Topik ini menjelaskan cara mengonfigurasi aturan kelompok keamanan berdasarkan karakteristik kelompok keamanan di Elastic Compute Service (ECS) untuk memastikan keamanan dan keandalan lalu lintas jaringan dalam skenario umum, seperti menyebarkan situs web pada instance ECS untuk menyediakan layanan web eksternal dan mengelola akses jarak jauh ke instance ECS.
Panduan penggunaan kelompok keamanan
1. Analisis persyaratan bisnis Anda dan rencanakan kelompok keamanan yang berbeda
Identifikasi karakteristik bisnis dan persyaratan keamanan Anda. Misalnya, tentukan layanan mana yang dapat diekspos ke Internet dan layanan mana yang hanya digunakan secara internal.
Buat kelompok keamanan terpisah untuk instance ECS yang menyediakan layanan berorientasi Internet dan instance ECS yang menyediakan layanan berorientasi jaringan internal.
Port terbuka yang berlebihan dapat memungkinkan aplikasi Anda diakses melalui Internet, yang dapat menimbulkan risiko keamanan. Kelompok keamanan yang ditetapkan ke instance ECS harus mematuhi aturan ketat. Kami merekomendasikan agar Anda memprioritaskan konfigurasi aturan Tolak dalam kelompok keamanan. Anda dapat menutup semua port dan protokol kecuali yang diperlukan oleh layanan pada instance ECS.
Kelompok keamanan yang mencakup instance ECS berorientasi Internet harus memiliki aturan yang jelas dan sederhana untuk memastikan bahwa instance tersebut hanya menyediakan layanan utama. Sebagai contoh, untuk aplikasi MySQL dan Redis, kami merekomendasikan agar Anda menerapkan aplikasi tersebut pada instance ECS tanpa akses Internet dan mengonfigurasi aturan kelompok keamanan untuk mengizinkan akses hanya dari kelompok keamanan tertentu (ditentukan sebagai objek otorisasi).
Tetapkan aplikasi yang berbeda ke kelompok keamanan yang berbeda.
Dalam banyak kasus, sistem operasi yang berbeda dalam lingkungan produksi tidak termasuk dalam grup aplikasi yang sama untuk load balancing. Untuk menyediakan layanan yang berbeda, sistem operasi harus memiliki port yang berbeda diekspos atau diblokir. Kami merekomendasikan agar Anda menetapkan sistem operasi yang berbeda ke kelompok keamanan yang terpisah.
Sebagai contoh, pada sistem operasi Linux, Anda perlu mengekspos port TCP 22 untuk mengizinkan koneksi SSH. Pada sistem operasi Windows, Anda perlu mengekspos port TCP 3389 untuk mengizinkan koneksi Remote Desktop Protocol (RDP).
Jika instance yang menggunakan gambar yang sama tetapi menyediakan layanan berbeda tidak memerlukan komunikasi satu sama lain melalui jaringan internal, kami merekomendasikan untuk menetapkan instance tersebut ke kelompok keamanan yang berbeda. Langkah ini membantu memisahkan jenis gambar dari kelompok keamanan, menyederhanakan perubahan pada aturan kelompok keamanan di masa mendatang, serta memastikan bahwa setiap instance memiliki tanggung jawab yang lebih jelas.
Saat merencanakan dan menambahkan aplikasi baru, pastikan untuk merencanakan kelompok keamanan dengan baik serta menggunakan vSwitch untuk mendefinisikan subnet. Gunakan blok CIDR dan kelompok keamanan untuk menentukan peran Anda sebagai penyedia layanan atau konsumen.
Gunakan kelompok keamanan yang berbeda dalam lingkungan produksi dan pengujian.
Untuk mengisolasi sistem dengan lebih baik, Anda dapat membuat beberapa lingkungan pengujian dan satu lingkungan produksi selama pengembangan aktual. Konfigurasikan aturan kelompok keamanan yang berbeda untuk setiap lingkungan guna memastikan isolasi jaringan yang tepat. Dengan pendekatan ini, perubahan yang dilakukan untuk tujuan pengujian tidak akan memengaruhi stabilitas lingkungan produksi.
