全部产品
Search

搜索本产品

    Elastic Compute Service:Batasi Alamat IP Sumber untuk Port O&M Instans

    文档中心

    Elastic Compute Service:Batasi Alamat IP Sumber untuk Port O&M Instans

    更新时间:Oct 25, 2025

    Saat membuat instans, jangan izinkan akses dari semua alamat IP sumber ke port O&M dalam grup keamanannya. Buka hanya port yang diperlukan dan batasi akses ke alamat IP tertentu.

    Risiko keamanan

    Port O&M untuk instance Elastic Compute Service (ECS), seperti Secure Shell (SSH) port 22 untuk Linux dan Remote Desktop Protocol (RDP) port 3389 untuk Windows, merupakan gerbang bagi administrator untuk mengelola server secara remote. Jika Anda menyetel izin akses untuk port ini ke semua alamat IP (0.0.0.0/0) dalam grup keamanan, maka gerbang ini akan terbuka untuk seluruh Internet:

    • Serangan brute-force: Penyerang dapat menggunakan alat otomatis untuk mencoba kombinasi nama pengguna dan kata sandi umum secara terus-menerus guna mengakses server Anda. Jika berhasil, mereka akan memperoleh kendali penuh atas server tersebut.

    • Pencurian dan pemalsuan data: Penyusup dapat mencuri atau memodifikasi data bisnis inti di server Anda, yang dapat menyebabkan kerugian bisnis langsung.

    • Infeksi malware: Server dapat dimanfaatkan sebagai bagian dari jaringan bot (zombie) untuk meluncurkan serangan DDoS, melakukan penambangan, atau menjadi batu loncatan untuk menyerang jaringan lain.

    Praktik terbaik

    Gunakan grup keamanan untuk membuka hanya port yang diperlukan dan batasi akses ke alamat IP sumber tertentu.

    Konsol

    1. Buat Grup Keamanan dengan aturan masuk yang tidak mengizinkan akses ke port O&M dari semua alamat IP (0.0.0.0/0).

    2. Saat membuat instans pada halaman pembelian instans, pilih grup keamanan yang telah dibuat.

    API

    1. Panggil operasi API CreateSecurityGroup untuk membuat grup keamanan baru, lalu panggil operasi API AuthorizeSecurityGroup untuk menambahkan aturan masuk yang diperlukan. Tentukan parameter SourceCidrIp untuk membatasi alamat IP sumber.

    2. Saat memanggil operasi API RunInstances atau CreateInstance untuk membuat instans, tentukan parameter SecurityGroupId untuk menambahkan instans ke grup keamanan.

    Kemampuan kepatuhan

    Pemeriksaan: Temukan grup keamanan yang membuka port O&M ke semua alamat IP

    ECS Insight

    1. Buka ECS Insight.

    2. Klik tab Security. Lalu, klik item pemeriksaan Unrestricted Access to Specific Security Group Ports untuk melihat instans yang mengizinkan akses dari alamat IP apa pun (0.0.0.0/0) ke port tertentu.

    Pusat Keamanan

    1. Buka Konsol Pusat Keamanan.

    2. Di bilah navigasi sebelah kiri, pilih Risk Administration > Cloud Security Posture Management. Pilih tab Cloud Product Configuration Risks. Temukan item pemeriksaan Larang Akses dari Alamat IP Apa Pun ke Port 22 dan Port 3389, lalu klik tombol Scan di kolom Actions.

      Jika statusnya adalah Failed, ini menunjukkan bahwa ada instans yang mengizinkan akses dari alamat IP apa pun ke port 22 atau 3389. Anda dapat mengklik Details untuk melihatnya.

    Blokir: Larang operasi pembuatan instans yang mengizinkan akses dari alamat IP apa pun ke port O&M

    Gunakan kebijakan RAM di tingkat organisasi atau akun untuk memblokir aturan grup keamanan yang mengizinkan akses dari alamat IP apa pun.

