Security group berfungsi sebagai firewall virtual untuk instans ECS. Dengan mengelola security group dan aturannya, Anda dapat menerapkan keamanan jaringan detail halus, pemagaran, dan kontrol akses.
Gambar berikut menunjukkan contoh skenario. Dua aturan security group dikonfigurasi untuk hanya mengizinkan alamat IP yang sah mengelola instans secara remote dan memblokir instans dari mengakses situs berisiko tinggi di internet.
Aturan masuk: Mengizinkan alamat IP tertentu (
121.XX.XX.XX) mengakses instans melalui Protokol Secure Shell (SSH) (port 22).Aturan keluar: Menolak akses instans ke alamat IP berisiko tinggi yang diketahui (
XX.XX.XX.XX).
Konfigurasikan security group untuk instans baru
Buka halaman pembelian instans: Buka halaman Konsol ECS - Custom Launch dan pilih konfigurasi instans.
Buat security group baru: Di bagian Network and Security Group, buat security group dasar atau security group enterprise, lalu edit namanya.
Konfigurasi cepat aturan umum: Saat membeli instans, konsol menyediakan port dan protokol umum. Anda dapat memilih kotak centang untuk mengizinkan traffic dari semua alamat IP (
0.0.0.0/0) ke port tujuan atau mengizinkan traffic yang mengikuti protokol tertentu untuk mengakses instans.
Anda tidak dapat mengonfigurasi aturan detail halus untuk security group saat membuatnya selama proses pembelian instans. Anda dapat mengonfigurasi aturan tersebut setelah instans dibuat. Jika Anda memilih port untuk manajemen instans, seperti port koneksi remote umum SSH (22) atau RDP (3389), selama konfigurasi cepat, Anda harus mengonfigurasi ulang aturan security group setelah instans dibuat agar hanya mengizinkan akses dari alamat IP aman.
Ubah, tambahkan, atau hapus aturan security group setelah pembuatan: Setelah membeli instans, Anda dapat menggunakan informasi dalam Aturan security group untuk menambah, mengubah, atau menghapus aturan security group untuk instans baru tersebut.
Untuk informasi tentang cara mengonfigurasi aturan security group untuk berbagai skenario bisnis, seperti membatasi akses instans dan mendefinisikan kebijakan keamanan database, lihat Panduan dan Contoh Penerapan Security Group.
Mengelola grup keamanan
Anda dapat mengubah aturan security group setelah dibuat bersama instans ECS. Anda juga dapat membuat dan mengelola security group secara independen, lalu mengaitkannya dengan instans ECS yang sudah ada.
Buat security group
Konsol
Buka halaman Konsol ECS - Security Groups dan klik Create Security Group.
Tetapkan nama security group dan Virtual Private Cloud.
Untuk tipe Security group, pilih Basic Security Group atau Enterprise Security Group.
Setelah Anda menambahkan aturan security group, klik Create.
API
Panggil CreateSecurityGroup untuk membuat security group.
Jika tidak ada aturan yang dikonfigurasi untuk security group dasar yang baru dibuat, secara default security group tersebut mengizinkan traffic dari instans ECS lain dalam security group yang sama, menolak semua traffic masuk lainnya, dan mengizinkan semua traffic keluar.
Tambah, ubah, atau hapus aturan security group
Aturan security group mendefinisikan kondisi yang harus dipenuhi oleh traffic jaringan agar diizinkan masuk ke atau keluar dari security group. Saat mengonfigurasi aturan, Anda harus menentukan parameter seperti arah traffic, tujuan, dan prioritas. Karena aturan security group bersifat stateful, Anda hanya perlu mengonfigurasi aturan masuk, dan security group secara otomatis mengizinkan traffic respons keluar yang sesuai.
Konsol
Buka halaman Konsol ECS - Security Groups dan klik ID security group target untuk membuka halaman detailnya.
Konfigurasikan aturan security group.
