Aturan grup keamanan adalah aturan kontrol akses khusus yang mengelola lalu lintas masuk dan keluar dari instance Elastic Compute Service (ECS) dalam sebuah grup keamanan, membantu Anda mengontrol akses ke sumber daya cloud dan meningkatkan keamanan jaringan.
Sebelum menggunakan aturan grup keamanan, perhatikan informasi berikut ini:
Dalam virtual private cloud (VPC), aturan grup keamanan dikategorikan sebagai arah masuk atau arah keluar dan mengontrol lalu lintas Internet serta lalu lintas jaringan internal. Dalam jaringan klasik, aturan grup keamanan dibagi menjadi publik masuk, publik keluar, internal masuk, dan internal keluar. Aturan publik mengontrol lalu lintas Internet, sedangkan aturan internal mengontrol lalu lintas jaringan internal.
Grup keamanan bersifat stateful. Sesi stateful dapat bertahan hingga 910 detik. Setelah akses diizinkan dan sesi didirikan, grup keamanan mengizinkan semua komunikasi berikutnya dalam sesi tersebut. Sebagai contoh, jika paket data masuk diizinkan, paket data keluar yang sesuai juga diizinkan selama durasi sesi.
Mengubah aturan grup keamanan atau mengganti grup keamanan yang terkait dengan kartu antarmuka jaringan tidak mempengaruhi sesi yang telah didirikan, asalkan perilaku aturan tetap tidak berubah. Jika Anda mengandalkan konektivitas internal dari grup keamanan dasar untuk mengizinkan lalu lintas dan ingin menghindari gangguan pada sesi yang telah didirikan saat mengganti grup keamanan terkait, tambahkan instance ECS atau kartu antarmuka jaringan ke grup keamanan baru terlebih dahulu. Kemudian, tunggu sekitar 10 detik sebelum menghapusnya dari grup keamanan lama.
Port TCP 25 adalah port layanan email default. Untuk alasan keamanan, port TCP 25 pada instance ECS dibatasi secara default. Anda dapat menggunakan port 465 untuk mengirim email.
Jika Anda tidak menambahkan aturan grup keamanan apa pun, sebuah grup keamanan menggunakan aturan kontrol akses default yang tidak terlihat. Aturan default ini bekerja sama dengan aturan kustom Anda untuk mengontrol lalu lintas untuk instance ECS. Grup keamanan dasar dan enterprise memiliki aturan default yang berbeda. Untuk grup keamanan dasar, aturan masuk default mengizinkan lalu lintas jaringan internal dari instance lain dalam grup keamanan yang sama, dan aturan keluar default mengizinkan semua lalu lintas. Untuk grup keamanan enterprise, baik lalu lintas masuk maupun keluar ditolak secara default. Untuk informasi lebih lanjut, lihat Grup keamanan dasar dan enterprise.
Kebijakan konektivitas internal dari grup keamanan dasar memengaruhi aturan kontrol akses default-nya. Kebijakan defaultnya adalah konektivitas internal, yang berarti bahwa aturan masuk mengizinkan lalu lintas jaringan internal dari instance lain dalam grup keamanan yang sama, dan aturan keluar mengizinkan lalu lintas jaringan internal ke instance lain dalam grup keamanan yang sama. Jika instance dalam grup keamanan dasar tidak perlu saling mengakses melalui jaringan internal, ikuti Prinsip Hak Istimewa Minimum (PoLP) dan atur kebijakan konektivitas internal menjadi isolasi internal. Untuk informasi lebih lanjut, lihat Ubah kebijakan konektivitas internal dari grup keamanan dasar.
Untuk menentukan apakah akan mengizinkan lalu lintas untuk instance ECS, aturan dari semua grup keamanan terkait digabungkan. Aturan-aturan ini diurutkan berdasarkan kebijakan tetap dan diterapkan dengan aturan kontrol akses default untuk mengizinkan atau menolak lalu lintas. Untuk informasi lebih lanjut, lihat Kebijakan pencocokan untuk aturan grup keamanan kustom.
Jumlah aturan dalam sebuah grup keamanan dibatasi.
Sebuah Elastic Network Interface (ENI) tunggal dapat dikaitkan dengan maksimal 10 grup keamanan.
