Sur la base de la configuration des règles d'accès au réseau du groupe de sécurité et des informations relatives au groupe de sécurité, cet article se concentre sur les étapes spécifiques. Le contenu de cet article est très compact. patiemment.
Le groupe de sécurité cloud fournit une fonction de type pare-feu virtuel, qui est utilisée pour définir le contrôle d'accès au réseau pour une ou plusieurs instances ECS et constitue un moyen important d'isolation de sécurité. Lors de la création d'une instance ECS, vous devez sélectionner un groupe de sécurité. Vous pouvez également ajouter des règles de groupe de sécurité pour contrôler le réseau sortant et entrant de toutes les instances ECS sous un certain groupe de sécurité.
Cet article présente principalement comment configurer les règles d'accès au réseau du groupe de sécurité.
Informations relatives au groupe de sécurité
Avant de configurer les règles d'accès au réseau du groupe de sécurité, vous devez déjà connaître les informations suivantes liées au groupe de sécurité informations :
Restrictions du groupe de sécurité
Règles par défaut du groupe de sécurité
Définissez les autorisations d'accès du groupe de sécurité dans le sens In
Définissez les autorisations d'accès de le groupe de sécurité dans le sens Sortie
Suggestions de base pour la pratique de groupe de sécurité
Avant de commencer la pratique de groupe de sécurité, voici quelques suggestions de base :
La règle la plus importante : les groupes de sécurité doivent être utilisés comme listes blanches.
Lors de l'ouverture des règles d'accès aux applications, vous devez suivre le principe de « l'autorisation minimale ». Par exemple, vous pouvez choisir d'ouvrir des ports spécifiques (comme le port 80).
Un groupe de sécurité ne doit pas être utilisé pour gérer toutes les applications, car différentes couches doivent avoir des besoins différents.
Pour les applications distribuées, différents types d'applications doivent utiliser différents groupes de sécurité. Par exemple, vous devez utiliser différents groupes de sécurité pour les couches Web, Service, Base de données et Cache afin d'exposer différentes règles d'accès et autorisations.
Il n'est pas nécessaire de configurer un groupe de sécurité distinct pour chaque instance afin de contrôler les coûts de gestion.
Donner la priorité aux réseaux VPC.
Les ressources qui ne nécessitent pas d'accès au réseau public ne doivent pas fournir l'adresse IP du réseau public.
Gardez les règles pour un seul groupe de sécurité aussi simples que possible. Étant donné qu'une instance peut rejoindre jusqu'à 5 groupes de sécurité et qu'un groupe de sécurité peut inclure jusqu'à 100 règles de groupe de sécurité, une instance peut avoir des centaines de règles de groupe de sécurité appliquées simultanément. Vous pouvez regrouper toutes les règles de sécurité attribuées pour déterminer s'il faut autoriser l'entrée ou la sortie, mais si les règles individuelles des groupes de sécurité sont complexes, cela augmente la complexité de la gestion. Par conséquent, gardez les règles pour un seul groupe de sécurité aussi simples que possible.
Ajuster les règles d'accès des groupes de sécurité en ligne est une action relativement dangereuse. En cas de doute, vous ne devez pas mettre à jour les paramètres des règles d'accès au groupe de sécurité. La console d'Alibaba Cloud fournit la fonction de clonage de groupes de sécurité et de règles de groupe de sécurité. Si vous souhaitez modifier les groupes de sécurité et les règles en ligne, vous devez d'abord cloner un groupe de sécurité, puis déboguer le groupe de sécurité cloné pour éviter d'affecter directement les applications en ligne.
Définir des règles d'accès au réseau pour les groupes de sécurité
Voici des suggestions pratiques pour les règles d'accès au réseau pour les groupes de sécurité.
