應(yīng)用上云除了對(duì)資源生命周期管理和應(yīng)用交付是一個(gè)轉(zhuǎn)變,更重要是思維方式的轉(zhuǎn)變�����。本篇文章就簡(jiǎn)單介紹下上云的一個(gè)重要概念安全組(Security Group)。本文是安全組系列的第一篇�,主要介紹安全組的基本概念、約束和如何配置入網(wǎng)規(guī)則��。
安全組的基本概念和約束
安全組在云端提供類似虛擬防火墻功能����,用于設(shè)置單個(gè)或多個(gè) ECS 實(shí)例的網(wǎng)絡(luò)訪問(wèn)控制,它是重要的安全隔離手段�����。在創(chuàng)建 ECS 實(shí)例時(shí)���,必須選擇一個(gè)安全組�。您還可以添加安全組規(guī)則��,對(duì)該安全組下的所有 ECS 實(shí)例的出方向和入方向進(jìn)行網(wǎng)絡(luò)控制����。
安全組有下面的限制:
-
每個(gè)賬戶最多可以建立50個(gè)安全組,每個(gè)安全組最多100個(gè)安全組規(guī)則
-
一個(gè)實(shí)例最多可以加入5個(gè)同種網(wǎng)絡(luò)類型的安全組
-
同一個(gè)安全組之內(nèi)的資源默認(rèn)是網(wǎng)絡(luò)通的�,不同安全組之間的資源默認(rèn)是網(wǎng)絡(luò)不通
-
安全組應(yīng)該是白名單的性質(zhì)的,所以需要盡量開(kāi)通最小的權(quán)限����,默認(rèn)拒絕所有的訪問(wèn)
-
單個(gè)安全組最大支持1000個(gè)實(shí)例
當(dāng)您創(chuàng)建一個(gè)安全組的時(shí)候����,默認(rèn)規(guī)則均為出方向 accept all�����,入方向 deny all���。安全組的出入規(guī)則,很多客戶在使用的時(shí)候并沒(méi)有按照自己的應(yīng)用規(guī)范劃分���。使得自己的應(yīng)用加大了收到攻擊的風(fēng)險(xiǎn)��。
安全組的出入規(guī)則可以參見(jiàn)下面的文檔:
除了可以限制IP和CIDR網(wǎng)段之外�,安全組的出入規(guī)則可以直接引用另外一個(gè)安全組�,這樣就避免了有些時(shí)候CIDR或者IP的不靈活,直接對(duì)另外一個(gè)安全組中的資源授權(quán)���。通過(guò)這樣間接的可以通過(guò)安全組對(duì)應(yīng)用進(jìn)行分層�。
-
安全組的入網(wǎng)規(guī)則�����,可以設(shè)置為另外一個(gè)相同網(wǎng)絡(luò)類型(“專有網(wǎng)絡(luò)”或”經(jīng)典網(wǎng)絡(luò)”)的安全組。屬性為SourceGroupId
-
安全組的出網(wǎng)規(guī)則��,可以設(shè)置為另外一個(gè)相同網(wǎng)絡(luò)類型(“專有網(wǎng)絡(luò)”或”經(jīng)典網(wǎng)絡(luò)”)的安全組�����。屬性為DestGroupId
-
出入規(guī)則是可以設(shè)置Priority來(lái)設(shè)置權(quán)重�,1為最高,100為最低
-
安全組也支持跨帳號(hào)授權(quán)���,這個(gè)屬于高級(jí)功能���,我們?cè)谝院蟮奈恼陆榻B
在上云的時(shí)候,很多的客戶沒(méi)有重視安全組的出入規(guī)則的設(shè)置和長(zhǎng)遠(yuǎn)的規(guī)劃����,影響了自己的業(yè)務(wù)擴(kuò)展性。合理的規(guī)劃安全組是能幫助應(yīng)用降低被攻擊的風(fēng)險(xiǎn)����,同時(shí)可以幫助應(yīng)用之間的結(jié)構(gòu)和層次更清晰。下面是安全組最佳實(shí)踐的第一篇�����。
最佳實(shí)踐
在開(kāi)始安全組的實(shí)踐之前,下面有一些基本的建議�����。
-
首先安全組應(yīng)該作為白名單使用, 這是最重要的規(guī)則�����。
-
使用最小的原則開(kāi)放自己的應(yīng)用出入規(guī)則,例如可以選擇開(kāi)放具體的端口例如80���。
-
使用一個(gè)安全組來(lái)管理所有的應(yīng)用將會(huì)非常難以配置�,因?yàn)椴煌姆謱右欢ㄓ胁煌男枨蟆?/p>
-
對(duì)于今天的常見(jiàn)的分布式應(yīng)用來(lái)說(shuō)���,不同的應(yīng)用類型應(yīng)該使用不同的安全組�����,例如我們對(duì)Web����、Service、Database�����、Cache層使用不同的安全組暴漏不同的出入規(guī)則和權(quán)限����。
-
也沒(méi)有必要為每個(gè)實(shí)例設(shè)置一個(gè)安全組,這樣管理起來(lái)的成本也非常高��。
-
優(yōu)先考慮VPC網(wǎng)絡(luò)
-
不需要公網(wǎng)訪問(wèn)的資源不要提供公網(wǎng)IP
-
因?yàn)橐粋€(gè)實(shí)例可以分配多個(gè)安全組���,所以一個(gè)實(shí)例可能同時(shí)應(yīng)用數(shù)百條規(guī)則�。我們聚合所有分配的安全規(guī)則以判斷是否允許流入或留出�����,但龐大的安全組規(guī)則可能會(huì)增加您管理上的復(fù)雜程度�����。因此��,我們建議您盡可能保持單個(gè)安全組的規(guī)則簡(jiǎn)潔����。
