Security group berfungsi sebagai firewall virtual untuk Instance ECS Anda. Dengan mengelola security group dan aturannya, Anda dapat menerapkan isolasi keamanan jaringan detail halus dan kontrol akses.
Gambar berikut menunjukkan cara mengonfigurasi dua aturan security group: satu untuk mengizinkan manajemen jarak jauh dari alamat IP yang diotorisasi, dan satu lagi untuk memblokir instance agar tidak mengakses situs web berisiko tinggi.
Aturan masuk: Mengizinkan alamat IP tertentu (
121.XX.XX.XX) mengakses instance melalui SSH (port 22).Aturan keluar: Menolak akses instance ke alamat IP berisiko tinggi yang diketahui (
XX.XX.XX.XX).
Konfigurasikan security group untuk instance baru
Buka halaman pembelian instance: Di halaman Konsol ECS - Custom Launch, konfigurasikan instance tersebut.
Buat security group: Di bagian Network and Security Group, buat dan beri nama security group dasar atau enterprise.
Konfigurasi cepat aturan umum: Saat membeli instance, konsol menyediakan daftar port dan protokol yang umum digunakan. Anda dapat memilih kotak centang untuk mengizinkan lalu lintas dari semua alamat IP (
0.0.0.0/0) ke port tertentu atau mengizinkan lalu lintas menggunakan protokol tertentu untuk mengakses instance yang dibuat.
Saat membuat security group bersama instance, Anda hanya dapat mengonfigurasi aturan detail halus setelah instance dibuat. Jika Anda memilih port yang digunakan untuk manajemen instance, seperti port koneksi jarak jauh SSH (22) dan RDP (3389), kami merekomendasikan agar Anda mengonfigurasi aturan security group untuk hanya mengizinkan akses dari alamat IP tepercaya setelah instance dibuat.
Ubah, tambahkan, atau hapus aturan setelah pembuatan: Setelah membuat instance, rujuk ke Aturan security group untuk menambahkan, mengubah, atau menghapus aturan security group untuk instance baru tersebut.
Untuk contoh lebih lanjut tentang cara mengonfigurasi aturan security group untuk berbagai skenario bisnis, seperti membatasi akses instance dan menentukan kebijakan keamanan database, lihat panduan dan contoh penerapan security group.
Kelola security groups
Anda dapat mengubah aturan security group yang dibuat bersama Instance ECS kapan saja. Anda juga dapat membuat dan mengelola security group secara independen, lalu mengaitkannya dengan Instance ECS yang sudah ada.
Buat security group
Konsol
Di halaman Konsol ECS - Security groups, klik Create Security Group.
Tentukan nama untuk security group dan pilih Virtual Private Cloud.
Untuk Basic Security Group, pilih Basic Security Group atau Advanced Security Group.
Setelah Anda mengonfigurasi aturan security group, klik OK.
API
Panggil operasi CreateSecurityGroup untuk membuat security group.
Secara default, security group dasar baru tanpa aturan apa pun mengizinkan semua lalu lintas keluar, mengizinkan lalu lintas masuk dari Instance ECS lain dalam grup yang sama, dan menolak semua lalu lintas masuk lainnya.
Kelola aturan security group
Aturan security group menentukan kondisi untuk mengizinkan atau menolak lalu lintas jaringan ke atau dari security group. Saat mengonfigurasi aturan, Anda harus menentukan arah lalu lintas, tujuan, dan prioritas. Karena aturan bersifat stateful, penambahan aturan masuk secara otomatis mengizinkan lalu lintas respons keluar yang sesuai.
Konsol
Di halaman Konsol ECS - Security groups, klik ID security group target untuk membuka halaman detailnya.
Konfigurasikan aturan security group.
Tambahkan aturan: Di halaman detail security group, pilih arah lalu lintas dan klik Add rule.
Ubah aturan: Di tab Access Rule halaman detail security group, temukan aturan yang ingin diubah dan klik Modify di kolom Operation.
Hapus aturan: Di tab Access Rule halaman detail security group, temukan aturan yang ingin dihapus dan klik Delete di kolom Operation.
API
Panggil operasi AuthorizeSecurityGroup untuk menambahkan aturan masuk.
Panggil operasi AuthorizeSecurityGroupEgress untuk menambahkan aturan keluar.
Panggil operasi ModifySecurityGroupRule untuk mengubah aturan masuk.
Panggil operasi ModifySecurityGroupEgressRule untuk mengubah aturan keluar.
Panggil operasi RevokeSecurityGroup untuk menghapus aturan masuk.