Anda dapat menggunakan kelompok keamanan untuk membatasi domain akses aplikasi serta mencegah komunikasi antara lingkungan produksi dan pengujian. Selain itu, Anda dapat menetapkan kelompok keamanan yang berbeda untuk setiap lingkungan pengujian guna memblokir lalu lintas antar lingkungan dan meningkatkan efisiensi pengembangan.
Jangan tetapkan alamat IP publik ke sumber daya yang tidak memerlukan akses Internet.
Jika Anda ingin terhubung ke instance ECS, Anda dapat menggunakan metode yang tidak memerlukan alamat IP publik, seperti Workbench, Pengelola Sesi, atau server lompat, untuk meminimalkan eksposur Internet. Jika Anda ingin mengakses langsung layanan yang diterapkan di lingkungan tanpa akses Internet atau di jaringan pribadi, Anda dapat menggunakan fitur penerusan port. Untuk informasi lebih lanjut, lihat Terhubung ke Instance Tanpa Koneksi Internet Menggunakan Fitur Penerusan Port CLI Pengelola Sesi.
Sebagian besar aplikasi terdistribusi memiliki lapisan dan grup yang berbeda. Untuk instance ECS tanpa akses Internet, kami merekomendasikan agar Anda tidak menetapkan alamat IP publik. Jika beberapa instance menyediakan akses Internet, kami merekomendasikan agar Anda mengonfigurasi Server Load Balancer (SLB) untuk mendistribusikan lalu lintas Internet guna meningkatkan ketersediaan sistem dan mencegah titik kegagalan tunggal. Untuk informasi lebih lanjut, kunjungi halaman Server Load Balancer.
Dalam virtual private clouds (VPC), jika instance ECS Anda tidak memiliki alamat IP publik tetapi memerlukan akses Internet, kami merekomendasikan agar Anda menggunakan gateway NAT untuk menyediakan layanan proxy Internet untuk instance tersebut. Anda hanya perlu mengonfigurasi entri Source Network Address Translation (SNAT) untuk mengaktifkan akses Internet untuk blok CIDR atau subnet tertentu. Dengan cara ini, Anda tidak perlu mengekspos layanan ke Internet setelah alamat IP publik ditetapkan saat hanya akses Internet keluar yang diperlukan. Untuk informasi lebih lanjut, lihat Buat dan Kelola Entri SNAT.
Gunakan kelompok keamanan sebagai daftar putih.
Gunakan kelompok keamanan sebagai daftar putih. Secara default, kelompok keamanan menolak semua akses masuk. Anda dapat menambahkan aturan Izinkan masuk ke kelompok keamanan untuk mengizinkan akses dari objek otorisasi tertentu pada port tertentu. Kami merekomendasikan agar Anda meminimalkan jumlah port terbuka dan alamat IP publik untuk instance ECS. Anda dapat mengaitkan elastic IP addresses (EIPs) dengan instance ECS online untuk memungkinkan akses mudah untuk kueri log tugas dan pemecahan masalah. Namun, operasi ini mengekspos instance ke Internet.
2. Konfigurasikan aturan kelompok keamanan
Kelompok keamanan berfungsi sebagai firewall virtual untuk mengontrol lalu lintas masuk dan keluar untuk instance ECS. Anda hanya perlu membuka port yang diperlukan dan membatasi rentang alamat IP sumber yang diizinkan.
Tindakan default kelompok keamanan dasar dan tingkat lanjut berbeda.
Secara default, kelompok keamanan dasar dan tingkat lanjut menolak semua akses masuk. Secara default, kelompok keamanan dasar mengizinkan semua akses keluar, sedangkan kelompok keamanan tingkat lanjut menolak semua akses keluar.
Instance dalam kelompok keamanan yang berbeda diisolasi satu sama lain melalui jaringan internal, dan kebijakan kontrol akses internal default berbeda untuk instance dalam jenis kelompok keamanan yang berbeda.