Jumlah total aturan, termasuk aturan masuk dan keluar, di semua grup keamanan yang terkait dengan ENI tidak boleh melebihi 1.000.
Untuk informasi lebih lanjut tentang batasan, lihat Batasan pada grup keamanan.
Untuk menghindari melebihi batasan dan mengurangi kompleksitas manajemen, sederhanakan aturan dalam satu grup keamanan. Anda dapat menggunakan fitur pemeriksaan kesehatan untuk aturan grup keamanan guna mendeteksi dan menghapus aturan redundan secara berkala. Untuk informasi lebih lanjut, lihat Periksa aturan redundan dalam grup keamanan.
Komponen aturan grup keamanan
Aturan grup keamanan kustom terdiri dari komponen-komponen berikut:
Protocol Type: Jenis protokol lalu lintas yang akan dicocokkan. Dua jenis nilai didukung:
Nama protokol: TCP, UDP, ICMP (IPv4), ICMP (IPv6), dan GRE.
Nomor protokol IP sesuai standar IANA: bilangan bulat dari 0 hingga 255. Nomor protokol yang sesuai dengan nama protokol di atas setara dengan menentukan nama protokol tersebut. Contohnya, 6 untuk TCP, 17 untuk UDP, 1 untuk ICMP (IPv4), 58 untuk ICMP (IPv6), dan 47 untuk GRE.
Range Port: Port tujuan dari lalu lintas yang sesuai. Range port tunggal dan daftar port didukung.
Range port tunggal: Untuk protokol TCP dan UDP, Anda dapat menentukan range port yang dipisahkan oleh garis miring (/), seperti 8000/9000 atau 22/22. Untuk protokol lainnya, bidang ini disetel ke -1/-1. Untuk informasi lebih lanjut, lihat Port Umum.
Daftar port: Daftar port adalah kumpulan port. Jika Anda menyetel Range Port ke daftar port, aturan ini dihitung sebagai sejumlah aturan grup keamanan yang sama dengan jumlah entri maksimum dalam daftar port, terlepas dari jumlah entri aktual. Saat menggunakan daftar port, jenis protokol aturan grup keamanan harus TCP atau UDP. Untuk informasi lebih lanjut, lihat Ikhtisar Daftar Port.
Objek Otorisasi: Alamat sumber dari lalu lintas yang sesuai dalam aturan masuk, atau alamat tujuan dari lalu lintas yang sesuai dalam aturan keluar. Blok Classless Inter-Domain Routing (CIDR) (atau alamat IP), grup keamanan, dan daftar awalan didukung.
Alamat IPv4: Misalnya, 192.168.0.100.
Blok CIDR IPv4: Misalnya, 192.168.0.0/24.
Alamat IPv6: Misalnya, 2408:4321:180:1701:94c7:bc38:3bfa:9. Antarmuka menstandarisasi alamat IPv6. Misalnya, 2408:180:0000::1 diproses sebagai 2408:180::1.
Blok CIDR IPv6: Misalnya, 2408:4321:180:1701::/64. Antarmuka menstandarisasi blok CIDR IPv6. Misalnya, 2408:4321:180:0000::/64 diproses sebagai 2408:4321:180::/64.
ID Grup Keamanan: Anda dapat memberikan akses ke grup keamanan target di akun saat ini atau akun lain. Alamat IP internal dari instance ECS dalam grup keamanan target digunakan untuk mencocokkan lalu lintas dan mengontrol akses jaringan internal. Sebagai contoh, jika Grup Keamanan A berisi instance ECS B, memberikan akses ke Grup Keamanan A memberikan izin akses ke alamat IP internal instance ECS B.
ID Daftar Awalan: Daftar awalan adalah kumpulan awalan jaringan (blok CIDR). Jika Anda menyetel Objek Otorisasi ke daftar awalan, aturan ini dihitung sebagai sejumlah aturan grup keamanan yang sama dengan jumlah entri maksimum dalam daftar awalan, terlepas dari jumlah entri aktual. Untuk informasi lebih lanjut, lihat Ikhtisar Daftar Awalan.
Kebijakan Otorisasi: Izinkan atau tolak. Setelah lalu lintas sesuai dengan aturan grup keamanan berdasarkan protokol, port, dan objek otorisasi, kebijakan otorisasi diterapkan untuk mengizinkan atau menolak lalu lintas.