Panggil operasi RevokeSecurityGroupEgress untuk menghapus aturan keluar.
Untuk aturan dengan prioritas yang sama, aturan deny memiliki prioritas lebih tinggi. Security group secara default mengizinkan beberapa jenis lalu lintas jaringan tertentu.
Untuk mengurangi risiko keamanan di lingkungan produksi Anda, konfigurasikan aturan security group berdasarkan prinsip hak istimewa minimal (daftar putih). Hindari mengizinkan akses dari semua sumber (misalnya, dengan menggunakan
0.0.0.0/0atau::/0) dalam skenario berisiko tinggi, seperti saat login atau mengelola Instance ECS.Hindari langsung mengubah security group di lingkungan produksi. Pertama-tama, kloning security group tersebut dan uji perubahan di lingkungan staging. Setelah memastikan tidak ada dampak terhadap lalu lintas instance, terapkan aturan tersebut ke security group di lingkungan produksi.
Kaitkan security group dengan instance
Mengaitkan Instance ECS dengan security group akan menghubungkan grup tersebut ke NIC utama instance.
Konsol
Di halaman Konsol ECS - Instances, klik ID instance yang ingin dikelola.
Di halaman detail instance, klik tab Security Group. Lalu, klik Change Security Groups untuk menambahkan atau menghapus security group dari instance. Jika Anda mengaitkan beberapa security group dengan instance, aturannya akan digabungkan dan diterapkan berdasarkan prioritasnya.
API
Panggil operasi ModifyInstanceAttribute untuk mengaitkan beberapa security group dengan Instance ECS.
Panggil operasi JoinSecurityGroup untuk menambahkan Instance ECS ke security group.
Panggil operasi LeaveSecurityGroup untuk menghapus Instance ECS dari security group.
Kelola keamanan untuk ENI sekunder
Security group diterapkan pada elastic network interfaces (ENI) Instance ECS. Jika instance memiliki beberapa ENI, Anda dapat mengaitkan security group berbeda dengan ENI tersebut dan mengonfigurasi aturan security group yang berbeda. Hal ini memungkinkan kontrol granular dan isolasi layanan untuk lalu lintas jaringan internal.
Konsol
Di halaman Konsol ECS - Elastic network interfaces, klik ID ENI sekunder yang ingin dikelola.
Klik Change Security Groups, pilih security group yang ingin dikaitkan, lalu klik OK.
API
Panggil operasi JoinSecurityGroup untuk menambahkan ENI ke security group tertentu.
Panggil operasi LeaveSecurityGroup untuk menghapus ENI dari security group tertentu.
Panggil operasi ModifyNetworkInterfaceAttribute untuk mengaitkan beberapa security group dengan ENI.
Gunakan prefix list
Jika Anda perlu memberikan izin ke beberapa Blok CIDR, Anda dapat menggunakan prefix list untuk manajemen terpusat. Hal ini menyederhanakan konfigurasi aturan security group dan meningkatkan efisiensi pemeliharaan batch.
Konsol
Buat prefix list:
Di tab yang sesuai, klik Create Prefix List.
Untuk security group yang mereferensikan prefix list, jumlah aturan dalam security group dihitung berdasarkan jumlah maksimum entri yang Anda tentukan untuk list tersebut.
Di halaman detail security group target, tambahkan atau ubah aturan di bagian Access Rule:
Tetapkan Source ke prefix list dan pilih prefix list target.
API
Panggil operasi CreatePrefixList untuk membuat prefix list. Setelah prefix list dibuat, Anda dapat memanggil operasi DescribePrefixListAttributes untuk menanyakan detail prefix list tersebut.
Panggil operasi AuthorizeSecurityGroup dan tetapkan parameter SourcePrefixListId dalam aturan masuk untuk memberikan akses dari prefix list.
Panggil operasi AuthorizeSecurityGroupEgress dan tetapkan parameter DestPrefixListId dalam aturan keluar untuk memberikan akses ke prefix list.
Duplikasi grup keamanan
Anda dapat mengkloning security group untuk membuat beberapa security group dengan konfigurasi yang sama, atau untuk mereplikasi dan mencadangkan security group lintas wilayah atau jenis jaringan. Setelah dikloning, security group baru akan muncul di daftar security group wilayah tujuan.
Buka halaman Konsol ECS - Security groups. Temukan security group yang ingin dikloning dan klik Clone Security Group di kolom Operation.
Konfigurasikan security group tujuan. Setelah security group dikloning, security group tersebut akan muncul di daftar security group wilayah tujuan.
VPC ID: VPC tempat security group baru akan berada.