Tambah aturan: Di halaman detail security group target, pilih arah aturan dan klik Add Rule.
Ubah aturan: Di halaman detail security group target, temukan aturan tujuan di area Access Rules dan klik Edit di kolom Actions.
Hapus aturan: Di halaman detail security group, di area Access Rules, temukan aturan yang akan dihapus dan klik Delete di kolom Actions.
API
Panggil AuthorizeSecurityGroup untuk menambahkan aturan masuk.
Panggil AuthorizeSecurityGroupEgress untuk menambahkan aturan keluar.
Panggil ModifySecurityGroupRule untuk mengubah aturan masuk.
Panggil ModifySecurityGroupEgressRule untuk mengubah aturan keluar.
Panggil RevokeSecurityGroup untuk menghapus aturan masuk.
Panggil RevokeSecurityGroupEgress untuk menghapus aturan keluar.
Pada tingkat prioritas yang sama, aturan deny memiliki prioritas lebih tinggi. Untuk beberapa traffic jaringan tertentu, security group secara default mengizinkan traffic tersebut.
Untuk mengurangi risiko keamanan di lingkungan produksi Anda, konfigurasikan aturan security group berdasarkan prinsip hak istimewa minimal (daftar putih). Hindari mengizinkan akses dari semua sumber (jangan gunakan 0.0.0.0/0 atau ::/0) untuk skenario berisiko tinggi seperti login atau mengelola instans ECS.
Hindari mengubah security group secara langsung di lingkungan produksi. Anda dapat terlebih dahulu mengkloning security group, menguji perubahan di lingkungan staging, dan memastikan traffic instans normal. Setelah itu, Anda dapat mengubah aturan security group di lingkungan produksi.
Kaitkan security group dengan instans
Saat Anda mengaitkan security group dengan instans ECS, sebenarnya Anda mengaitkan security group tersebut dengan network interface controller (NIC) primer instans ECS.
Konsol
Buka halaman Konsol ECS - Instances dan klik ID instans target untuk membuka halaman detailnya.
Di halaman detail instans, beralih ke tab Security Group dan klik Change Security Group untuk menambah atau menghapus security group untuk instans tersebut. Jika beberapa security group dikaitkan dengan instans, aturannya digabung dan diterapkan sesuai urutan prioritas.
API
Panggil ModifyInstanceAttribute untuk menetapkan beberapa security group untuk instans ECS.
Panggil JoinSecurityGroup untuk menambahkan instans ECS ke security group tertentu.
Panggil LeaveSecurityGroup untuk menghapus instans ECS dari security group tertentu.
Kaitkan security group dengan ENI sekunder
Security group diterapkan pada Elastic Network Interfaces (ENIs) instans ECS. Jika instans memiliki beberapa ENI, Anda dapat mengaitkan security group berbeda dengan ENI tersebut dan mengonfigurasi aturan security group berbeda untuk menerapkan kontrol granular dan isolasi layanan bagi traffic jaringan internal.
Konsol
Buka halaman Konsol ECS - Elastic Network Interfaces dan klik ID ENI sekunder target untuk membuka halaman detailnya.
Klik Change Security Group, pilih security group yang akan dikaitkan, lalu klik OK.
API
Panggil JoinSecurityGroup untuk menambahkan elastic network interface (ENI) ke security group tertentu.
Panggil LeaveSecurityGroup untuk menghapus elastic network interface dari security group tertentu.
Anda dapat menggunakan ModifyNetworkInterfaceAttribute untuk menentukan beberapa security group untuk elastic network interface.
Gunakan daftar prefiks
Untuk memberikan akses ke beberapa segmen alamat IP, gunakan daftar prefiks untuk manajemen terpusat. Hal ini menyederhanakan konfigurasi aturan security group dan meningkatkan efisiensi pemeliharaan batch.
Konsol
Buat daftar prefiks:
Buka Konsol ECS - Prefix List.