Prioritas: Prioritas aturan. Nilainya berkisar antara 1 hingga 100. Nilai yang lebih kecil menunjukkan prioritas yang lebih tinggi. Aturan grup keamanan diurutkan pertama berdasarkan prioritas, kemudian berdasarkan kebijakan otorisasi. Untuk informasi lebih lanjut, lihat Kebijakan Pencocokan untuk Aturan Grup Keamanan Kustom.
Arah Aturan: Masuk atau keluar. Aturan masuk mengontrol lalu lintas masuk, dan aturan keluar mengontrol lalu lintas keluar.
Tipe NIC: Komponen ini relevan hanya dalam jaringan klasik. Anda dapat menentukan apakah aturan berlaku untuk kartu antarmuka jaringan publik atau internal dari instance ECS jaringan klasik. Aturan grup keamanan yang berlaku untuk kartu antarmuka jaringan publik mengontrol akses jaringan publik. Aturan yang berlaku untuk kartu antarmuka jaringan internal mengontrol akses jaringan internal. Dalam virtual private cloud (VPC), aturan grup keamanan mengontrol akses jaringan publik dan internal.
ID Aturan: Saat Anda menambahkan aturan grup keamanan, sistem menghasilkan ID unik untuk aturan tersebut. Untuk memodifikasi atau menghapus aturan yang ada, Anda dapat menggunakan ID aturan untuk menentukan aturan tersebut.
Aturan grup keamanan mencocokkan lalu lintas berdasarkan jenis protokol, range port, dan objek otorisasi, kemudian mengizinkan atau menolak lalu lintas berdasarkan kebijakan otorisasi. Untuk aturan masuk tipikal, objek otorisasi mencocokkan alamat sumber dari lalu lintas, dan range port mencocokkan port tujuan. Untuk aturan keluar tipikal, objek otorisasi mencocokkan alamat tujuan dari lalu lintas, dan range port mencocokkan port tujuan. Jika Anda memerlukan kontrol akses yang lebih presisi, Anda dapat menggunakan aturan quintuple. Untuk informasi lebih lanjut, lihat Aturan Quintuple Grup Keamanan.
Kebijakan pencocokan untuk aturan grup keamanan kustom
Instance ECS dapat dikaitkan dengan satu atau lebih grup keamanan. Saat menentukan apakah lalu lintas masuk diizinkan untuk instance ECS, berikut ini adalah kebijakan pencocokan aturan yang berlaku:
Aturan masuk dari beberapa grup keamanan digabungkan dan diurutkan berdasarkan kriteria berikut:
Pertama, aturan diurutkan berdasarkan prioritas. Nilai prioritas yang lebih kecil menunjukkan prioritas yang lebih tinggi.
Kedua, aturan diurutkan berdasarkan kebijakan otorisasi. Aturan Tolak (Drop) memiliki prioritas lebih tinggi daripada aturan Izinkan (Accept).
Lalu lintas dicocokkan dengan setiap aturan kustom secara berurutan berdasarkan jenis protokol, range port, dan objek otorisasi. Jika kecocokan ditemukan, tindakan yang ditentukan dalam kebijakan otorisasi aturan akan dilakukan untuk mengizinkan atau menolak lalu lintas.
Selain aturan grup keamanan kustom, grup keamanan juga memiliki aturan kontrol akses default yang tidak terlihat dan memengaruhi apakah lalu lintas diizinkan atau ditolak. Untuk informasi lebih lanjut, lihat Grup keamanan dasar dan enterprise.
Aturan grup keamanan khusus
Untuk memastikan operasi stabil instance ECS dan fungsi tertentu dari fitur cloud, grup keamanan secara default mengizinkan lalu lintas jaringan tertentu. Anda tidak dapat mengonfigurasi aturan grup keamanan untuk memblokir perilaku default ini. Skenario khusus ini meliputi hal-hal berikut:
Pemeriksaan konektivitas jaringan dalam kondisi tertentu:
Saat komponen bawah berubah, Alibaba Cloud dapat melakukan probe Ping sesuai permintaan pada instance ECS untuk memverifikasi konektivitas jaringan. Probe ini bersifat tidak rutin. Untuk memastikan akurasi pemeriksaan, grup keamanan secara default mengidentifikasi dan mengizinkan lalu lintas probe ini.