Instance dalam kelompok keamanan yang berbeda dari akun yang sama tidak dapat diakses satu sama lain melalui jaringan internal. Secara default, instance dalam kelompok keamanan dasar dapat berkomunikasi satu sama lain melalui jaringan internal, sedangkan instance dalam kelompok keamanan tingkat lanjut diisolasi satu sama lain melalui jaringan internal.
Objek kontrol aturan kelompok keamanan bervariasi berdasarkan jenis jaringan.
Dalam VPC, setiap aturan kelompok keamanan mengontrol akses ke atau dari Internet dan jaringan internal. Anda dapat mengonfigurasi aturan kelompok keamanan untuk menolak atau mengizinkan lalu lintas ke atau dari Internet dan jaringan internal.
Dalam jaringan klasik, aturan publik (aturan ingress dan egress Internet) mengontrol akses ke dan dari Internet, sedangkan aturan internal (aturan masuk dan keluar) mengontrol akses ke dan dari jaringan internal.
Tambahkan aturan kelompok keamanan berdasarkan prinsip hak istimewa minimal.
Misalnya, jika Anda ingin membuka port 22 pada instance Linux untuk login jarak jauh, kami merekomendasikan agar Anda hanya mengizinkan akses dari alamat IP tertentu.
PeringatanJika Anda menentukan 0.0.0.0/0 sebagai objek otorisasi dalam aturan masuk kelompok keamanan, semua alamat IPv4 diizinkan untuk mengakses instance dalam kelompok keamanan dan semua port diekspos. Ini meningkatkan risiko keamanan. Untuk meningkatkan keamanan, kami merekomendasikan agar Anda menolak akses eksternal pada semua port dan kemudian mengonfigurasi aturan kelompok keamanan untuk membuka port berdasarkan persyaratan bisnis Anda. Misalnya, jika Anda ingin mengekspos layanan web, Anda dapat membuka port TCP umum, seperti port 80, 8080, dan 443, dan menutup port lainnya.
Untuk memastikan keamanan, kami merekomendasikan agar Anda menentukan alamat IP atau blok CIDR sebagai objek otorisasi (sumber atau tujuan lalu lintas) berdasarkan persyaratan bisnis Anda dan prinsip hak istimewa minimal. Berhati-hatilah saat menentukan 0.0.0.0/0 atau ::/0 sebagai objek otorisasi untuk mengizinkan akses dari semua alamat IPv4 atau IPv6. Untuk informasi tentang jenis objek otorisasi yang didukung oleh kelompok keamanan, lihat bagian Komposisi Setiap Aturan Kelompok Keamanan dari topik "Aturan Kelompok Keamanan".
Konfigurasikan isolasi internal berdasarkan prinsip hak istimewa minimal.
Misalnya, jika Anda tidak memerlukan konektivitas intra-grup antara instance ECS dalam kelompok keamanan, ubah kebijakan kontrol akses internal kelompok keamanan dari konektivitas intra-grup menjadi isolasi internal.
Pastikan tujuan aturan dalam setiap kelompok keamanan konsisten.
Tambahkan aturan kelompok keamanan ke kelompok keamanan berdasarkan tujuan kelompok keamanan dan tetapkan instance ECS ke kelompok keamanan. Menambahkan sejumlah besar aturan ke satu kelompok keamanan meningkatkan kompleksitas manajemen.
Berhati-hatilah saat menentukan objek otorisasi untuk setiap aturan kelompok keamanan.
Objek otorisasi aturan kelompok keamanan dapat berupa alamat IP, kelompok keamanan, atau blok CIDR.
