开发者社区> 天赐凯尔> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

阿里云安全组的正确使用及层级设计

简介: 本文介绍如何正确使用阿里云安全组策略及层级设计使用。
+关注继续查看

前言

安全组是阿里云服务安全领域一个重要的概念。安全组是一种虚拟防火墙,具备状态检测和数据包过滤功能,用于在云端划分安全域。可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。

目前很多使用安全组的工程师都知道,在创建了安全组以后,需要配置入方向和出方向的规则,用于控制是允许或拒绝某些特定IP段对安全组内资源的访问。但很多工程师不知道这个安全组的的概念,以及对安全组访问的授权类型的理解。很多工程师只创建一个安全组或只使用默认的安全组,这样给安全组规则的管理带来一定的复杂性,同时也带来一定的安全风险。

下图是大家经常使用的场景,多个不同类型的实例使用相同的安全组,针对不同实例的访问分别设置访问规则。
_1

下面会给大家介绍一下安全组的的概念,以及如何按层级设计使用安全组。

安全组的特性

安全组有以下几个特性:

  1. 同一安全组内的实例之间默认内网网络互通,不同安全组的实例之间默认内网不通。
  2. 可以通过安全组规则授权两个安全组之间互访。

实验1:同一安全组内的实例访问需要添加安全组访问规则吗?

_2
Step 1: 创建安全组,命名为sg-test, 不创建任何规则;
Step 2:启动2台ECS A和B,同时都加入到安全组sg-test;
Step 3:登录到ECS A上,ping B的内网地址,可以ping 通;
Step 4:给ECS B加一个弹性IP;
Step 5:在ECS A上ping B的外网地址,不通!
Step 6: 给安全组sg-test加一条访问规则,允许ECS A的访问;
Step 7: 再次在ECS A上ping B,可以ping 通。

从上面测试步骤和结果,我们验证了同一个安全组内的实例之间是可以相互访问的,并且不需要设置任何访问规则。如果是通过外网访问,需要设置访问规则。

实验2:通过安全组规则授权实现一个安全组内的实例访问另外一个安全组

_3
Step 1:创建安全组sg-1,sg-2,不加任何访问规则;
Step 2:将ECS A加入到安全组sg-1,将ECS B加入到sg-2;
Step 3:登录到ECS A,ping B。现在结果是不通的!
Step 4:在sg-2中添加安全组规则,协议类型选择全部ICMP(IPv4),授权类型选择安全组访问,授权对象选择sg-1,这时sg-1里面没有添加任何安全组规则;
Step 5:这时在ECS A上再次ping B,可以ping 通!
_7

此实验描述了如何进行安全组之间的授权,即允许一个安全组内的实例访问另一个安全组内的实例。

安全组的层级设计

因为有了安全组的授权访问,可以实现让一个安全组的实例访问另外一个安全组内的实例。所以我们可以实现下面的安全组层级设计:

AWS

这里有3个安全组:
sg-web是面向用户的,放置Application Load Balancer(ALB)可以将类似于HTTP 80,HTTPS 443端口开放给所有人;
sg-app安全组内放置EC2,允许sg-web安全组访问应用(端口8080),同时开放SSH 22端口给指定的IP,便于管理员登录进行管理和维护;
sg-rds安全组开放数据库访问端口给应用,即授权给sg-app,这样保证只有安全组sg-app内的服务才能访问数据库。
_4

阿里云

_5

阿里云安全组跟AWS安全组的不同

  1. 授权策略:阿里云安全组授权策略有允许和拒绝,AWS安全组缺省是允许,没有拒绝的设置。
  2. 统一性:AWS很多服务都是使用了安全组,比如Load Balancer、EC2、RDS,它们可以方便地基于层级来使用安全组。阿里云在统一性方面做的稍微欠缺一些,SLB负载均衡通过使用访问控制策略组来进行访问控制,数据库使用白名单和安全组来进行控制。(如理解有误,请告知。)

参考资料

  1. 云服务器 ECS > 安全 > 安全组 > 安全组概述
  2. AWS 文档 » Amazon EC2 » 用户指南(适用于 Linux 实例) » 网络与安全性 » Linux 实例的 Amazon EC2 安全组

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
《阿里云安全白皮书4.0》电子版地址
数据安全和用户隐私是阿里云最重要的原则。阿里云致力于打造公共、开放、安全的云计算服务平台。通过技术创新,不断提升计算能力与规模效益,将云计算变成真正意义上的基础设 施。
0 0
全量开放丨阿里云守护您的办公安全
阿里云办公安全平台SASE,守护您的办公安全。
0 0
阿里云国际版Windows云服务器使用IE浏览器打开网站提示“增强安全配置正在阻止来自下列网站内容”
本文www.123clouds.com介绍在Windows云服务器上使用IE浏览器打开网站报错时对应的解决方法。
0 0
阿里云安全产品之态势感知
阿里云安全产品之态势感知自制脑图, 随着网络安全重要性的凸显,面对高隐蔽性的网络攻击,很多企业越来越担心自己的网络到底有没有潜在漏洞。 当网络攻击来临时,我如何全天候的快速判别威胁,进行有效决策和响应而,传统单一的入侵漏洞检测已逐渐不能适应现代网络安全的需要,如此阿里云在国内首先推出基于人工智能平台的安全产品——态势感知。
0 0
《阿里云安全白皮书4.0》电子版下载
数据安全和用户隐私是阿里云最重要的原则。阿里云致力于打造公共、开放、安全的云计算服务平台。通过技术创新,不断提升计算能力与规模效益,将云计算变成真正意义上的基础设 施。
0 0
阿里云安全产品之安骑士
阿里云安全产品之安骑士自制脑图, 首先安骑士轻量级的 agent 具有企业级的稳定优势,解决了安全软件普遍对于服务端占比率高,容易对主机运行速度造成影响的问题,常态时,CPU 占用不超过 1%,内存仅有 10 兆,全业务高峰是智能的进行判断识别。
0 0
阿里云Linx服务器为网站设置SSL安全证书
宝塔面板配置网站SSL安全证书(支持https访问)
0 0
专访阿里云技术极客,守护网络世界安全的神秘人
网络与数据时代不断催生着新的命题,对现代人来讲,如何在技术蓬勃发展的信息爆炸中寻求一席之地,是我们应该不断探索的命题。我们带着这些问题,和各个领域的杰出技术人对话,一期一会,抵掌而谈,走进他们的“技术人生”,和他们一起去寻找答案。
0 0
+关注
天赐凯尔
云计算解决方案架构师。现任职于西门子高级基础架构工程师。
文章
问答
文章排行榜
最热
最新
相关电子书
更多
精品游戏的兴起,阿里云上流量安全最佳实践
立即下载
《阿里云安全核心产品介绍20210622版》
立即下载
阿里云安全白皮书4.0
立即下载