe zu steuern.
In diesem Artikel wird hauptsächlich die Konfiguration der Netzwerkzugriffsregeln der Sicherheitsgruppe beschrieben.
Sicherheitsgruppenbezogene Informationen
Bevor Sie die Netzwerkzugriffsregeln der Sicherheitsgruppe konfigurieren, sollten Sie bereits die folgenden sicherheitsgruppenbezogenen Informationen kennen:
Einschränkungen für Sicherheitsgruppen
Standardregeln für Sicherheitsgruppen
Legen Sie die Zugriffsberechtigungen der Sicherheitsgruppe in Richtung „In“ fest
Legen Sie die Zugriffsberechtigungen der Sicherheit fest Gruppe in der Out-Richtung
Grundlegende Vorschläge für das Sicherheitsgruppentraining
Bevor Sie mit dem Sicherheitsgruppentraining beginnen, finden Sie hier einige grundlegende Vorschläge:
Die wichtigste Regel: Sicherheitsgruppen sollten als Whitelists verwendet werden.
Beim Öffnen von Anwendungszugriffsregeln sollten Sie das Prinzip der „Mindestautorisierung“ befolgen. Beispielsweise können Sie bestimmte Ports (z. B. Port 80) öffnen.
Eine Sicherheitsgruppe sollte nicht zur Verwaltung aller Anwendungen verwendet werden, da verschiedene Ebenen unterschiedliche Anforderungen haben müssen.
Für verteilte Anwendungen sollten verschiedene Anwendungstypen unterschiedliche Sicherheitsgruppen verwenden. Sie sollten beispielsweise unterschiedliche Sicherheitsgruppen für die Web-, Dienst-, Datenbank- und Cache-Ebenen verwenden, um unterschiedliche Zugriffsregeln und Berechtigungen bereitzustellen.
Es ist nicht erforderlich, für jede Instanz eine separate Sicherheitsgruppe einzurichten, um die Verwaltungskosten zu kontrollieren.
Priorisieren Sie VPC-Netzwerke.
Ressourcen, die keinen öffentlichen Netzwerkzugriff erfordern, sollten keine öffentliche Netzwerk-IP bereitstellen.
Halten Sie die Regeln für eine einzelne Sicherheitsgruppe so einfach wie möglich. Da eine Instanz bis zu 5 Sicherheitsgruppen beitreten kann und eine Sicherheitsgruppe bis zu 100 Sicherheitsgruppenregeln enthalten kann, können auf eine Instanz Hunderte von Sicherheitsgruppenregeln gleichzeitig angewendet werden. Sie können alle zugewiesenen Sicherheitsregeln aggregieren, um zu bestimmen, ob Zufluss oder Ausbleiben zulässig ist. Wenn die einzelnen Sicherheitsgruppenregeln jedoch komplex sind, erhöht sich die Verwaltungskomplexität. Halten Sie daher die Regeln für eine einzelne Sicherheitsgruppe so einfach wie möglich.
Das Anpassen der Zugriffsregeln der Online-Sicherheitsgruppe ist eine relativ gefährliche Aktion. Wenn Sie sich nicht sicher sind, sollten Sie die Einstellungen der Sicherheitsgruppen-Zugriffsregeln nicht aktualisieren. Die Konsole von Alibaba Cloud bietet die Funktion zum Klonen von Sicherheitsgruppen und Sicherheitsgruppenregeln. Wenn Sie Online-Sicherheitsgruppen und -Regeln ändern möchten, sollten Sie zunächst eine Sicherheitsgruppe klonen und dann die geklonte Sicherheitsgruppe debuggen, um eine direkte Auswirkung auf Online-Anwendungen zu vermeiden.
Netzwerkzugriffsregeln für Sicherheitsgruppen festlegen
Im Folgenden finden Sie praktische Vorschläge für Netzwerkzugriffsregeln für Sicherheitsgruppen.
Verwenden Sie nicht die Zugriffsregel 0.0.0.0/0
Das Zulassen jeglichen Zugriffs ist ein häufiger Fehler. Die Verwendung von 0.0.0.0/0 bedeutet, dass alle Ports der Außenwelt ausgesetzt sind. Das ist sehr unsicher. Der richtige Ansatz besteht darin, zunächst die Öffnung aller Ports nach außen zu verweigern. Sicherheitsgruppen sollten für den Zugriff auf die Whitelist gesetzt werden. Wenn Sie beispielsweise einen Webdienst verfügbar machen müssen, können Sie standardmäßig nur gängige TCP-Ports wie 80, 8080 und 443 öffnen und andere Ports geschlossen lassen.