Retain rules: Pilih opsi ini untuk mempertahankan semua aturan dari security group sumber. Sistem akan mengubah prioritas aturan dengan nilai lebih dari 100 menjadi 100.
Copy Tags of Current Security Group: Pilih apakah akan menyalin tag dari security group sumber ke security group baru.
Periksa aturan berlebih
Fitur pemeriksaan kesehatan untuk security group dapat mengidentifikasi aturan berlebih. Aturan dianggap berlebih jika aturan lain dengan prioritas yang sama atau lebih tinggi sepenuhnya mencakup kondisinya. Kami merekomendasikan agar Anda secara berkala menghapus aturan berlebih untuk menghindari kegagalan menambahkan aturan baru karena batas kuota.
Buka halaman Konsol ECS - Security groups. Di halaman detail security group yang ingin dikelola, klik tab Access Rule dan klik Health check.
Di kotak dialog Health check, pilih aturan berlebih yang ingin dihapus dan klik Delete rules.
Impor dan ekspor aturan
Anda dapat menggunakan fitur impor dan ekspor untuk mencadangkan, memulihkan, dan memigrasikan aturan security group.
Impor aturan
Aturan security group yang diimpor harus memenuhi persyaratan berikut:
Format file: JSON atau CSV.
Jumlah aturan: Maksimal 200 aturan dapat diimpor sekaligus.
Prioritas aturan: 1 hingga 100. Aturan dengan prioritas lebih dari 100 akan diabaikan.
Saat mengimpor aturan lintas wilayah, aturan security group yang menggunakan security group atau prefix list sebagai objek otorisasi, atau yang menggunakan port list sebagai range port, tidak didukung.
Buka halaman Konsol ECS - Security groups. Di halaman detail security group yang ingin dikelola, klik tab Access Rule dan klik Import Security Group Rule.
Di halaman Import Security Group Rule, klik Select a file, pilih file JSON atau CSV lokal, lalu klik OK.
Jika impor gagal, Anda dapat mengarahkan kursor ke ikon peringatan untuk melihat penyebab kegagalan.
Ekspor aturan
Buka halaman Konsol ECS - Security groups. Di halaman detail security group yang ingin dikelola, klik tab Access Rule dan klik Export. File aturan yang diekspor diberi nama menggunakan salah satu format berikut:
Format JSON: ecs_${region_id}_${groupID}.json.
Misalnya, jika ID wilayah adalah
cn-qingdaodan ID security group adalahsg-123, file yang diekspor diberi namaecs_cn-qingdao_sg-123.json.Format CSV: ecs_sgRule_${groupID}_${region_id}_${time}.csv.
Misalnya, jika ID wilayah adalah
cn-qingdao, ID security group adalahsg-123, dan tanggal ekspor adalah2020-01-20, file yang diekspor diberi namaecs_sgRule_sg-123_cn-qingdao_2020-01-20.csv.
Snapshot kelompok keamanan
Snapshot security group secara otomatis mencadangkan aturan security group. Saat Anda mengubah aturan security group, sistem secara otomatis membuat snapshot. Anda dapat menggunakan snapshot untuk memulihkan aturan security group ke titik waktu tertentu guna memulihkan aturan setelah modifikasi yang tidak disengaja.
Sistem membuat snapshot lima menit setelah aturan diubah. Jika Anda melakukan beberapa perubahan dalam rentang waktu lima menit, sistem membuat satu snapshot dari status sebelum perubahan pertama.
Snapshot security group menggunakan OSS untuk menyimpan data cadangan. OSS adalah layanan bayar sesuai penggunaan. Anda akan dikenai biaya untuk penyimpanan dan permintaan yang dihasilkan oleh snapshot security group.
Buat kebijakan snapshot
Buka halaman Konsol ECS - Security group snapshots dan klik Create Security Group Snapshot Policy.
Di kotak dialog Create snapshot policy, konfigurasikan parameter berikut:
Policy Name:: Masukkan nama untuk kebijakan snapshot.
Policy status: Pilih Enable atau Disable. Snapshot hanya dibuat untuk security group terkait jika kebijakan diaktifkan.
Retention Period: Tentukan jumlah hari untuk menyimpan snapshot. Nilainya dapat berupa bilangan bulat dari 1 hingga 30. Nilai default adalah 1. Snapshot akan dihapus secara otomatis setelah periode retensi berakhir.
OSS Storage Configuration: Konfigurasikan Bucket OSS yang digunakan untuk menyimpan data snapshot. Jika Anda membiarkan nama Bucket kosong, sistem akan menggunakan bucket default.
Klik OK.
