Gunakan kelompok keamanan sebagai blacklist atau whitelist untuk ALB - Server Load Balancer

Kelompok keamanan adalah firewall virtual yang mengontrol lalu lintas masuk dan keluar dari Application Load Balancer (ALB) berdasarkan aturan masuk dan keluar. Untuk mengizinkan atau menolak akses dari alamat IP tertentu ke instance ALB, Anda dapat menambahkan instance ALB ke kelompok keamanan. Kelompok keamanan dapat berfungsi sebagai blacklist atau whitelist untuk instance ALB. Anda juga dapat membuat aturan kelompok keamanan untuk menerapkan kontrol akses yang lebih rinci.

Skenario

Topik ini menjelaskan cara menggunakan kelompok keamanan sebagai blacklist dan whitelist dalam dua skenario. Untuk informasi lebih lanjut tentang prioritas aturan kelompok keamanan, lihat Kebijakan Pengurutan Aturan Kelompok Keamanan.

Blacklist: Konfigurasikan Kelompok Keamanan ALB untuk Menolak Akses dari Alamat IP Tertentu

Sebuah perusahaan telah menyebarkan bisnis di ALB di wilayah Alibaba Cloud. Pemeriksaan keamanan mendeteksi permintaan jahat dan serangan dari alamat IP seperti 121.XX.XX.12. Perilaku semacam itu dapat menyebabkan risiko bisnis dan risiko keamanan seperti kebocoran data.

Untuk menyelesaikan masalah ini, perusahaan dapat mengonfigurasi aturan kelompok keamanan untuk instance ALB guna menolak akses dari alamat IP tertentu, seperti 121.XX.XX.12. Aturan kelompok keamanan dapat memblokir permintaan jahat dan serangan dari alamat IP tertentu untuk meningkatkan keamanan dan stabilitas bisnis.

Whitelist: Konfigurasikan Kelompok Keamanan ALB untuk Mengizinkan Akses dari Alamat IP Tertentu

Sebuah perusahaan telah menyebarkan bisnis yang berisi data sensitif di ALB di wilayah Alibaba Cloud. Untuk membatasi akses ke instance ALB, perusahaan dapat mengonfigurasi aturan kelompok keamanan untuk hanya mengizinkan akses dari alamat IP tertentu, seperti 121.XX.XX.12. Permintaan dari alamat IP lainnya ditolak.

Prasyarat

Sebuah virtual private cloud (VPC) bernama VPC1 dibuat di wilayah China (Hangzhou). Sebuah vSwitch bernama VSW1 dibuat di Zona H dan vSwitch lainnya bernama VSW2 dibuat di Zona I. Untuk informasi lebih lanjut, lihat Buat VPC dan vSwitch.
Dua instance Elastic Compute Service (ECS) dibuat di VSW1, dan aplikasi diterapkan pada ECS01 dan ECS02.
- Untuk informasi lebih lanjut tentang cara membuat instance ECS, lihat Buat Instance Menggunakan Wizard.
- Perintah berikut menunjukkan cara menerapkan aplikasi pada ECS01 dan ECS02:
  Perintah untuk Menerapkan Aplikasi pada ECS01
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World !  This is ECS01." > index.html
```
  Perintah untuk Menerapkan Aplikasi pada ECS02
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World !  This is ECS02." > index.html
```
Nama domain telah didaftarkan, dan nomor penyedia konten internet (ICP) telah diperoleh untuk nama domain tersebut. Untuk informasi lebih lanjut, lihat Daftarkan Nama Domain di Alibaba Cloud dan Ikhtisar.

Tabel berikut menjelaskan alamat IP klien dan server. Alamat IP hanya untuk referensi.

Kategori	IP	Deskripsi
ECS01 (server)	Pribadi: 192.168.10.22 Publik: tidak ditetapkan	Server backend dari instance ALB.
ECS02 (server)	Pribadi: 192.168.10.35 Publik: tidak ditetapkan	Server backend dari instance ALB.
Client03	Publik: 121.XX.XX.12	Klien yang mengakses instance ALB.
Client04	Publik: 121.XX.XX.45	Klien yang mengakses instance ALB.

Prosedur

Langkah 1: Buat grup server

Masuk ke konsol ALB.
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat grup server. Dalam contoh ini, China (Hangzhou) dipilih.
Di panel navigasi sisi kiri, pilih ALB > Server Groups.
Di halaman Server Groups, klik Create Server Group.