Pilih tab target sesuai kebutuhan, lalu klik Create Prefix List.
Untuk security group yang mereferensikan daftar prefiks, jumlah aturan dihitung berdasarkan jumlah maksimum entri yang ditetapkan untuk daftar tersebut.
Di bagian Access Rules pada halaman detail security group target, tambahkan atau ubah aturan:
Tetapkan Source ke Prefix List, lalu pilih daftar prefiks target.
API
Panggil CreatePrefixList untuk membuat daftar prefiks. Setelah daftar dibuat, panggil DescribePrefixListAttributes untuk menanyakan detail daftar prefiks tersebut.
Panggil AuthorizeSecurityGroup untuk menambahkan aturan masuk yang memberikan akses dari daftar prefiks dengan menetapkan parameter SourcePrefixListId.
Panggil AuthorizeSecurityGroupEgress untuk menambahkan aturan keluar yang memberikan akses ke daftar prefiks dengan menetapkan parameter DestPrefixListId.
Kloning security group
Saat Anda perlu membuat beberapa security group dengan konfigurasi yang sama secara batch, atau melakukan replikasi dan backup lintas-wilayah atau lintas-jenis jaringan, Anda dapat menggunakan fitur Clone Security Group. Setelah berhasil dikloning, security group baru akan muncul di daftar security group wilayah tujuan.
Buka Security Groups dan klik Clone Security Group di kolom Actions security group target.
Konfigurasikan security group tujuan. Security group baru akan muncul di daftar security group wilayah tujuan setelah dikloning.
VPC ID: Jenis jaringan untuk security group baru. Pilih jaringan klasik atau VPC tertentu.
Retain Rules: Pilih opsi ini untuk mempertahankan semua aturan di security group asli. Aturan dengan prioritas lebih dari 100 akan disesuaikan menjadi 100.
Copy Tags From This Security Group To The Cloned Security Group: Pilih apakah akan menyalin tag dari security group sumber ke security group baru.
Periksa aturan redundan
Fitur pemeriksaan kesehatan security group dapat mendeteksi aturan redundan. Suatu aturan (Aturan A) dianggap redundan jika kondisinya sepenuhnya dicakup oleh aturan lain (Aturan B) dan prioritasnya tidak lebih tinggi daripada prioritas Aturan B. Aturan redundan mengonsumsi kuota aturan security group. Anda harus menghapusnya secara berkala untuk menghindari ketidakmampuan menambahkan aturan baru karena batas kuota tercapai.
Buka Konsol ECS - Security groups. Di halaman detail security group target, pada tab Access Rules, klik Health Check.
Di kotak dialog Health Check, pilih aturan redundan dan klik Delete The Above Rules.
Impor atau ekspor aturan
Anda dapat menggunakan fitur impor dan ekspor untuk mencadangkan, memulihkan, atau memigrasikan aturan.
Aturan impor
Aturan security group yang diimpor harus memenuhi persyaratan berikut:
Format file: JSON atau CSV.
Jumlah aturan: Maksimal 200 aturan dapat diimpor sekaligus.
Prioritas aturan: 1 hingga 100. Aturan dengan prioritas lebih dari 100 akan diabaikan.
Saat mengimpor aturan lintas wilayah, aturan security group yang mengotorisasi security group atau daftar prefiks tidak didukung. Aturan security group yang menentukan daftar port untuk range port juga tidak didukung.
Buka Konsol ECS - Security Group. Di halaman detail security group, buka bagian Access Rules dan klik Import Security Group Rules.
Di halaman Import Security Group Rules, klik Select File, pilih file JSON atau CSV lokal, lalu klik Confirm.
Jika impor gagal, arahkan kursor ke ikon peringatan untuk melihat alasannya.