Jika Anda ingin mengizinkan sumber daya dalam kelompok keamanan yang berbeda untuk berkomunikasi satu sama lain, Anda harus mengonfigurasi aturan kelompok keamanan untuk mengizinkan akses timbal balik antara kelompok keamanan. Sebagai contoh, Anda dapat membuat kelompok keamanan yang berbeda untuk aplikasi terdistribusi. Kelompok keamanan tersebut mungkin tidak dapat diakses satu sama lain. Dalam hal ini, Anda dapat menambahkan aturan kelompok keamanan yang merujuk kelompok keamanan (bukan alamat IP atau blok CIDR) sebagai objek otorisasi untuk mengizinkan akses timbal balik antara kelompok keamanan sehingga sumber daya dalam kelompok keamanan dapat mengakses satu sama lain. Sebagai contoh, Anda membuat kelompok keamanan
sg-webuntuk lapisan web dan kelompok keamanansg-databaseuntuk lapisan database aplikasi Anda. Dalam kelompok keamanansg-database, Anda dapat menambahkan aturan yang merujuk kelompok keamanansg-webuntuk mengizinkan semua sumber daya dalam kelompok keamanan sg-web mengakses sumber daya dalam kelompok keamanan sg-database pada port MySQL 3306.Untuk mengizinkan akses melalui jaringan internal, Anda harus menentukan kelompok keamanan sebagai objek otorisasi bukan blok CIDR.
Secara default, tidak ada aturan kelompok keamanan masuk yang mengizinkan akses ke jaringan internal untuk instance ECS yang berada di jaringan klasik. Untuk memastikan keamanan, kami merekomendasikan agar Anda tidak mengaktifkan akses berdasarkan blok CIDR.
Dalam kebanyakan kasus, aplikasi umum menggunakan port default.
Aplikasi yang diterapkan pada instance ECS menggunakan port instance untuk menyediakan layanan eksternal. Untuk informasi lebih lanjut, lihat Port Umum.
3. Terus optimalkan dan modifikasi aturan kelompok keamanan
Seiring pertumbuhan bisnis Anda, kelompok keamanan dan aturan kelompok keamanan mungkin tidak lagi memenuhi persyaratan bisnis Anda. Anda harus secara teratur memeriksa kelompok keamanan dan aturan kelompok keamanan yang ada dan memodifikasi pengaturan kelompok keamanan berdasarkan postur keamanan terbaru. Saat memodifikasi kelompok keamanan, kami merekomendasikan agar Anda mengkloning kelompok keamanan ke lingkungan pengujian dan memodifikasi serta men-debug aturan kelompok keamanan dalam lingkungan pengujian untuk memastikan bahwa lalu lintas instance dalam kelompok keamanan dapat diteruskan dengan benar. Kemudian, Anda dapat memodifikasi aturan kelompok keamanan dalam lingkungan online untuk mencegah gangguan layanan yang disebabkan oleh modifikasi tidak sengaja.
Kelompok keamanan untuk kasus penggunaan yang berbeda
Kontrol lalu lintas masuk ke instance ECS
Anda dapat mengonfigurasi aturan masuk dalam kelompok keamanan untuk hanya mengizinkan pengguna tertentu mengakses layanan yang diterapkan pada instance ECS yang termasuk dalam kelompok keamanan. Secara default, kelompok keamanan menolak semua akses masuk. Anda hanya perlu mengonfigurasi aturan Izinkan kelompok keamanan. Kasus penggunaan berikut menjelaskan cara mengontrol lalu lintas masuk ke instance ECS:
Kasus 1: Mengizinkan situs web yang diterapkan pada instance ECS untuk menyediakan layanan web
Kasus 2: Hanya mengizinkan pengguna tertentu untuk terhubung ke instance ECS
Kasus 3: Kontrol akses ke database yang diterapkan pada instance ECS
Kasus 4: Hanya mengizinkan lalu lintas protokol tertentu untuk mengakses instance ECS
Kontrol lalu lintas keluar dari instance ECS
Anda dapat mengonfigurasi aturan keluar dalam kelompok keamanan untuk melarang instance ECS dalam kelompok keamanan mengakses sumber daya eksternal tertentu. Secara default, kelompok keamanan dasar mengizinkan semua akses keluar. Anda hanya perlu mengonfigurasi aturan Tolak kelompok keamanan. Kasus penggunaan berikut menjelaskan cara mengontrol lalu lintas keluar dari instance ECS:
Kasus 1: Mengizinkan situs web yang diterapkan pada instance ECS untuk menyediakan layanan web
Situs web diterapkan pada instance ECS dan dapat diakses oleh pengguna mana pun melalui Internet. Untuk memastikan keamanan instance, Anda dapat mengonfigurasi aturan kelompok keamanan untuk mengizinkan lalu lintas masuk dari sumber apa pun hanya pada port TCP 80 (HTTP) dan 443 (HTTPS). Ini memastikan bahwa situs web dapat diakses dari Internet tetapi membatasi akses langsung ke layanan lain pada instance.