N'utilisez pas la règle d'accès 0.0.0.0/0
Autoriser tous les accès est une erreur courante. L'utilisation de 0.0.0.0/0 signifie que tous les ports sont exposés au monde extérieur. C'est très dangereux. La bonne approche consiste d’abord à interdire l’ouverture de tous les ports au monde extérieur. Les groupes de sécurité doivent être ajoutés à la liste blanche pour y accéder. Par exemple, si vous devez exposer un service Web, vous ne pouvez ouvrir que les ports TCP courants tels que 80, 8080 et 443 par défaut et garder les autres ports fermés.
{ "IpProtocol" : "tcp", "FromPort" : "80", "ToPort" : "80", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} , { "IpProtocol" : "tcp", "FromPort" : "8080", "ToPort" : "8080", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} , { "IpProtocol" : "tcp", "FromPort" : "443", "ToPort" : "443", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
Fermer les règles d'accès au réseau inutiles
Si les règles d'accès que vous utilisez actuellement incluent déjà 0.0.0.0/0, vous devez réexaminer votre application Des ports et des services qui doivent être ouverts au monde extérieur. Si vous êtes sûr de ne pas vouloir que certains ports fournissent directement des services au monde extérieur, vous pouvez ajouter une règle de refus. Par exemple, si le service de base de données MySQL est installé sur votre serveur, vous ne devez pas exposer le port 3306 au réseau public par défaut. À ce stade, vous pouvez ajouter une règle de refus comme indiqué ci-dessous et définir sa priorité sur 100. la priorité la plus basse.
{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceCidrIp" : "0.0.0.0/0", "Policy": "drop", Priority: 100} ,
L'ajustement ci-dessus empêchera tous les ports d'accéder au port 3306, ce qui empêchera très probablement vos besoins professionnels normaux. À ce stade, vous pouvez autoriser les ressources d’un autre groupe de sécurité pour l’accès aux règles entrantes.
Autoriser un autre groupe de sécurité à accéder au réseau
Différents groupes de sécurité ouvrent les règles d'accès correspondantes selon le principe minimum. Différents groupes de sécurité doivent être utilisés pour différentes couches d'application, et différents groupes de sécurité doivent avoir des règles d'accès correspondantes.
Par exemple, s'il s'agit d'une application distribuée, vous distinguerez différents groupes de sécurité. Cependant, différents groupes de sécurité peuvent ne pas avoir accès au réseau. À ce stade, vous ne devez pas autoriser directement le réseau IP ou CIDR. segment, mais en autorise directement un autre. Toutes les ressources d'un ID de groupe de sécurité sont directement accessibles. Par exemple, votre application crée différents groupes de sécurité pour le Web et la base de données : sg-web et sg-database. Dans sg-database, vous pouvez ajouter les règles suivantes pour autoriser toutes les ressources du groupe de sécurité sg-web à accéder à votre port 3306.
{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceGroupId" : "sg-web", "Policy": "accept", Priority: 2} ,
Autoriser un autre CIDR à accéder au réseau
Dans un réseau classique, le segment réseau n'étant pas contrôlable, il est recommandé d'utiliser le groupe de sécurité ID pour autoriser les règles d'accès au réseau.
VPC 网络中,您可以自己通过不同的 VSwitch 设置不同的 IP 域,规划 IP 地址。所以,在 VPC 网络中,您可以默认拒绝所有的访问,再授信自己的专有网络的网段访问,直接授信可以相信的 CIDR 网段。
{ "IpProtocol" : "icmp", "FromPort" : "-1", "ToPort" : "-1", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} , { "IpProtocol" : "tcp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} , { "IpProtocol" : "udp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,
变更安全组规则步骤和说明
变更安全组规则可能会影响您的实例间的网络通信。为了保证必要的网络通信不受影响,您应先尝试以下方法放行必要的实例,再执行安全组策略收紧变更。
注意:执行收紧变更后,应观察一段时间,确认业务应用无异常后再执行其它必要的变更。
新建一个安全组,将需要互通访问的实例加入这个安全组,再执行变更操作。
如果授权类型为 安全组访问,则将需要互通访问的对端实例所绑定的安全组 ID 添加为授权对象;
如果授权类型为 地址段访问,则将需要互通访问的对端实例内网 IP 添加为授权对象。
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!