本文主要介紹如何配置安全性群組的入網規則。

在雲端安全性群組提供類似虛擬防火牆功能,用於設定單個或多個 ECS 執行個體的網路存取控制,是重要的安全隔離手段。建立 ECS 執行個體時,您必須選擇一個安全性群組。您還可以添加安全性群組規則,對某個安全性群組下的所有 ECS 執行個體的出方向和入方向進行網路控制。

在配置安全性群組的入網規則之前,您應已經瞭解以下安全性群組相關的資訊:

安全性群組實踐的基本建議

在開始安全性群組的實踐之前,下面有一些基本的建議:

  • 最重要的規則:安全性群組應作為白名單使用。
  • 開放應用出入規則時應遵循“最小授權”原則,例如,您可以選擇開放具體的連接埠(如 80 連接埠)。
  • 不應使用一個安全性群組管理所有應用,因為不同的分層一定有不同的需求。
  • 對於分布式應用來說,不同的應用類型應該使用不同的安全性群組,例如,您應對 Web、Service、Database、Cache 層使用不同的安全性群組,暴露不同的出入規則和許可權。
  • 沒有必要為每個執行個體單獨設定一個安全性群組,控制管理成本。
  • 優先考慮 VPC 網路。
  • 不需要公網訪問的資源不應提供公網 IP。
  • 儘可能保持單個安全性群組的規則簡潔。因為一個執行個體最多可以加入 5 個安全性群組,一個安全性群組最多可以包括 100 個安全性群組規則,所以一個執行個體可能同時應用數百條安全性群組規則。您可以彙總所有分配的安全規則以判斷是否允許流入或留出,但是,如果單個安全性群組規則很複雜,就會增加管理的複雜度。所以,應儘可能地保持單個安全性群組的規則簡潔。
  • 阿里雲的控制台提供了複製安全性群組和安全性群組規則的功能。如果您想要修改線上的安全性群組和規則,您應先複製一個安全性群組,再在複製的安全性群組上進行調試,從而避免直接影響線上應用。
    说明 調整線上的安全性群組的出入規則是比較危險的動作。如果您無法確定,不應隨意更新安全性群組出入規則的設定。

設定安全性群組的入網規則

以下是安全性群組的入網規則的實踐建議。

不要使用 0.0.0.0/0 的入網規則

允許全部入網訪問是經常犯的錯誤。使用 0.0.0.0/0 意味著所有的連接埠都對外暴露了存取權限。這是非常不安全的。正確的做法是,先拒絕所有的連接埠對外開放。安全性群組應該是白名單訪問。例如,如果您需要暴露 Web 服務,預設情況下可以只開放 80、8080 和 443 之類的常用TCP連接埠,其它的連接埠都應關閉。

{ "IpProtocol" : "tcp", "FromPort" : "80", "ToPort" : "80", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
{ "IpProtocol" : "tcp", "FromPort" : "8080", "ToPort" : "8080", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
{ "IpProtocol" : "tcp", "FromPort" : "443", "ToPort" : "443", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,

關閉不需要的入網規則

如果您當前使用的入規則已經包含了 0.0.0.0/0,您需要重新審視自己的應用需要對外暴露的連接埠和服務。如果確定不想讓某些連接埠直接對外提供服務,您可以加一條拒絕的規則。比如,如果您的伺服器上安裝了 MySQL 資料庫服務,預設情況下您不應該將 3306 連接埠暴露到公網,此時,您可以添加一條拒絕規則,如下所示,並將其優先順序設為100,即優先順序最低。

{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceCidrIp" : "0.0.0.0/0", "Policy": "drop", Priority: 100} ,

上面的調整會導致所有的連接埠都不能訪問 3306 連接埠,極有可能會阻止您正常的業務需求。此時,您可以通過授權另外一個安全性群組的資源進行入規則訪問。

授權另外一個安全性群組入網訪問

不同的安全性群組按照最小原則開放相應的出入規則。對於不同的應用分層應該使用不同的安全性群組,不同的安全性群組應有相應的出入規則。

例如,如果是分布式應用,您會區分不同的安全性群組,但是,不同的安全性群組可能網路不通,此時您不應該直接授權 IP 或者 CIDR 網段,而是直接授權另外一個安全性群組 ID 的所有的資源都可以直接存取。比如,您的應用對 Web、Database 分別建立了不同的安全性群組:sg-web 和 sg-database。在sg-database 中,您可以添加如下規則,授權所有的 sg-web 安全性群組的資源訪問您的 3306 連接埠。

{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceGroupId" : "sg-web", "Policy": "accept", Priority: 2} ,

授權另外一個 CIDR 可以入網訪問

傳統網路中,因為網段不太可控,建議您使用安全性群組 ID 來授信入網規則。

VPC 網路中,您可以自己通過不同的 VSwitch 設定不同的 IP 域,規劃 IP 位址。所以,在 VPC 網路中,您可以預設拒絕所有的訪問,再授信自己的專用網路的網段訪問,直接授信可以相信的 CIDR 網段。

{ "IpProtocol" : "icmp", "FromPort" : "-1", "ToPort" : "-1", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,
{ "IpProtocol" : "tcp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,
{ "IpProtocol" : "udp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,

變更安全性群組規則步驟和說明

變更安全性群組規則可能會影響您的執行個體間的網路通訊。為了保證必要的網路通訊不受影響,您應先嘗試以下方法允許存取必要的執行個體,再執行安全性群組策略收緊變更。

说明 執行收緊變更後,應觀察一段時間,確認業務應用無異常後再執行其它必要的變更。
  • 建立一個安全性群組,將需要互連訪問的執行個體加入這個安全性群組,再執行變更操作。
  • 如果授與類型為 安全性群組訪問,則將需要互連訪問的對端執行個體所綁定的安全性群組 ID 添加為授權對象;
  • 如果授與類型為 位址區段訪問,則將需要互連訪問的對端執行個體內網 IP 添加為授權對象。

具體操作指引請參見 傳統網路內網執行個體互連設定方法。