さまざまなセキュリティ グループを適切に計画し区別する方法
この記事の内容は、さまざまなセキュリティ グループを合理的に計画し、区別する方法に関するものです。必要な場合は参考にしてください。
セキュリティ グループの使用中は、通常、すべてのクラウド サーバーが同じセキュリティ グループに配置されるため、初期構成の作業負荷が軽減されます。しかし、長期的には、ビジネス システム ネットワークの相互作用は複雑になり、制御不能になります。セキュリティグループの変更を実行する場合、ルールの追加と削除の範囲を明確に定義することはできません。
さまざまなセキュリティ グループを適切に計画して区別すると、システムの調整、アプリケーションによって提供されるサービスの整理、さまざまなアプリケーションの階層化が容易になります。ビジネスごとに異なるセキュリティ グループを計画し、異なるセキュリティ グループ ルールを設定することをお勧めします。
異なるセキュリティ グループを区別する
パブリック ネットワーク サービスのクラウド サーバーとイントラネット サーバーは、できる限り異なるセキュリティ グループに属する必要があります。
パブリック ネットワーク サービスが外部に提供されているかどうか (外部アクセス用に特定のポート (80、443 など) を積極的に公開するか、受動的に提供するか (パブリック ネットワーク IP、EIP を備えたクラウド サーバーなど) 、NAT ポート転送ルールなど) ポート転送ルールの結果、アプリケーションはパブリック ネットワークからアクセスされる可能性があります。
2 番目のシナリオでクラウド サーバーが属するセキュリティ グループ ルールは、最も厳格なルールを採用する必要があり、デフォルトでは、すべてのポートとプロトコルを閉じ、提供するポートのみを閉じることをお勧めします。 80 などの外部サービスを公開する必要があります。外部のパブリック ネットワークにアクセスできるサーバーのみがグループ化されるため、セキュリティ グループ ルールを調整する際の制御が容易になります。
サーバー グループを外部に提供する責任は明確かつ単純である必要があり、同じサーバー上で他のサービスを外部に提供することは避けてください。たとえば、MySQL、Redis などは、パブリック ネットワークにアクセスせずにクラウド サーバーにこれらのサービスをインストールし、セキュリティ グループのグループ認証を通じてアクセスすることをお勧めします。
現在、他のアプリケーションと同じセキュリティ グループ SG_CURRENT に既に属しているパブリック ネットワーク クラウド サーバーがある場合。以下の方法で変更できます。
現在提供されているパブリック ネットワーク サービスによって公開されているポートとプロトコル (80 や 443 など) を整理します。
SG_WEB などの新しいセキュリティ グループを作成し、対応するポートとルールを追加します。
説明: 認可ポリシー: 許可、プロトコル タイプ: ALL、ポート: 80/80、認可オブジェクト: 0.0.0.0/0、認可ポリシー: 許可、プロトコル タイプ: ALL、ポート: 443/443 認可オブジェクト:0.0.0.0/0。
セキュリティ グループ SG_CURRENT を選択し、SG_WEB 内のリソースが SG_CURRENT にアクセスできるようにするセキュリティ グループ ルールをグループ承認に追加します。
説明: 認可ポリシー: 許可、プロトコル タイプ: ALL、ポート: -1/-1、認可オブジェクト: SG_WEB、優先度: 実際の状況に応じてカスタマイズ [1-100]。
セキュリティ グループを新しいセキュリティ グループに切り替える必要があるインスタンス ECS_WEB_1 を追加します。
ECS コンソールで、[セキュリティ グループ管理] を選択します。
[SG_WEB] > [インスタンスの管理] > [インスタンスの追加] を選択し、インスタンス ECS_WEB_1 を選択して新しいセキュリティ グループ SG_WEB に参加させ、ECS_WEB_1 インスタンスのトラフィックとネットワークが適切に動作していることを確認します。
ECS_WEB_1 を元のセキュリティ グループから削除します。
ECS コンソールで、[セキュリティ グループ管理] を選択します。
[SG_CURRENT] > [インスタンスの管理] > インスタンスを削除し、ECS_WEB_1 を選択して、SG_CURRENT から削除し、ネットワーク接続をテストし、トラフィックとネットワークが適切に動作していることを確認します。
正しく動作しない場合は、ECS_WEB_1 をセキュリティ グループ SG_CURRENT に追加し直し、設定された SG_WEB 公開ポートが期待どおりかどうかを確認してから、変更を続けます。
他のサーバー セキュリティ グループの変更を実行します。
異なるアプリケーションは異なるセキュリティ グループを使用します
運用環境では、ほとんどの場合、異なるオペレーティング システムは同じアプリケーションに属しません。負荷分散サービスを提供します。異なるサービスを提供するということは、公開する必要があるポートと拒否されるポートが異なることを意味し、異なるオペレーティング システムを可能な限り異なるセキュリティ グループに所属させることをお勧めします。
たとえば、Linux オペレーティング システムの場合は、SSH を実装するために TCP (22) ポートを公開する必要がある場合があり、Windows の場合は、TCP (3389) リモート デスクトップ接続を開く必要がある場合があります。
