安全性群組除了可以面向Internet提供狀態防火牆的網路存取控制能力,也適用於治理內網通訊,對內網通訊進行存取控制。實現子網隔離和四層網路存取控制。
安全風險
同一個VPC內所有ECS執行個體間網路全互連存在橫向移動、非授權訪問等安全風險。如內網中一台ECS執行個體被滲透後或感染病毒後可以通過內網繼續向其他機器滲透或傳染病毒;又如內部網路的服務往往在介面認證和授權上實現不嚴格,很容易從內網非法訪問或越權訪問。
通過安全性群組隔離不同的業務叢集或者阻斷執行個體間的橫向網路訪問可以有效緩解內網橫向移動和非授權訪問風險。
最佳實務
通過安全性群組隔離不同業務叢集
有兩個ECS執行個體叢集(資料庫叢集和Web Server叢集),資料庫叢集需要內部互相通訊,Web Server叢集間不需要互相通訊,僅允許Web Server叢集訪問資料庫叢集的服務連接埠。
假設資料庫叢集規劃的IP地址組是10.1.0.0/24,Web Server規劃的IP地址組是10.2.0.0/24,服務連接埠是5432(PostgreSQL的服務連接埠)。安全目標是Web Server僅能訪問資料庫叢集的服務連接埠,其訪問其他連接埠或資料庫叢集訪問Web Server都是禁止的。一種可行的安全性群組配置是:
建立安全性群組A,配置(入方向,允許,優先順序1,來源:10.2.0.0/24,目的:5432)規則。將資料庫叢集執行個體綁定到安全性群組A。
建立安全性群組B,將Web Server叢集執行個體綁定到安全性群組B。
注意:安全性群組在入方向會拒絕所有未顯式允許存取的流量,出方向預設允許存取所有未顯式拒絕的流量。所以安全性群組A不需要配置預設拒絕所有訪問的規則,安全性群組B不需要配置允許存取訪問Web Server叢集的服務連接埠規則。
您可以結合標籤功能,將打了某個標籤的ECS執行個體批量地綁定到相同標籤的安全性群組中。如上面的例子中,你可以給ECS執行個體都打上標籤cluster:PostgreSQL,然後給安全性群組A也打上標籤cluster:PostgreSQL,然後建立執行ACS-ECS-CorrectSecurityGroupInstancesByTags OOS模板,輸入標籤值參數,即可完成大量繫結操作。具體可參見使用標籤擷取ECS執行個體並將其加入到對應標籤的安全性群組。
單個安全性群組內ECS執行個體間互相隔離
在上例中我們發現其實Web Server叢集內部不需要互相通訊,資料庫叢集也僅需要少量同步、管控服務連接埠通訊,沒有必要放通組內全部通訊,避免以一台ECS執行個體為跳板導致的風險橫向擴散。
這時可以使用微隔離,即安全性群組內不互連,需要通訊的連接埠顯式放通。
您可以使用企業級安全性群組——企業級安全性群組組內強制隔離,且隔離規則無法修改。
您也可以使用普通安全性群組,普通安全性群組組內執行個體是預設互連的(系統自動添加了優先順序最高的隱藏放通規則,自訂規則僅作用於非組內流量),您需要顯式地禁止組內互連。您需要在安全性群組詳情頁面中修改組內連通策略,修改為組內隔離(如下圖)。
然後您需要顯式地放通內部通訊連接埠,如資料集群位址區段10.1.0.0/24,內部通訊需要使用2379連接埠,您可以配置安全性群組A增加規則(入方向,允許,優先順序1,來源10.1.0.0/24,目的:2379)。
注意:當一個ECS叢集綁定了多個安全性群組,其中有安全性群組是組內隔離,有安全性群組是組內放通,那麼疊加後的效果是組內放通。
疊加使用多個安全性群組時需要注意合并效果
一個執行個體可以綁定到多個安全性群組上,多個安全性群組的規則最終會合并,按照優先順序生效,使用多個安全性群組需要注意疊加後的最終規則,避免出現意外效果,可在具體執行個體的安全性群組頁面中查看合并後的規則。
合規能力
檢查:是否存在過寬的網路放通行為
您可以結合VPC流日誌分析叢集內通訊關係,以及是否有過於寬泛的安全性群組規則放通,指導收斂安全性群組授權。