{ "IpProtocol" : "tcp", "FromPort" : "80", "ToPort" : "80", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} , { "IpProtocol" : "tcp", "FromPort" : "8080", "ToPort" : "8080", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} , { "IpProtocol" : "tcp", "FromPort" : "443", "ToPort" : "443", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
Deaktivieren Sie unnötige Netzwerkzugriffsregeln
Wenn die Zugriffsregeln, die Sie derzeit verwenden, bereits 0.0.0.0/0 enthalten, müssen Sie noch einmal prüfen, ob Ihre Anwendung muss der Außenwelt ausgesetzt sein. Offene Häfen und Dienste. Wenn Sie sicher sind, dass Sie nicht möchten, dass bestimmte Ports direkt Dienste für die Außenwelt bereitstellen, können Sie eine Verweigerungsregel hinzufügen. Wenn beispielsweise der MySQL-Datenbankdienst auf Ihrem Server installiert ist, sollten Sie Port 3306 standardmäßig nicht dem öffentlichen Netzwerk zugänglich machen. Zu diesem Zeitpunkt können Sie eine Verweigerungsregel hinzufügen, wie unten gezeigt, und deren Priorität auf 100 festlegen. die niedrigste Priorität.
{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceCidrIp" : "0.0.0.0/0", "Policy": "drop", Priority: 100} ,
Die obige Anpassung führt dazu, dass nicht alle Ports auf Port 3306 zugreifen können, was höchstwahrscheinlich Ihre normalen Geschäftsanforderungen beeinträchtigt. Zu diesem Zeitpunkt können Sie Ressourcen in einer anderen Sicherheitsgruppe für den Zugriff auf eingehende Regeln autorisieren.
Eine andere Sicherheitsgruppe zum Zugriff auf das Netzwerk autorisieren
Verschiedene Sicherheitsgruppen öffnen entsprechende Zugriffsregeln nach dem Minimalprinzip. Für unterschiedliche Anwendungsschichten sollten unterschiedliche Sicherheitsgruppen verwendet werden, und unterschiedliche Sicherheitsgruppen sollten über entsprechende Zugriffsregeln verfügen.
Wenn es sich beispielsweise um eine verteilte Anwendung handelt, unterscheiden Sie verschiedene Sicherheitsgruppen. Zu diesem Zeitpunkt sollten Sie das IP- oder CIDR-Netzwerksegment jedoch möglicherweise nicht direkt autorisieren. sondern autorisieren Sie direkt einen anderen. Auf alle Ressourcen einer Sicherheitsgruppen-ID kann direkt zugegriffen werden. Beispielsweise erstellt Ihre Anwendung verschiedene Sicherheitsgruppen für Web und Datenbank: sg-web und sg-database. In sg-database können Sie die folgenden Regeln hinzufügen, um allen Ressourcen der sg-web-Sicherheitsgruppe den Zugriff auf Ihren 3306-Port zu autorisieren.
{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceGroupId" : "sg-web", "Policy": "accept", Priority: 2} ,
Autorisieren Sie ein anderes CIDR für den Zugriff auf das Netzwerk
Da in einem klassischen Netzwerk das Netzwerksegment nicht kontrollierbar ist, wird empfohlen, die Sicherheitsgruppen-ID zu verwenden Autorisieren Sie Netzwerkzugriffsregeln.
VPC 网络中,您可以自己通过不同的 VSwitch 设置不同的 IP 域,规划 IP 地址。所以,在 VPC 网络中,您可以默认拒绝所有的访问,再授信自己的专有网络的网段访问,直接授信可以相信的 CIDR 网段。
{ "IpProtocol" : "icmp", "FromPort" : "-1", "ToPort" : "-1", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} , { "IpProtocol" : "tcp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} , { "IpProtocol" : "udp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,
变更安全组规则步骤和说明
变更安全组规则可能会影响您的实例间的网络通信。为了保证必要的网络通信不受影响,您应先尝试以下方法放行必要的实例,再执行安全组策略收紧变更。
注意:执行收紧变更后,应观察一段时间,确认业务应用无异常后再执行其它必要的变更。
新建一个安全组,将需要互通访问的实例加入这个安全组,再执行变更操作。
如果授权类型为 安全组访问,则将需要互通访问的对端实例所绑定的安全组 ID 添加为授权对象;
如果授权类型为 地址段访问,则将需要互通访问的对端实例内网 IP 添加为授权对象。
Das obige ist der detaillierte Inhalt vonSo konfigurieren Sie die Netzwerkzugriffsregeln der Sicherheitsgruppe und sicherheitsgruppenbezogene Informationen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!