異なるオペレーティング システムが異なるセキュリティ グループに属することに加え、同じイメージ タイプが異なるサービスを提供する場合でも、イントラネット経由でアクセスする必要がない場合は、異なるセキュリティ グループに属することが最善です。これにより、単一の責任を達成するための分離と将来のセキュリティ グループ ルールの変更が容易になります。
新しいアプリケーションを計画および追加する場合は、異なる仮想スイッチ構成サブネットの分割を検討することに加えて、セキュリティ グループも合理的に計画する必要があります。ネットワーク セグメント セキュリティ グループを使用して、サービス プロバイダーとコンシューマの間の境界として自分自身を制限します。
具体的な変更プロセスについては、上記の手順を参照してください。
運用環境とテスト環境は異なるセキュリティ グループを使用します
システムをより適切に分離するには、実際の開発プロセス中に、複数のテスト環境やオンライン環境を構築することも可能です。より合理的なネットワーク分離を実現するには、テスト環境の変更がオンラインで更新されてオンラインの安定性に影響を与えることを防ぐために、環境構成ごとに異なるセキュリティ ポリシーを使用する必要があります。
異なるセキュリティグループを作成することで、アプリケーションのアクセスドメインを制限し、本番環境とテスト環境が接続できないようにします。同時に、異なるセキュリティグループを異なるテスト環境に割り当てることもできるため、複数のテスト環境間の相互干渉を回避し、開発効率を向上させることができます。
パブリック ネットワーク IP は、パブリック ネットワーク アクセスが必要なサブネットまたはクラウド サーバーにのみ割り当てます
クラシック ネットワークかプライベート ネットワークかに関係なく ( VPC) その中で、パブリック ネットワーク IP を合理的に割り当てることで、システムのパブリック ネットワーク管理がより便利になり、システム攻撃のリスクが軽減されます。プライベート ネットワークのシナリオでは、仮想スイッチを作成するときに、監査と区別を容易にし、誤ってパブリックにさらされることを避けるために、パブリック ネットワーク アクセスを必要とするサービス エリアの IP 範囲を複数の固定スイッチ (サブネット CIDR) に配置することをお勧めします。ネットワークアクセス。
分散アプリケーションでは、ほとんどのアプリケーションに異なるレイヤーとグループがあります。パブリック ネットワーク アクセスを提供しないクラウド サーバーの場合、パブリック ネットワーク アクセスを提供するサーバーが複数ある場合は、パブリック ネットワーク IP を提供しないようにしてください。システムの可用性を向上させ、単一ポイントを回避するために、パブリック ネットワークにサービスを提供するようにパブリック ネットワーク トラフィック分散用のロード バランシング サービスを構成することをお勧めします。
パブリック ネットワーク アクセスを必要としないクラウド サーバーにはパブリック IP アドレスを割り当てないようにしてください。クラウド サーバーがプライベート ネットワーク内のパブリック ネットワークにアクセスする必要がある場合は、まず NAT ゲートウェイを使用して、VPC 内にパブリック IP を持たない ECS インスタンスにインターネットにアクセスするためのプロキシ サービスを提供することをお勧めします。対応する SNAT ルールを設定すると、特定の CIDR ネットワーク セグメントまたはサブネットにパブリック ネットワーク アクセス機能を提供できます。詳細な設定については、「SNAT」を参照してください。パブリック ネットワークにアクセスする機能のみが必要なため、パブリック IP (EIP) を割り当てた後は、サービスをパブリック ネットワークに公開しないでください。
最小原則
セキュリティ グループはホワイトリストに登録する必要があるため、可能な限り最小限のポートを開いて公開する必要があります。同時に、パブリック IP の割り当てを最小限に抑えます。タスク ログやエラーのトラブルシューティングのためにオンライン マシンにアクセスする場合は、パブリック IP を直接割り当てるか、EIP をマウントするのが簡単ですが、結局のところ、マシン全体がパブリック ネットワークに公開されて管理されることになるため、より安全な戦略となります。スプリングボードマシンを介して。
踏み台マシンの使用
踏み台マシンは、ツールを通じて監査記録を作成するだけでなく、大きな権限を持っています。プライベート ネットワークでは、スプリングボード マシンを専用の仮想スイッチに割り当て、それに対応する EIP または NAT ポート転送テーブルを提供することをお勧めします。
まず、Linux TCP (22) や Windows RDP (3389) などの対応するポートを開くなど、専用のセキュリティ グループ SG_BRIDGE を作成します。セキュリティ グループのネットワーク アクセス ルールを制限するために、企業のパブリック ネットワークの出口範囲にログインできる許可されたオブジェクトを制限し、ログインおよびスキャンされる可能性を減らすことができます。
次に、クラウド サーバーをスプリングボード マシンとしてセキュリティ グループに追加します。本機が対応するクラウドサーバーにアクセスできるようにするために、対応するグループ権限を設定できます。たとえば、SG_CURRENT にルールを追加して、SG_BRIDGE が特定のポートとプロトコルにアクセスできるようにします。
スプリングボード SSH を使用する場合は、パスワードではなく SSH キー ペアを使用してログインすることを優先することをお勧めします。
つまり、合理的なセキュリティ グループの計画を立てると、アプリケーションの拡張が容易になり、システムの安全性が高まります。
以上がさまざまなセキュリティ グループを適切に計画し区別する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