Saat pertama kali membuat kebijakan snapshot, sistem akan meminta Anda untuk mengotorisasi peran terkait layanan (SLR)
ALIYUNSECURITYGROUPSNAPSHOTROLEagar dapat mengakses bucket OSS. Jika peran ini sudah ada, Anda tidak perlu memberikan izin lagi.
Kaitkan dengan kebijakan snapshot
Setelah membuat kebijakan snapshot, Anda harus mengaitkannya dengan security group untuk mulai mencadangkan aturan security group tersebut.
Saat mengaitkan security group dengan kebijakan snapshot, sistem segera membuat snapshot untuk security group tersebut.
Buka halaman Konsol ECS - Security group snapshots. Temukan kebijakan snapshot yang ingin dikelola dan klik Associated Security Group di kolom Operation.
Di kotak dialog Associated Security Group, pilih security group yang ingin dikaitkan.
Kebijakan snapshot dapat dikaitkan dengan maksimal 10 security group. Security group dapat dikaitkan dengan beberapa kebijakan snapshot yang memiliki pengaturan berbeda.
Klik OK untuk menyelesaikan pengaitan.
Pulihkan aturan dari snapshot
Operasi pemulihan berlaku segera. Operasi ini akan menimpa semua aturan saat ini dengan aturan dari snapshot. Operasi ini tidak dapat dibatalkan.
Buka halaman Konsol ECS - Security groups dan klik ID security group yang ingin dikelola.
Di halaman detail security group, klik tab Snapshots. Temukan snapshot yang ingin dipulihkan dan klik Restore Snapshot di kolom Operation.
Di kotak dialog Restore Security Group, konfirmasi informasi pemulihan.
Di tab Inbound dan Outbound, bandingkan Current Security Group Rules dan Restored Security Group Rules.
Setelah mengonfirmasi informasi, klik OK.
Hapus security group
Menghapus security group akan menghapus permanen semua aturannya dan tidak dapat dikembalikan. Sebelum melanjutkan, pastikan Anda telah mencadangkan konfigurasi yang diperlukan.
Konsol
Buka halaman Konsol ECS - Security groups. Temukan security group yang ingin dihapus dan klik Delete di kolom Operation.
Di kotak dialog Delete Security Group, konfirmasi informasi dan klik OK.
Jika security group tidak dikaitkan dengan Instance ECS atau elastic network interface apa pun, tetapi kotak dialog Delete Security Group tetap menampilkan pesan Undeletable, Anda dapat mengklik Try to Force Delete.
API
Panggil operasi DeleteSecurityGroup untuk menghapus security group.
Anda tidak dapat menghapus security group dalam skenario berikut:
Security group dikaitkan dengan Instance ECS atau ENI. Anda harus memutuskan kaitan security group terlebih dahulu.
Security group direferensikan oleh aturan security group lain. Anda harus menghapus aturan yang mereferensikan terlebih dahulu.
Managed security groups hanya dapat dilihat dan tidak dapat dihapus.
Perlindungan penghapusan diaktifkan untuk security group. Anda harus menonaktifkannya sebelum menghapus security group.
Jika kode kesalahan
InvalidOperation.DeletionProtectiondikembalikan saat Anda menggunakan API DeleteSecurityGroup untuk menghapus security group, atau jika Anda melihat pesan seperti Deletion Protection di konsol, ini menunjukkan bahwa perlindungan penghapusan diaktifkan untuk security group tersebut.
Komunikasi intra-grup
Secara default, Instance ECS dalam security group dasar yang sama dapat saling berkomunikasi melalui jaringan internal. Untuk meningkatkan keamanan, Anda dapat mengubah kebijakan kontrol akses internal menjadi isolasi internal untuk melarang komunikasi jaringan internal antar instance.
Anda tidak dapat mengubah kebijakan kontrol akses internal enterprise security group.
Jika instance termasuk dalam beberapa security group, instance tersebut dapat berkomunikasi secara internal dengan instance lain di grup mana pun yang mengizinkan akses internal.
Jika kebijakan kontrol akses internal security group diatur ke isolasi internal, Anda dapat menambahkan aturan security group untuk mengizinkan komunikasi antar instance.
Konsol
Buka halaman Konsol ECS - Security groups dan klik ID security group yang ingin dikelola.
Di halaman Security group details, di bagian Basic Information, klik Modify intragroup network connectivity policy.
Ubah kebijakan konektivitas jaringan intra-grup menjadi Isolated.
API
Panggil operasi ModifySecurityGroupPolicy untuk mengubah kebijakan kontrol akses internal security group dasar.