Tabel berikut menjelaskan contoh aturan kelompok keamanan.
Arah aturan | Tindakan | Prioritas | Jenis protokol | Rentang port | Objek otorisasi |
Masuk | Izinkan | 1 | TCP Kustom | Buka port:
| Sumber: 0.0.0.0/0 |
Jika situs web tetap tidak dapat diakses setelah Anda menambahkan aturan di atas, periksa apakah semua port yang diperlukan terbuka dan tersedia. Untuk informasi lebih lanjut, lihat Apa yang Harus Saya Lakukan Jika Saya Tidak Dapat Mengakses Layanan yang Diterapkan pada Instance?
Kasus 2: Hanya mengizinkan pengguna tertentu untuk terhubung ke instance ECS
Jika Anda ingin menerapkan layanan pada instance ECS, Anda harus mengonfigurasi aturan dalam kelompok keamanan tempat instance tersebut berada untuk hanya mengizinkan pengguna tertentu seperti administrator atau server pada alamat IP tertentu untuk terhubung ke instance pada port koneksi, seperti port TCP 22 (port SSH default) atau port SSH kustom. Ini mengurangi risiko serangan jahat.
Tabel berikut menjelaskan contoh aturan kelompok keamanan.
Arah aturan | Tindakan | Prioritas | Jenis protokol | Rentang port | Objek otorisasi |
Masuk | Izinkan | 1 | TCP Kustom |
| Sumber: 192.168.XX.XX Catatan Alamat IP pengguna tertentu atau server tertentu. Masukkan alamat IP publik atau privat berdasarkan apakah koneksi dilakukan melalui Internet atau jaringan privat. Anda dapat mengakses situs pencarian IP, seperti Pencarian IP, untuk mendapatkan alamat IP publik jaringan lokal Anda. |
Saat menggunakan Alibaba Cloud Workbench untuk terhubung ke instance ECS, Anda hanya perlu mengizinkan objek otorisasi tertentu. Tabel berikut menjelaskan contoh aturan kelompok keamanan inbound.
Tindakan | Prioritas | Jenis protokol | Rentang port | Objek otorisasi |
Allow | 1 | Custom TCP |
|
|
Untuk informasi tentang cara mengonfigurasi aturan kelompok keamanan untuk terhubung ke instance ECS yang berada di jaringan klasik menggunakan Workbench, lihat bagian Pengaturan Kelompok Keamanan Terkait Workbench dari topik "Terhubung ke Instance Menggunakan Workbench".
Kasus 3: Kontrol akses ke database yang diterapkan pada instance ECS
Dalam banyak kasus, database memerlukan kebijakan keamanan yang ketat. Anda dapat mengonfigurasi aturan kelompok keamanan untuk hanya mengizinkan koneksi masuk pada port tertentu dari alamat IP atau kelompok keamanan tertentu, seperti kelompok keamanan tempat server aplikasi berada. Ini memastikan privasi dan keamanan akses database.
Jika aturan masuk kelompok keamanan mencakup 0.0.0.0/0, tinjau port dan layanan yang harus diekspos oleh aplikasi Anda. Jika Anda tidak ingin port tertentu menyediakan layanan eksternal secara langsung, Anda dapat menambahkan aturan Tolak untuk port tersebut. Sebagai contoh, jika Anda menerapkan layanan database MySQL pada instance Anda, port 3306 tidak dapat diekspos ke Internet. Dalam hal ini, Anda dapat menambahkan aturan Tolak dan mengatur prioritas aturan menjadi 100, yang menentukan prioritas terendah.