7555
15
1382
52
83
11
28
96
CentosとUbuntuの違い
Apr 14, 2025 pm 09:09 PM
Centosとubuntuの重要な違いは次のとおりです。起源(CentosはRed Hat、for Enterprises、UbuntuはDebianに由来します。個人用のDebianに由来します)、パッケージ管理(CentosはYumを使用し、安定性に焦点を当てます。チュートリアルとドキュメント)、使用(Centosはサーバーに偏っています。Ubuntuはサーバーやデスクトップに適しています)、その他の違いにはインストールのシンプルさが含まれます(Centos is Thin)
Centosをインストールする方法
Apr 14, 2025 pm 09:03 PM
Centosのインストール手順:ISO画像をダウンロードし、起動可能なメディアを燃やします。起動してインストールソースを選択します。言語とキーボードのレイアウトを選択します。ネットワークを構成します。ハードディスクをパーティション化します。システムクロックを設定します。ルートユーザーを作成します。ソフトウェアパッケージを選択します。インストールを開始します。インストールが完了した後、ハードディスクから再起動して起動します。
メンテナンスを停止した後のCentosの選択
Apr 14, 2025 pm 08:51 PM
Centosは廃止されました、代替品には次のものが含まれます。1。RockyLinux(最高の互換性)。 2。アルマリン(Centosと互換性); 3。Ubuntuサーバー(設定が必要); 4。RedHat Enterprise Linux(コマーシャルバージョン、有料ライセンス); 5。OracleLinux(CentosとRhelと互換性があります)。移行する場合、考慮事項は次のとおりです。互換性、可用性、サポート、コスト、およびコミュニティサポート。
Dockerデスクトップの使用方法
Apr 15, 2025 am 11:45 AM
Dockerデスクトップの使用方法は? Dockerデスクトップは、ローカルマシンでDockerコンテナを実行するためのツールです。使用する手順には次のものがあります。1。Dockerデスクトップをインストールします。 2。Dockerデスクトップを開始します。 3。Docker Imageを作成します(DockerFileを使用); 4. Docker画像をビルド(Docker Buildを使用); 5。Dockerコンテナを実行します(Docker Runを使用)。
Dockerの原則の詳細な説明
Apr 14, 2025 pm 11:57 PM
DockerはLinuxカーネル機能を使用して、効率的で孤立したアプリケーションランニング環境を提供します。その作業原則は次のとおりです。1。ミラーは、アプリケーションを実行するために必要なすべてを含む読み取り専用テンプレートとして使用されます。 2。ユニオンファイルシステム(UnionFS)は、違いを保存するだけで、スペースを節約し、高速化する複数のファイルシステムをスタックします。 3.デーモンはミラーとコンテナを管理し、クライアントはそれらをインタラクションに使用します。 4。名前空間とcgroupsは、コンテナの分離とリソースの制限を実装します。 5.複数のネットワークモードは、コンテナの相互接続をサポートします。これらのコア概念を理解することによってのみ、Dockerをよりよく利用できます。
Docker画像が失敗した場合はどうすればよいですか
Apr 15, 2025 am 11:21 AM
障害のあるDocker画像ビルドのトラブルシューティング手順:DockerFileの構文と依存関係バージョンを確認します。ビルドコンテキストに必要なソースコードと依存関係が含まれているかどうかを確認します。エラーの詳細については、ビルドログを表示します。 -targetオプションを使用して、階層フェーズを構築して障害点を識別します。 Dockerエンジンの最新バージョンを使用してください。 -t [image-name]:デバッグモードで画像を作成して、問題をデバッグします。ディスクスペースを確認し、十分であることを確認してください。 Selinuxを無効にして、ビルドプロセスへの干渉を防ぎます。コミュニティプラットフォームに助けを求め、DockerFilesを提供し、より具体的な提案のためにログの説明を作成します。
VSCODEに必要なコンピューター構成
Apr 15, 2025 pm 09:48 PM
VSコードシステムの要件:オペレーティングシステム:オペレーティングシステム:Windows 10以降、MACOS 10.12以上、Linux Distributionプロセッサ:最小1.6 GHz、推奨2.0 GHz以上のメモリ:最小512 MB、推奨4 GB以上のストレージスペース:最低250 MB以上:その他の要件を推奨:安定ネットワーク接続、XORG/WAYLAND(Linux)
Centosがメンテナンスを停止した後の対処方法
Apr 14, 2025 pm 08:48 PM
CentOSが停止した後、ユーザーは次の手段を採用して対処できます。Almalinux、Rocky Linux、Centosストリームなどの互換性のある分布を選択します。商業分布に移行する:Red Hat Enterprise Linux、Oracle Linuxなど。 Centos 9ストリームへのアップグレード:ローリングディストリビューション、最新のテクノロジーを提供します。 Ubuntu、Debianなど、他のLinuxディストリビューションを選択します。コンテナ、仮想マシン、クラウドプラットフォームなどの他のオプションを評価します。