    • Untuk pengguna perusahaan:

      1. Masuk ke Konsol Direktori Sumber Daya menggunakan Akun Alibaba Cloud. Di bilah menu sebelah kiri, klik Control Policies. Kemudian, buat kebijakan kustom dan tempelkan konten JSON berikut.

        Kebijakan ini menolak operasi yang membuat instans atau yang membuat atau memodifikasi grup keamanan yang mengizinkan akses dari alamat IP apa pun.

        {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ecs:AuthorizeSecurityGroup",
        "ecs:ConfigureSecurityGroupPermissions",
        "ecs:ModifySecurityGroupRule"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "ecs:SecurityGroupIpProtocols": [
            "TCP"
          ]
        },
        "CIDRInRange": {
          "ecs:SecurityGroupSourceCidrIps": [
            "0.0.0.0/0"
          ]
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "ecs:CreateInstance",
        "ecs:RunInstances"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "ecs:NotSpecifySecureGroupId": [
            "true"
          ]
        }
      }
    }
  ]
}

      2. Di direktori sumber daya Anda, pilih node yang sesuai dan terapkan kebijakan tersebut. Kebijakan ini akan memblokir operasi tersebut untuk semua akun di bawah node terpilih.

    • Untuk Pengguna Non-Perusahaan:

      1. Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud Anda. Di bilah navigasi sebelah kiri, klik Policies. Lalu, buat kebijakan kustom dengan konten yang sama seperti yang dijelaskan di bagian sebelumnya.

      2. Berikan kebijakan akses kepada Pengguna RAM, Grup Pengguna RAM, atau Peran RAM. Untuk informasi lebih lanjut, lihat Mengelola Otorisasi untuk Kebijakan Akses.

    Perbaiki: Modifikasi aturan grup keamanan

    Modifikasi aturan grup keamanan yang ada dengan mengubah objek otorisasi dari 0.0.0.0/0 menjadi rentang alamat IP tepercaya tertentu.

    1. Identifikasi aturan yang tidak aman: Gunakan metode yang dijelaskan dalam bagian Pemeriksaan untuk menemukan grup keamanan dan aturan yang berpotensi menimbulkan ancaman.

    2. Modifikasi aturan:

      1. Buka halaman Konsol ECS - Grup Keamanan. Temukan grup keamanan target dan klik Manage Rules pada kolom Operation.

      2. Temukan aturan yang relevan, seperti aturan untuk port 22 yang menggunakan 0.0.0.0/0 sebagai objek otorisasi. Klik Modify, perbarui objek otorisasi ke alamat IP sumber tepercaya, lalu klik Save.

    Penting

    Saat menggunakan Alibaba Cloud Workbench untuk koneksi jarak jauh ke instans, konfigurasikan aturan Inbound grup keamanan seperti yang ditunjukkan dalam tabel berikut.

    Kebijakan Otorisasi

    Prioritas

    Jenis Protokol

    Rentang Port

    Objek Otorisasi

    Allow

    1

    Custom TCP

    • Untuk instans Linux, port 22 dibuka secara default: Pilih SSH (22).

    • Untuk instans Windows, port 3389 dibuka secara default: Pilih RDP (3389).

    • Jika Anda telah membuka port lain secara manual, masukkan range port.

    • Jika Anda terhubung menggunakan alamat IP publik instans (termasuk alamat IP publik statis dan EIP): tambahkan 161.117.0.0/16.

    • Jika Anda terhubung melalui alamat IP pribadi instans dalam VPC: Tambahkan 100.104.0.0/16.

    Untuk keamanan dan stabilitas, kami sarankan agar Anda tidak mengekspos port O&M ke alamat IP publik, seperti IP keluar jaringan kantor. Sebagai gantinya, izinkan akses dari alamat IP internal dalam VPC Anda. Untuk informasi lebih lanjut, lihat Panduan Aplikasi dan Contoh Grup Keamanan.