Di kotak dialog Create Server Group, konfigurasikan parameter dan klik Create.

Tabel berikut menjelaskan parameter yang relevan dengan topik ini. Anda dapat menggunakan nilai default untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Buat dan Kelola Grup Server.

Parameter	Deskripsi
Server Group Type	Tentukan tipe grup server. Dalam contoh ini, Server dipilih.
Server Group Name	Masukkan nama untuk grup server.
VPC	Pilih VPC tempat Anda ingin membuat grup server. Dalam contoh ini, VPC1 dipilih.
Backend Server Protocol	Pilih protokol backend. HTTP dipilih dalam contoh ini.
Scheduling Algorithm	Algoritma penjadwalan. Dalam contoh ini, Weighted Round-robin dipilih.

Di kotak dialog The server group is created, klik Add Backend Server.
Di tab Backend Servers, klik Add Backend Server.
Di panel Add Backend Server, pilih ECS01 dan ECS02 dan klik Next.
Tentukan port dan bobot untuk server backend dan klik OK.

Langkah 2: Buat instance ALB dan tambahkan pendengar

Masuk ke konsol ALB.
Di halaman Instances, klik Create ALB.
Di halaman pembelian, konfigurasikan parameter berikut.
Tabel berikut hanya menjelaskan beberapa parameter. Parameter lainnya menggunakan nilai default. Untuk informasi lebih lanjut, lihat Buat dan Kelola Instance ALB.
- Region: Wilayah tempat Anda ingin membuat instance ALB. Dalam contoh ini, China (Hangzhou) dipilih.
- Network Type: Tipe jaringan instance ALB. Dalam contoh ini, Internet dipilih.
- VPC: VPC tempat Anda ingin membuat instance ALB. Dalam contoh ini, VPC1 dipilih.
Klik Buy Now dan selesaikan pembayaran.
Kembali ke halaman Instances, lalu klik ID instance ALB.
Klik tab Listener lalu klik Quick Create Listener.

Di kotak dialog Quick Create Listener, konfigurasikan parameter dan klik OK. Dalam contoh ini, pendengar HTTP yang mendengarkan pada port 80 dibuat. Tabel berikut menjelaskan parameter.

Parameter	Deskripsi
Listener Protocol	Pilih protokol pendengar. Dalam contoh ini, HTTP dipilih.
Listener Port	Masukkan port pendengar. Dalam contoh ini, `80` ditentukan.
Server Group	Pilih tipe grup server di daftar drop-down sisi kiri dan pilih grup server dari daftar drop-down sisi kanan. Dalam contoh ini, grup server yang dibuat di Langkah 1 dipilih.

Langkah 3: Konfigurasikan rekaman CNAME

Dalam skenario bisnis aktual, kami sarankan Anda menggunakan rekaman CNAME untuk memetakan nama domain kustom ke nama domain instance ALB Anda.

Di panel navigasi sisi kiri, pilih ALB > Instances.
Di halaman Instances, salin nama domain instance ALB.

Lakukan langkah-langkah berikut untuk membuat rekaman CNAME:

Catatan

Jika nama domain Anda tidak didaftarkan menggunakan Alibaba Cloud Domains, Anda harus menambahkan nama domain Anda ke Alibaba Cloud DNS sebelum Anda dapat mengonfigurasi rekaman DNS. Untuk informasi lebih lanjut, lihat Kelola Nama Domain.

Masuk ke konsol Alibaba Cloud DNS.
Di halaman Authoritative DNS Resolution, temukan nama domain Anda dan klik DNS Settings di kolom Actions.
Di tab DNS Settings halaman detail nama domain, klik Add DNS Record.

Di panel Add DNS Record, konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter.

Parameter	Deskripsi
Record Type	Pilih CNAME dari daftar drop-down.
Hostname	Masukkan awalan nama domain. Dalam contoh ini, `@` dimasukkan. Catatan Jika Anda menggunakan nama domain root, masukkan `@`.
DNS Request Source	Pilih Default.
Record Value	Masukkan CNAME, yaitu nama domain instance ALB.
TTL Period	Pilih nilai time-to-live (TTL) untuk rekaman CNAME agar disimpan di server DNS. Dalam contoh ini, nilai default digunakan.