Tabel berikut menjelaskan contoh aturan kelompok keamanan untuk database umum yang menggunakan port default.
Jenis database | Arah aturan | Tindakan | Prioritas | Jenis protokol | Rentang port | Objek otorisasi |
MySQL | Masuk | Izinkan | 1 | TCP Kustom | Tujuan: 3306/3306 | Sumber: 172.16.XX.XX.XX |
Oracle | Masuk | Izinkan | 1 | TCP Kustom | Tujuan: 1521/1521 | Sumber: 192.168.XX.XX |
MS SQL | Masuk | Izinkan | 1 | TCP Kustom | Tujuan: 1433/1433 | Sumber: 192.168.XX.XX/16 |
PostgreSQL | Masuk | Izinkan | 1 | TCP Kustom | Tujuan: 5432/5432 | Sumber: sg-bp1hv6wvmegs036**** |
Redis | Masuk | Izinkan | 1 | TCP Kustom | Tujuan: 6379/6379 | Sumber: 160998252992****/sg-bp174yoe2ib1sqj5**** |
Alamat IP, blok CIDR, ID akun Alibaba Cloud, dan ID kelompok keamanan yang disediakan dalam tabel di atas hanya untuk referensi. Ganti informasi tersebut dengan nilai aktual.
Kasus 4: Hanya izinkan lalu lintas protokol tertentu untuk mengakses instance ECS
Anda mungkin perlu membatasi protokol jaringan yang dapat digunakan untuk mengakses instance ECS berdasarkan persyaratan bisnis Anda. Misalnya, Anda mungkin perlu mengizinkan lalu lintas hanya melalui port TCP atau UDP tertentu. Protokol Internet Control Message Protocol (ICMP) digunakan untuk mentransfer pesan kontrol antara host IP dan router. Sebelum Anda dapat melakukan operasi pengujian tertentu, seperti menjalankan perintah ping pada klien untuk ping instance ECS Anda, Anda harus menambahkan aturan kelompok keamanan untuk mengizinkan akses masuk ICMP. Tabel berikut menjelaskan contoh aturan kelompok keamanan.
Arah aturan | Tindakan | Prioritas | Jenis protokol | Rentang port | Objek otorisasi |
Masuk | Izinkan | 1 |
| Tujuan: -1/-1 | Alamat IP klien. Catatan Masukkan alamat IPv4 atau IPv6 berdasarkan lingkungan jaringan. |
Kasus 5: Izinkan instance dalam kelompok keamanan yang berbeda untuk berkomunikasi satu sama lain melalui jaringan internal
Jika Anda ingin berbagi data antara instance ECS dari kelompok keamanan yang berbeda dalam VPC yang sama, seperti ketika Anda ingin instance dalam Kelompok Keamanan A mengakses file bersama pada instance dalam Kelompok Keamanan B melalui FTP, Anda dapat menambahkan aturan untuk mengizinkan akses timbal balik antara kelompok keamanan melalui jaringan internal. Metode ini lebih nyaman daripada menambahkan aturan untuk mengizinkan akses ke atau dari alamat IP individu atau blok CIDR. Anda tidak perlu mengonfigurasi kontrol akses secara terpisah untuk setiap instance dalam setiap kelompok keamanan.
Metode ini tidak didukung untuk instance ECS yang berada dalam VPC yang berbeda.
Jika layanan Anda mengizinkan semua instance ECS diterapkan pada VPC yang sama, ubah VPC untuk instance ECS untuk memanfaatkan kemampuan konektivitas jaringan internal yang disediakan oleh VPC.
Jika layanan Anda memerlukan instance ECS diterapkan pada VPC yang berbeda, manfaatkan salah satu solusi konektivitas jaringan internal yang disediakan oleh Alibaba Cloud, termasuk koneksi peering VPC, PrivateLink, dan Cloud Enterprise Network (CEN). Untuk perbedaan antara solusi tersebut, lihat Ikhtisar Koneksi VPC.