ICMP (Pesan kesalahan PMTUD):
Jika instance ECS mengirimkan paket data yang melebihi unit transmisi maksimum (MTU) jalur dengan flag Don't Fragment (DF) diaktifkan, instance tersebut akan menerima pesan kesalahan ICMP yang mencakup MTU jalur yang benar. Pesan ini menginstruksikan instance ECS untuk mengurangi ukuran paket. Grup keamanan secara default mengidentifikasi dan mengizinkan lalu lintas jaringan khusus ini. Untuk informasi lebih lanjut, lihat Jumbo frames.
Lalu lintas SLB:
Saat lalu lintas jaringan diteruskan ke instance ECS backend melalui Server Load Balancer (SLB), seperti ALB, NLB, atau CLB, grup keamanan secara default mengidentifikasi dan mengizinkan lalu lintas ini. Dalam hal ini, grup keamanan atau daftar kontrol akses (ACL) pada instance SLB mengontrol lalu lintas masuk dan keluar dari instance ECS.
Akses MetaServer:
MetaServer menyediakan layanan meta global, yang merupakan layanan fundamental agar instance ECS dapat berfungsi dengan benar. Grup keamanan secara default mengizinkan lalu lintas keluar ke MetaServer (alamat IP 100.100.100.200). Tidak diperlukan konfigurasi aturan tambahan.
Aturan grup keamanan quintuple
Secara default, saat mengonfigurasi aturan grup keamanan di konsol, aturan dibatasi pada komponen-komponen berikut:
Aturan grup keamanan masuk: Alamat IP sumber, port tujuan, dan jenis protokol.
Aturan grup keamanan keluar: Alamat IP tujuan, port tujuan, dan jenis protokol.
Untuk mengontrol lalu lintas masuk dan keluar dari instance ECS secara lebih presisi, Anda dapat menggunakan API untuk mengonfigurasi aturan quintuple grup keamanan. Aturan quintuple sepenuhnya kompatibel dengan aturan grup keamanan yang ada. Aturan quintuple masuk dan keluar untuk grup keamanan mengharuskan Anda mengonfigurasi alamat IP sumber, port sumber, alamat IP tujuan, port tujuan, dan jenis protokol.
Saat mengonfigurasi alamat IP tujuan dalam aturan masuk atau alamat IP sumber dalam aturan keluar untuk mengontrol lalu lintas untuk instance ECS tertentu dalam grup keamanan, Anda harus menentukan alamat IP pribadi dari instance ECS, bukan alamat IP publiknya (termasuk alamat IP publik statis dan elastic IP addresses (EIPs)). Hal ini karena alamat IP publik statis dan EIP adalah alamat IP NAT yang berada di gateway publik Alibaba Cloud. Grup keamanan beroperasi pada ENI instance dan mengontrol lalu lintas yang terkait dengan alamat IP pribadi, yang dipetakan ke alamat IP NAT.
Sebagai contoh, kode berikut untuk aturan keluar quintuple menunjukkan bahwa 172.16.1.0/32 memulai akses TCP ke 10.0.0.1/32 pada port 22.
Alamat IP sumber: 172.16.1.0/32
Port sumber: 22
Alamat IP tujuan: 10.0.0.1/32
Port tujuan: Tidak dibatasi
Jenis protokol: TCPContoh konfigurasi aturan grup keamanan
Contoh berikut menunjukkan konfigurasi aturan grup keamanan untuk skenario umum, seperti meng-hosting situs web dan menghubungkan secara remote ke instance.
Kasus 2: Mengizinkan Pengguna Tertentu untuk Mengakses Instance ECS secara Remote
Kasus 3: Kebijakan Keamanan untuk Layanan Database yang Diterapkan pada Instance ECS
Kasus 4: Mengizinkan Akses Hanya untuk Layanan yang Menggunakan Protokol Tertentu
Kasus 6: Membatasi Instance ECS agar Tidak Mengakses Situs Web Eksternal
Kasus 5: Mengaktifkan Komunikasi Jaringan Internal antara Instance dalam Grup Keamanan yang Berbeda