Komunikasi antar-grup
Dengan menetapkan security group lain sebagai objek otorisasi dalam aturan, Anda mengizinkan instansnya mengakses instance di security group saat ini melalui jaringan internal. Pada gambar berikut, setelah Security Group B ditetapkan sebagai objek otorisasi untuk aturan masuk Security Group A, instance di Security Group B dapat mengakses instance di Security Group A melalui jaringan internal.
Anda tidak dapat menambahkan aturan yang menggunakan security group sebagai objek otorisasi ke enterprise security group.
Konsol
Buka halaman Konsol ECS - Security groups dan klik ID security group yang ingin dikelola.
Di halaman Security group details, pilih arah lalu lintas dan klik Add rule.
Di halaman Create Security Group Rule, tetapkan Source ke Security Group atau Cross-account security group.
API
Panggil operasi AuthorizeSecurityGroup dan tetapkan parameter SourceGroupId dalam aturan masuk untuk memberikan akses dari security group.
Panggil operasi AuthorizeSecurityGroupEgress dan tetapkan parameter DestGroupId dalam aturan keluar untuk memberikan akses ke security group.
Rekomendasi untuk lingkungan produksi
Perencanaan security group
Tanggung jawab tunggal: Gunakan security group terpisah untuk layanan berbeda, seperti server web, database, dan server cache.
Isolasi lingkungan: Gunakan security group terpisah untuk lingkungan produksi dan staging Anda.
Konvensi penamaan: Gunakan format
environment-application-purpose-sg. Misalnya,prod-mysql-db-sg.
Konfigurasi aturan
Hak istimewa minimal: Hanya buka port yang diperlukan ke sumber yang diperlukan. Hindari membuka port manajemen seperti SSH (22) dan RDP (3389) ke
0.0.0.0/0. Akses ke port-port ini harus selalu dibatasi ke alamat IP tetap yang tepercaya.Penolakan default: Tolak semua lalu lintas masuk secara default. Tambahkan aturan masuk untuk mengizinkan akses dari port dan sumber tertentu hanya jika diperlukan.
Konflik prioritas aturan: Saat instance berada dalam beberapa security group, aturan deny dengan prioritas lebih tinggi menggantikan aturan allow dengan prioritas lebih rendah. Saat memecahkan masalah konektivitas jaringan, periksa semua security group terkait.
Manajemen perubahan
Hindari langsung mengubah lingkungan produksi: Hindari langsung mengubah security group di lingkungan produksi. Kami merekomendasikan agar Anda terlebih dahulu mengkloning security group dan mengujinya di lingkungan staging. Setelah memastikan tidak ada dampak terhadap lalu lintas instance, terapkan aturan tersebut ke security group di lingkungan produksi.
Penagihan
Security group tidak dikenai biaya.
Batasan
Batasan | Batasan security group dasar | Batas grup keamanan perusahaan |
Jumlah maksimum security group untuk satu Akun Alibaba Cloud di wilayah tertentu | Untuk melihat atau menambah kuota ini, gunakan ID kuota | Sama seperti untuk security group dasar |
Jumlah security group yang dapat dikaitkan dengan satu Elastic Network Interface (ENI) | 10 | Sama seperti untuk security group dasar |
Jumlah maksimum aturan (masuk dan keluar) untuk semua security group yang dikaitkan dengan satu ENI | 1.000 | Sama seperti untuk security group dasar |
Jumlah maksimum aturan per security group yang menentukan security group lain sebagai objek otorisasi | 20 | 0. Anda tidak dapat menambahkan aturan yang menggunakan security group sebagai objek otorisasi ke enterprise security group. Anda juga tidak dapat menggunakan enterprise security group sebagai objek otorisasi dalam aturan security group lain. |
Jumlah Instance ECS yang dapat dimuat oleh security group di virtual private cloud (VPC) | Jumlah ini tidak tetap. Bergantung pada jumlah alamat IP privat yang dapat dimuat oleh security group. | Tidak terbatas |
Jumlah maksimum alamat IP privat yang dapat dimuat oleh security group di VPC per Akun Alibaba Cloud di wilayah | 6.000 Catatan
| 65.536 Catatan Penggunaan kapasitas didasarkan pada jumlah total elastic network interface (termasuk ENI primer dan sekunder) yang dikaitkan dengan security group. |
Akses port publik | Karena alasan keamanan, port 25 pada Instance ECS dibatasi secara default. Kami merekomendasikan agar Anda menggunakan port terenkripsi SSL, seperti port 465, untuk mengirim email. | Sama seperti untuk security group dasar |