調(diào)整線上的安全組的出入規(guī)則是比較危險(xiǎn)的動(dòng)作���,如果您不確定的情況下不要隨意的更新安全組的出入規(guī)則的設(shè)置。 阿里云的控制臺(tái)提供了克隆安全組和安全組規(guī)則的功能����,您在修改安全組和規(guī)則的時(shí)候建議Clone一個(gè)相同的安全組,然后進(jìn)行調(diào)試��,避免直接影響線上應(yīng)用����。
本文先介紹一些安全組的入網(wǎng)規(guī)則的實(shí)踐建議。
1. 不要使用0.0.0.0/0的入網(wǎng)規(guī)則
允許全部入網(wǎng)訪問(wèn)是經(jīng)常犯的錯(cuò)誤�。使用0.0.0.0/0意味著所有的端口都對(duì)外暴漏了訪問(wèn)權(quán)限�。這個(gè)是非常的不安全的。因此正確的做法是首先拒絕所有的端口對(duì)外開(kāi)放���。安全組應(yīng)該是白名單訪問(wèn)��。如果您需要暴漏服務(wù)��,如果是Web服務(wù)�,默認(rèn)情況下可以只開(kāi)放 80、8080�����、443之類的常用TCP端口�����。其它的端口都關(guān)閉���。
{ "IpProtocol" : "tcp", "FromPort" : "80", "ToPort" : "80", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
2. 關(guān)閉不需要的入網(wǎng)規(guī)則
如果您當(dāng)前使用的入規(guī)則已經(jīng)包含了0.0.0.0/0���。首先您要重新審視下自己的應(yīng)用需要對(duì)外暴漏的端口和服務(wù)。在確定某些端口是不想直接對(duì)外提供服務(wù)的可以加一條拒絕的規(guī)則�����。如果您的服務(wù)器上也自己安裝了Mysql數(shù)據(jù)庫(kù)服務(wù)�,默認(rèn)情況下您是不應(yīng)該暴漏3306到公網(wǎng)的。您可以添加一條拒絕規(guī)則如下所示���,下面的規(guī)則添加了一條拒絕規(guī)則�。先將其設(shè)置的優(yōu)先級(jí)為100,優(yōu)先級(jí)最低�。
{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceCidrIp" : "0.0.0.0/0", "Policy": "drop", Priority: 100} ,
上面的調(diào)整直接將導(dǎo)致所有的端口都不能訪問(wèn)3306。這樣非常有可能阻止您的正常的業(yè)務(wù)需求��。您可以通過(guò)授權(quán)另外一個(gè)安全組的資源進(jìn)行如規(guī)則訪問(wèn)�����。
3. 授權(quán)另外一個(gè)安全組入網(wǎng)訪問(wèn)
不同的安全組按照最小原則開(kāi)放相應(yīng)的出入規(guī)則�。對(duì)于不同的應(yīng)用分層應(yīng)該使用不同的安全組,不同的安全組相應(yīng)的出入規(guī)則��。
例如對(duì)于常見(jiàn)的分布式應(yīng)用�����,我們都會(huì)區(qū)分不同的安全組���,由于不同的安全組可能網(wǎng)絡(luò)是不能通訊的����,這個(gè)時(shí)候直接授權(quán)IP或者CIDR網(wǎng)段就是非常痛苦的,我們可以直接授權(quán)另外一個(gè)安全組id的所有的資源都可以直接訪問(wèn)��。例如我們的應(yīng)用對(duì)Web、Database創(chuàng)建了不同的安全組, sg-web, sg-databse���。在sg-database中我們可以加一條下面的規(guī)則�,授權(quán)所有的sg-web安全組的資源可以訪問(wèn)我們的3306端口�����。
{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceGroupId" : "sg-web", "Policy": "accept", Priority: 2} ,
4. 授權(quán)另外一個(gè)CIDR可以入網(wǎng)訪問(wèn)
經(jīng)典網(wǎng)絡(luò)中由于網(wǎng)段不太可控��,我們建議您使用安全組ID來(lái)授信入網(wǎng)規(guī)則��,但是VPC中我們的IP地址是可以自己規(guī)劃的�,您可以通過(guò)不同的VSwitch來(lái)設(shè)置不同的IP域。
在VPC環(huán)境中�,我們可以默認(rèn)的拒絕所有的訪問(wèn)�。然后授信自己的專有網(wǎng)絡(luò)的網(wǎng)段可以訪問(wèn)。通過(guò)直接授信可以相信的CIDR網(wǎng)段���。
{ "IpProtocol" : "icmp", "FromPort" : "-1", "ToPort" : "-1", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,
本篇主要是入網(wǎng)規(guī)則的一些實(shí)踐�。下面我們將介紹出網(wǎng)規(guī)則的實(shí)踐��。