Langkah 4: Buat kelompok keamanan

Buat kelompok keamanan di konsol ECS. Dalam contoh ini, dua kelompok keamanan dibuat.

Gunakan Kelompok Keamanan 1 sebagai Blacklist
Tambahkan aturan Tolak yang menolak akses dari alamat IP tertentu. Dalam contoh ini, kelompok keamanan yang menolak akses dari alamat IP publik 121.XX.XX.12 dibuat. Anda dapat mempertahankan aturan kelompok keamanan default.
Aksi
Prioritas
Tipe Protokol
Rentang Port
Objek Otorisasi
Tolak
1
Semua
Tujuan: -1/-1
Sumber: 121.XX.XX.12
Gunakan Kelompok Keamanan 2 sebagai Whitelist
Tambahkan aturan Izinkan yang mengizinkan akses dari alamat IP tertentu dan aturan Tolak yang menolak akses dari alamat IP tertentu. Dalam contoh ini, aturan Izinkan yang mengizinkan akses dari alamat IP publik 121.XX.XX.12 dan aturan Tolak dibuat.
Aksi
Prioritas
Tipe Protokol
Rentang Port
Objek Otorisasi
Izinkan
1
Semua
Tujuan: -1/-1
Sumber: 121.XX.XX.12
Tolak
100
Semua
Tujuan: -1/-1
Sumber: 0.0.0.0/0

Masuk ke konsol ECS.
Di panel navigasi sisi kiri, pilih Network & Security > Security Groups.
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat kelompok keamanan. Dalam contoh ini, China (Hangzhou) dipilih.
Di halaman Security Groups, klik Create Security Group.
Di halaman Create Security Group, atur parameter di bagian Basic Information.
Tentukan parameter berikut. Untuk informasi lebih lanjut tentang parameter lainnya, lihat Buat Kelompok Keamanan.
- Network: Pada contoh ini, VPC dipilih.
- Security Group Type: Dalam contoh ini, Basic Security Group dipilih.
Di halaman Create Security Group, atur parameter di bagian Access Rule.
1. Di tab Inbound, klik Add Rule untuk menambahkan aturan berdasarkan konfigurasi aturan di Kelompok Keamanan 1 dan Kelompok Keamanan 2.
2. Klik Create Security Group.

Langkah 5: Uji kontrol akses sebelum instance ALB ditambahkan ke kelompok keamanan

Gunakan Client03 dan Client04 untuk menguji ketersediaan ECS01 dan ECS02.

Masuk ke Client03 dan jalankan perintah curl http://Nama domain kustom. Paket Hello World! Ini adalah ECS01. dikembalikan, seperti yang ditunjukkan pada gambar berikut. Paket ini menunjukkan bahwa Client03 dapat mengakses instance ALB.
Masuk ke Client04 dan jalankan perintah curl http://Nama domain kustom. Paket Hello World! Ini adalah ECS02. dikembalikan, seperti yang ditunjukkan pada gambar berikut, yang menunjukkan bahwa Client04 dapat mengakses instance ALB.

Langkah 6: Tambahkan instance ALB ke kelompok keamanan dan verifikasi hasilnya

Gunakan Kelompok Keamanan 1 sebagai blacklist

Tambahkan instance ALB ke Kelompok Keamanan 1 yang dibuat di Langkah 4: Buat Kelompok Keamanan untuk menguji apakah aturan di Kelompok Keamanan 1 berlaku pada instance ALB.

Masuk ke konsol ALB.
Di bilah navigasi atas, pilih wilayah instance ALB. Dalam contoh ini, China (Hangzhou) dipilih.
Di halaman ALB Instance, klik ID instance ALB yang ingin Anda kelola. Di halaman detail instance, klik tab Security Groups.
Di tab Security Groups, klik Create Security Group. Di kotak dialog Add ALB to Security Group, pilih Kelompok Keamanan 1 yang dibuat di Langkah 4: Buat Kelompok Keamanan dan klik OK.
Di panel sisi kiri, klik ID kelompok keamanan yang ingin Anda kelola. Anda dapat mengklik tab Inbound Policies atau Outbound Policies untuk melihat aturan kelompok keamanan.
Tabel berikut hanya menjelaskan aturan kelompok keamanan masuk yang relevan dengan topik ini.
Aksi
Prioritas
Tipe Protokol
Rentang Port
Objek Otorisasi
Tolak
1
Semua
Tujuan: -1/-1
Sumber: 121.XX.XX.12
Tambahkan instance ALB ke kelompok keamanan dan uji hasilnya.
1. Masuk ke Client03 dan jalankan perintah curl http://Nama domain kustom. Tanggapan diterima, seperti yang ditunjukkan pada gambar berikut, yang menunjukkan bahwa akses dari Client03 ditolak oleh instance ALB.
2. Masuk ke Client04 dan jalankan perintah curl http://Nama domain kustom. Paket Hello World! Ini adalah ECS01. dikembalikan, seperti yang ditunjukkan pada gambar berikut. Paket ini menunjukkan bahwa Client04 dapat mengakses instance ALB.