Aturan ekspor
Buka Konsol ECS - Security Groups. Di halaman produk security group target, klik Export di area Access Rules. File aturan yang diekspor diberi nama dengan format berikut:
Format JSON: ecs_${region_id}_${groupID}.json.
Contoh: Jika Region ID adalah
cn-qingdaodan ID security group adalahsg-123, file yang diekspor diberi namaecs_cn-qingdao_sg-123.json.Format CSV: ecs_sgRule_${groupID}_${region_id}_${time}.csv.
Contoh: Jika Region ID adalah
cn-qingdao, ID security group adalahsg-123, dan tanggal ekspor adalah2020-01-20, file yang diekspor diberi namaecs_sgRule_sg-123_cn-qingdao_2020-01-20.csv.
Snapshot kelompok keamanan
Snapshot security group dapat mencadangkan aturan security group secara otomatis. Saat aturan security group berubah, sistem secara otomatis membuat snapshot. Anda dapat menggunakan snapshot untuk memulihkan aturan security group dari titik waktu tertentu guna mencegah kehilangan aturan akibat operasi yang tidak disengaja.
Setelah aturan security group berubah, sistem membuat snapshot setelah 5 menit. Jika terjadi beberapa perubahan dalam 5 menit, sistem hanya membuat satu snapshot berdasarkan aturan sebelum perubahan pertama.
Snapshot security group menggunakan Object Storage Service (OSS) untuk menyimpan data cadangan. OSS adalah layanan bayar sesuai penggunaan. Penggunaan snapshot security group akan dikenakan biaya penyimpanan dan permintaan OSS yang sesuai.
Buat kebijakan snapshot
Di halaman Security Group Snapshots, klik Create Security Group Snapshot Policy.
Di kotak dialog Create Snapshot Policy, konfigurasikan pengaturan berikut:
Policy Name: Masukkan nama untuk kebijakan snapshot.
Policy Status: Status kebijakan. Nilai yang valid adalah Enable dan Disable. Snapshot hanya dibuat untuk security group yang terkait jika kebijakan diaktifkan.
Snapshot Retention Period: Jumlah hari untuk menyimpan snapshot. Nilainya antara 1 hingga 30 hari, dengan default 1 hari. Snapshot akan dihapus secara otomatis setelah periode retensi berakhir.
OSS Storage Configuration: Menentukan bucket OSS untuk menyimpan data snapshot. Jika bucket tidak ditentukan, sistem menggunakan bucket default.
Klik OK.
Saat pertama kali membuat kebijakan snapshot, sistem akan meminta Anda memberikan izin kepada peran terkait layanan (SLR)
ALIYUNSECURITYGROUPSNAPSHOTROLEuntuk mengakses bucket OSS. Jika peran ini sudah ada, Anda tidak perlu memberikan izin lagi.
Kaitkan security group dengan kebijakan snapshot
Setelah membuat kebijakan snapshot, Anda harus mengaitkannya dengan security group untuk mulai mencadangkan aturan security group tersebut.
Saat Anda mengaitkan security group dengan kebijakan snapshot, sistem segera membuat snapshot untuk security group tersebut.
Buka Konsol ECS - Security Group Snapshots, temukan kebijakan snapshot target, lalu klik Associate Security Group di kolom Actions.
Di kotak dialog Associate Security Group, pilih security group.
Satu kebijakan snapshot dapat dikaitkan dengan maksimal 10 security group. Satu security group dapat dikaitkan dengan beberapa kebijakan snapshot yang berbeda.
Klik OK untuk menyelesaikan pengaitan.
Pulihkan aturan dari snapshot
Operasi pemulihan berlaku segera. Semua aturan saat ini akan sepenuhnya ditimpa oleh aturan dalam snapshot. Pemulihan ini tidak dapat dibatalkan.
Buka halaman Konsol ECS - Security Groups dan klik ID security group target untuk membuka halaman detailnya.
Di halaman detail security group, beralih ke tab Snapshot List, lalu di kolom Actions untuk snapshot target, klik Restore Snapshot.