Skenario 1:
Jika Kelompok Keamanan A dan Kelompok Keamanan B milik akun Alibaba Cloud yang sama, Anda harus menentukan ID Kelompok Keamanan A sebagai objek otorisasi saat menambahkan aturan ke Kelompok Keamanan B untuk mengizinkan akses masuk dari Kelompok Keamanan A. Tabel berikut menjelaskan contoh aturan kelompok keamanan.
Arah aturan
Tindakan
Prioritas
Jenis protokol
Rentang port
Objek otorisasi
Masuk
Izinkan
1
TCP Kustom
Tujuan: 21/21
Sumber: sg-bp1hv6wvmegs036****
CatatanID kelompok keamanan yang disediakan dalam tabel di atas hanya untuk referensi. Ganti ID kelompok keamanan dengan ID kelompok keamanan aktual.
Skenario 2:
Jika Kelompok Keamanan A dan Kelompok Keamanan B tidak milik akun Alibaba Cloud yang sama, Anda harus menentukan ID Kelompok Keamanan A dan ID akun Alibaba Cloud tempat Kelompok Keamanan A berada sebagai objek otorisasi saat menambahkan aturan ke Kelompok Keamanan B untuk mengizinkan akses masuk dari Kelompok Keamanan A. Tabel berikut menjelaskan contoh aturan kelompok keamanan.
Arah aturan
Tindakan
Prioritas
Jenis protokol
Rentang port
Objek otorisasi
Masuk
Izinkan
1
TCP Kustom
Tujuan: 21/21
Sumber: 160998252992****/sg-bp174yoe2ib1sqj5****
CatatanID akun Alibaba Cloud dan ID kelompok keamanan yang disediakan dalam tabel di atas hanya untuk referensi. Ganti ID tersebut dengan ID aktual.
Kasus 6: Batasi akses dari instance ECS ke situs web eksternal
Secara default, kelompok keamanan dasar mengizinkan semua akses keluar. Untuk mengizinkan instance ECS dalam kelompok keamanan dasar mengakses hanya situs web tertentu, Anda dapat menggunakan kelompok keamanan sebagai daftar putih dan menambahkan aturan Tolak yang menolak semua akses keluar dan kemudian aturan Izinkan yang mengizinkan akses keluar ke alamat IP situs web.
Perhatikan hal-hal berikut:
Setelah beberapa aturan cocok dengan permintaan berdasarkan protokol, rentang port, dan objek otorisasi yang sesuai, permintaan tersebut dicocokkan dengan prioritas dan tindakan aturan untuk menentukan aturan tunggal yang akan diterapkan. Tidak ada sesi yang dibuat sampai aturan Izinkan cocok dan diterapkan.
Nilai prioritas yang lebih kecil menentukan prioritas lebih tinggi untuk aturan kelompok keamanan. Jika dua aturan kelompok keamanan memiliki prioritas yang sama dan hanya berbeda dalam tindakan, aturan Tolak akan berlaku. Prioritas aturan Tolak harus lebih rendah daripada prioritas aturan Izinkan. Ini memastikan bahwa aturan Izinkan berlaku untuk mengizinkan akses keluar ke alamat IP situs web yang ditentukan.
Tabel berikut menjelaskan contoh aturan kelompok keamanan.
Arah aturan | Tindakan | Prioritas | Jenis protokol | Rentang port | Objek otorisasi |
Keluar | Tolak | 2 | Semua | Tujuan: -1/-1 | Tujuan: 0.0.0.0/0 |
Keluar | Izinkan | 1 | TCP Kustom | Tujuan: 80/80 | Tujuan: 47.96.XX.XX |
Keluar | Izinkan | 1 | TCP Kustom | Tujuan: 443/443 | Tujuan: 121.199.XX.XX |
Aturan di atas menunjukkan bahwa instance ECS dalam kelompok keamanan diizinkan mengakses layanan HTTP di 47.96.XX.XX pada port 80 dan layanan HTTPS di 121.199.XX.XX pada port 443. Permintaan akses keluar lainnya ditolak.