Hasil menunjukkan bahwa setelah instance ALB ditambahkan ke Kelompok Keamanan 1 yang berfungsi sebagai blacklist, aturan Tolak dari Kelompok Keamanan 1 menolak akses dari alamat IP tertentu ke instance ALB. Alamat IP yang tidak ditentukan dalam aturan Tolak dapat mengakses instance ALB.

Gunakan Kelompok Keamanan 2 sebagai whitelist

Tambahkan instance ALB ke Kelompok Keamanan 2 yang dibuat di Langkah 4: Buat Kelompok Keamanan dan uji apakah aturan Kelompok Keamanan 2 berlaku pada instance ALB.

Masuk ke konsol ALB.
Di bilah navigasi atas, pilih wilayah instance ALB. Dalam contoh ini, China (Hangzhou) dipilih.
Di halaman ALB Instance, klik ID instance ALB yang ingin Anda kelola. Di tab Instance Details, klik tab Security Groups.
Di tab Security Groups, klik Create Security Groups. Di kotak dialog Add ALB to Security Group, pilih Kelompok Keamanan 2 yang dibuat di Langkah 4: Buat Kelompok Keamanan dan klik OK.
Di panel sisi kiri, klik ID kelompok keamanan yang ingin Anda kelola. Anda dapat mengklik tab Inbound Policies atau Outbound Policies untuk melihat aturan kelompok keamanan.
Tabel berikut hanya menjelaskan parameter yang relevan dengan topik ini.
Aksi
Prioritas
Tipe Protokol
Rentang Port
Objek Otorisasi
Ya
1
Semua
Tujuan: -1/-1
Sumber: 121.XX.XX.12
Tolak
100
Semua
Tujuan: -1/-1
Sumber: Semua Alamat IPv4 (0.0.0.0/0)
Tambahkan instance ALB ke kelompok keamanan dan uji hasilnya.
1. Masuk ke Client03 dan jalankan perintah curl http://Nama domain kustom. Paket Hello World! Ini adalah ECS01. dikembalikan, seperti yang ditunjukkan pada gambar berikut. Paket ini menunjukkan bahwa Client03 dapat mengakses instance ALB.
2. Masuk ke Client04 dan jalankan perintah curl http://Nama domain kustom. Tanggapan diterima, seperti yang ditunjukkan pada gambar berikut. Paket ini menunjukkan bahwa akses dari Client04 ditolak oleh instance ALB.

Hasil pengujian menunjukkan bahwa setelah instance ALB ditambahkan ke Kelompok Keamanan 2 yang berfungsi sebagai whitelist, hanya alamat IP dalam aturan Izinkan yang dapat mengakses instance ALB.

Referensi

Dokumentasi Konsol

Untuk informasi lebih lanjut tentang cara menambahkan instance ALB ke dan menghapus instance ALB dari kelompok keamanan, lihat Tambahkan Instance ALB ke Kelompok Keamanan.
Untuk informasi lebih lanjut tentang cara menerapkan kontrol akses untuk ALB berdasarkan pendengar dan port, lihat Gunakan Kelompok Keamanan untuk Mengontrol Akses Berdasarkan Port.
Untuk perbedaan antara kelompok keamanan dasar dan lanjutan, lihat Kelompok Keamanan Dasar dan Kelompok Keamanan Lanjutan.

API

LoadBalancerJoinSecurityGroup: Menambahkan instance ALB ke kelompok keamanan.
LoadBalancerLeaveSecurityGroup: Menghapus instance ALB dari kelompok keamanan.

Aksi	Prioritas	Tipe Protokol	Rentang Port	Objek Otorisasi
Tolak	1	Semua	Tujuan: -1/-1	Sumber: 121.XX.XX.12