Di kotak dialog Restore Security Group Snapshot, konfirmasi detail pemulihan.
Di tab Inbound dan Outbound, Anda dapat membandingkan Current Security Group Rules dengan Security Group Rules After Recovery.
Konfirmasi bahwa informasi sudah benar dan klik OK.
Hapus security group
Menghapus security group adalah operasi yang tidak dapat dikembalikan dan akan menghapus permanen semua aturan dalam security group tersebut. Sebelum melakukan operasi ini, pastikan untuk mencadangkan konfigurasi terkait.
Konsol
Buka Konsol ECS - Security Group dan klik Delete di kolom Actions security group target.
Di kotak dialog Delete Security Group, konfirmasi detailnya dan klik OK.
Jika security group tidak dikaitkan dengan instans ECS atau elastic network interfaces (ENIs) apa pun, tetapi kotak dialog Delete Security Group masih menampilkan Cannot Be Deleted, Anda dapat mengklik Try To Force Delete.
API
Panggil DeleteSecurityGroup untuk menghapus security group.
Security group tidak dapat dihapus dalam skenario berikut:
Dikaitkan dengan instans ECS atau ENI. Anda harus menghapus pengaitan terlebih dahulu.
Diotorisasi oleh aturan security group lain. Anda harus menghapus aturan otorisasi terlebih dahulu.
Security group terkelola hanya dapat dilihat dan tidak dapat dihapus.
Perlindungan penghapusan diaktifkan. Nonaktifkan perlindungan penghapusan lalu coba lagi. Jika Anda tidak dapat menonaktifkan perlindungan penghapusan, Anda tidak dapat menghapus security group tersebut.
Jika Anda menerima kode kesalahan
InvalidOperation.DeletionProtectionsaat memanggil DeleteSecurityGroupDeletion Protection di konsol, ini menunjukkan bahwa perlindungan penghapusan diaktifkan untuk security group tersebut.
Komunikasi jaringan antar instans dalam security group yang sama
Secara default, instans ECS dalam security group dasar yang sama dapat berkomunikasi satu sama lain melalui jaringan internal. Untuk meningkatkan keamanan, Anda dapat mengubah kebijakan konektivitas internal menjadi isolasi internal untuk melarang komunikasi jaringan internal antar instans.
Security group enterprise tidak mendukung pengubahan kebijakan akses internal.
Jika instans dikaitkan dengan beberapa security group, instans tersebut dapat berkomunikasi melalui jaringan internal selama kebijakan konektivitas internal salah satu security group diatur untuk mengizinkan komunikasi internal.
Jika kebijakan konektivitas internal security group diatur ke isolasi internal, Anda dapat mengonfigurasi aturan security group untuk mengizinkan komunikasi antar instans.
Konsol
Buka halaman Konsol ECS - Security Groups dan klik ID security group target untuk membuka halaman detailnya.
Di bagian Basic Information pada halaman Security Group Details, klik Modify Intra-group Network Connectivity Policy.
Kebijakan konektivitas jaringan internal untuk security group diatur ke Internal Isolation.
API
Panggil operasi ModifySecurityGroupPolicy untuk mengubah kebijakan konektivitas intra-grup security group dasar.
Komunikasi jaringan antar instans dalam security group berbeda
Saat Anda menetapkan security group lain sebagai objek otorisasi dalam aturan, Anda dapat mengizinkan instans dalam security group tersebut mengakses instans dalam security group saat ini melalui jaringan internal. Misalnya, dalam gambar, setelah Security Group B ditetapkan sebagai objek otorisasi untuk aturan masuk Security Group A, instans dalam Security Group B dapat mengakses instans dalam Security Group A melalui jaringan internal.
security group enterprise tidak mendukung penambahan aturan yang objek otorisasinya adalah security group.
