开发者社区> 天赐凯尔> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

阿里云安全组的正确使用及层级设计

简介: 本文介绍如何正确使用阿里云安全组策略及层级设计使用。
+关注继续查看

前言

安全组是阿里云服务安全领域一个重要的概念。安全组是一种虚拟防火墙,具备状态检测和数据包过滤功能,用于在云端划分安全域。可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。

目前很多使用安全组的工程师都知道,在创建了安全组以后,需要配置入方向和出方向的规则,用于控制是允许或拒绝某些特定IP段对安全组内资源的访问。但很多工程师不知道这个安全组的的概念,以及对安全组访问的授权类型的理解。很多工程师只创建一个安全组或只使用默认的安全组,这样给安全组规则的管理带来一定的复杂性,同时也带来一定的安全风险。

下图是大家经常使用的场景,多个不同类型的实例使用相同的安全组,针对不同实例的访问分别设置访问规则。
_1

下面会给大家介绍一下安全组的的概念,以及如何按层级设计使用安全组。

安全组的特性

安全组有以下几个特性:

  1. 同一安全组内的实例之间默认内网网络互通,不同安全组的实例之间默认内网不通。
  2. 可以通过安全组规则授权两个安全组之间互访。

实验1:同一安全组内的实例访问需要添加安全组访问规则吗?

_2
Step 1: 创建安全组,命名为sg-test, 不创建任何规则;
Step 2:启动2台ECS A和B,同时都加入到安全组sg-test;
Step 3:登录到ECS A上,ping B的内网地址,可以ping 通;
Step 4:给ECS B加一个弹性IP;
Step 5:在ECS A上ping B的外网地址,不通!
Step 6: 给安全组sg-test加一条访问规则,允许ECS A的访问;
Step 7: 再次在ECS A上ping B,可以ping 通。

从上面测试步骤和结果,我们验证了同一个安全组内的实例之间是可以相互访问的,并且不需要设置任何访问规则。如果是通过外网访问,需要设置访问规则。

实验2:通过安全组规则授权实现一个安全组内的实例访问另外一个安全组

_3
Step 1:创建安全组sg-1,sg-2,不加任何访问规则;
Step 2:将ECS A加入到安全组sg-1,将ECS B加入到sg-2;
Step 3:登录到ECS A,ping B。现在结果是不通的!
Step 4:在sg-2中添加安全组规则,协议类型选择全部ICMP(IPv4),授权类型选择安全组访问,授权对象选择sg-1,这时sg-1里面没有添加任何安全组规则;
Step 5:这时在ECS A上再次ping B,可以ping 通!
_7

此实验描述了如何进行安全组之间的授权,即允许一个安全组内的实例访问另一个安全组内的实例。

安全组的层级设计

因为有了安全组的授权访问,可以实现让一个安全组的实例访问另外一个安全组内的实例。所以我们可以实现下面的安全组层级设计:

AWS

这里有3个安全组:
sg-web是面向用户的,放置Application Load Balancer(ALB)可以将类似于HTTP 80,HTTPS 443端口开放给所有人;
sg-app安全组内放置EC2,允许sg-web安全组访问应用(端口8080),同时开放SSH 22端口给指定的IP,便于管理员登录进行管理和维护;
sg-rds安全组开放数据库访问端口给应用,即授权给sg-app,这样保证只有安全组sg-app内的服务才能访问数据库。
_4

阿里云

_5

阿里云安全组跟AWS安全组的不同

  1. 授权策略:阿里云安全组授权策略有允许和拒绝,AWS安全组缺省是允许,没有拒绝的设置。
  2. 统一性:AWS很多服务都是使用了安全组,比如Load Balancer、EC2、RDS,它们可以方便地基于层级来使用安全组。阿里云在统一性方面做的稍微欠缺一些,SLB负载均衡通过使用访问控制策略组来进行访问控制,数据库使用白名单和安全组来进行控制。(如理解有误,请告知。)

参考资料

  1. 云服务器 ECS > 安全 > 安全组 > 安全组概述
  2. AWS 文档 » Amazon EC2 » 用户指南(适用于 Linux 实例) » 网络与安全性 » Linux 实例的 Amazon EC2 安全组

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云与信通院邀您参与云原生安全用户调研
为进一步了解我国云原生安全产业发展全貌,阿里云将联合中国信息通信研究院、云原生安全实验室共同启动 2022 年《中国云原生安全调查》问卷征集活动,以分析企业云原生安全发展现状、行业应用采纳度、技术成熟度。本次活动将持续至 2022 年 11 月 30 日,活动期间,所有参与调研的用户均可在提交问卷后获得一次抽奖机会,期待您的反馈!
36 0
阿里云备案
阿里云APP端申请备案是现在比较流行的备案方法,方便快捷,适合新手使用。
94 0
认证故事|我与阿里云的缘分~
在2020年大学毕业后,我有幸与阿里云结缘,工作一年半的时间里,我考取了阿里云云计算acp认证,对阿里云、云计算等名词的理解与学习也在不断加深、加强。希望能与广大云计算大佬交流互动,一起学习。
78 0
阿里云使用体会
阿里云帮助我完成模拟了本机与远程服务器之间的交互操作, 本人使用的是Centos7系统, 通过宝塔面板配置了redis, mysql, docker等软件环境, 对计算机方面的学习提供了巨大的帮助
236 0
阿里云安全实践
河南某政务平台试用阿里云安全服务
291 0
域名在阿里云注册的由阿里云提供网站备案吗?
当你在阿里云注册域名后,建站还是由阿里云提供网站备案服务吗?
887 0
阿里云点播视频安全宝典系列(一)- 概述
阿里云视频点播系统视频安全系列
3827 0
阿里云点播视频安全宝典系列(二)- 访问限制
阿里云视频点播系统视频安全系列
564 0
阿里云点播视频安全宝典系列(一)- 概述
阿里云视频点播系统视频安全系列
390 0
简说阿里云网站备案
1、买域名、买空间那些就不说了,如果还没买可以点进来看点击打开链接 2、登录阿里云控制台,选择备案系统,然后点击进入备案系统,如图 3、然后是新增备案,然后是验证身份、域名、和空间,接着就是填写相关信息,填写的时候要注意以下雷区: 1)网站名称:注意不要出现人名和测试,开发等字眼,对了,还有“家”的字眼也不能出现,一般就是用个人信息展示,小熊,小微什么的都可以。
1750 0
+关注
天赐凯尔
云计算解决方案架构师。现任职于西门子高级基础架构工程师。
文章
问答
文章排行榜
最热
最新
相关电子书
更多
重新出发:阿里云数据库开源整体策略
立即下载
优化4K制作流程,创建“4K视觉云”服务
立即下载
《用管控策略设定多账号组织全局访问边界》
立即下载