Konsol
Buka halaman Konsol ECS - Security Groups dan klik ID security group target untuk membuka halaman detailnya.
Di halaman Security Group Details target, pilih arah aturan dan klik Add Rule.
Di halaman New Security Group Rule, tetapkan Source ke Security Group atau Cross-account Security Group.
API
Panggil AuthorizeSecurityGroup untuk menetapkan `SourceGroupId` dalam aturan masuk security group guna mengotorisasi security group yang dibuat.
Panggil AuthorizeSecurityGroupEgress untuk menetapkan DestGroupId dalam aturan keluar security group guna memberikan izin ke security group yang dibuat.
Rekomendasi penerapan produksi
Perencanaan security group
Tanggung jawab tunggal: Gunakan security group terpisah untuk skenario bisnis berbeda, seperti layanan web, database, dan cache.
Isolasi lingkungan: Pisahkan security group untuk lingkungan produksi dan staging. Jangan mencampurnya.
Konvensi penamaan: Gunakan format
environment-application-purpose-sg, sepertiprod-mysql-db-sg.
Konfigurasi aturan
Hak istimewa minimal: Buka hanya port yang diperlukan ke sumber yang diperlukan. Hindari membuka port manajemen seperti SSH (22) dan RDP (3389) ke
0.0.0.0/0. Selalu batasi akses hanya ke alamat IP tetap yang tepercaya.Penolakan default: Secara default tolak semua traffic masuk. Tambahkan aturan masuk hanya saat diperlukan untuk mengizinkan akses dari port dan sumber tertentu.
Konflik prioritas aturan: Saat instans dikaitkan dengan beberapa security group, aturan allow berprioritas rendah akan ditimpa oleh aturan deny berprioritas tinggi. Saat troubleshooting masalah konektivitas jaringan, periksa semua security group yang terkait.
Manajemen perubahan
Hindari mengubah langsung lingkungan produksi: Mengubah langsung security group di lingkungan produksi adalah operasi berisiko tinggi. Pertama, kloning security group dan uji di lingkungan staging. Setelah memastikan traffic instans normal, Anda dapat mengubah aturan security group di lingkungan produksi.
Aturan penagihan
Security group tidak dikenai biaya.
Batasan
Item batasan | Batasan security group dasar | Batasan security group enterprise |
Jumlah maksimum security group per Akun Alibaba Cloud di suatu Wilayah | Gunakan ID kuota | Sama seperti security group dasar |
Jumlah security group yang dapat dikaitkan dengan satu ENI | 10 | Sama seperti security group dasar |
Jumlah total maksimum aturan (masuk dan keluar) untuk semua security group yang dikaitkan dengan satu ENI | 1.000 | Sama seperti security group dasar |
Jumlah aturan dalam satu security group yang objek otorisasinya adalah security group lain | 20 | 0. Dalam security group enterprise, Anda tidak dapat menambahkan aturan yang objek otorisasinya adalah security group lain. Anda juga tidak dapat menggunakan security group enterprise sebagai objek otorisasi dalam aturan security group lain. |
Jumlah instans ECS tipe VPC yang dapat dimuat oleh satu security group tipe VPC | Tidak tetap. Jumlah ini dipengaruhi oleh jumlah alamat IP privat yang dapat dimuat oleh security group. | Tanpa Batas |
Jumlah alamat IP privat yang dapat dimuat oleh satu security group tipe VPC untuk satu Akun Alibaba Cloud di wilayah tertentu | 6.000 Catatan
| 65.536 Catatan Jumlah alamat IP yang digunakan merepresentasikan total jumlah ENI yang dikaitkan dengan security group, termasuk antarmuka jaringan primer dan sekunder instans. |
Port akses publik | Untuk alasan keamanan, port 25 instans ECS dibatasi secara default. Gunakan port terenkripsi Secure Sockets Layer (SSL), biasanya port 465, untuk mengirim email. | Sama seperti security group dasar |