So planen und unterscheiden Sie verschiedene Sicherheitsgruppen richtig

Der Inhalt dieses Artikels befasst sich mit der sinnvollen Planung und Unterscheidung verschiedener Sicherheitsgruppen. Freunde in Not können sich darauf beziehen.

Bei der Verwendung von Sicherheitsgruppen werden in der Regel alle Cloud-Server in derselben Sicherheitsgruppe platziert, was den anfänglichen Konfigurationsaufwand reduzieren kann. Aber auf lange Sicht wird das Zusammenspiel von Geschäftssystemnetzwerken komplex und unkontrollierbar werden. Beim Durchführen von Änderungen an Sicherheitsgruppen können Sie den Umfang des Hinzufügens und Entfernens von Regeln nicht klar definieren.

Die richtige Planung und Unterscheidung verschiedener Sicherheitsgruppen erleichtert die Anpassung Ihres Systems, die Sortierung der von der Anwendung bereitgestellten Dienste und die Schichtung verschiedener Anwendungen. Es wird empfohlen, unterschiedliche Sicherheitsgruppen für unterschiedliche Unternehmen zu planen und unterschiedliche Sicherheitsgruppenregeln festzulegen.

Unterscheiden Sie zwischen verschiedenen Sicherheitsgruppen

Der Cloud-Server und der Intranetserver des öffentlichen Netzwerkdienstes versuchen, verschiedenen Sicherheitsgruppen anzugehören

Ob öffentliche Netzwerkdienste für die Außenwelt bereitgestellt werden, einschließlich der aktiven Bereitstellung bestimmter Ports für den externen Zugriff (z. B. 80, 443 usw.) oder der passiven Bereitstellung (z. B. Cloud-Server mit IP-, EIP-, NAT-Port des öffentlichen Netzwerks). (Weiterleitungsregeln usw.) Portweiterleitungsregeln führen dazu, dass auf Ihre Anwendung über das öffentliche Netzwerk zugegriffen werden kann.

Die Sicherheitsgruppenregeln, zu denen der Cloud-Server in den beiden Szenarien gehört, sollten die strengsten Regeln übernehmen. Standardmäßig sollten alle Ports und Protokolle geschlossen werden, und zwar nur die Ports, die bereitgestellt werden Externe Dienste wie 80 sollten verfügbar gemacht werden. Da nur Server gruppiert werden, die auf das externe öffentliche Netzwerk zugreifen, ist die Kontrolle beim Anpassen der Sicherheitsgruppenregeln einfacher.

Die Verantwortung für die Bereitstellung einer Servergruppierung für die Außenwelt sollte klar und einfach sein und die Bereitstellung anderer Dienste für die Außenwelt auf demselben Server vermeiden. Beispielsweise MySQL, Redis usw. wird empfohlen, diese Dienste auf einem Cloud-Server ohne Zugriff auf das öffentliche Netzwerk zu installieren und dann über die Gruppenautorisierung der Sicherheitsgruppe darauf zuzugreifen.

Wenn sich derzeit ein öffentlicher Cloud-Server in derselben Sicherheitsgruppe SG_CURRENT wie andere Anwendungen befindet. Mit den folgenden Methoden können Sie Änderungen vornehmen.

Sortieren Sie die Ports und Protokolle, die von den derzeit bereitgestellten öffentlichen Netzwerkdiensten bereitgestellt werden, z. B. 80 und 443.

Erstellen Sie eine neue Sicherheitsgruppe, z. B. SG_WEB, und fügen Sie dann die entsprechenden Ports und Regeln hinzu.

Beschreibung: Autorisierungsrichtlinie: Zulassen, Protokolltyp: ALLE, Port: 80/80, Autorisierungsobjekt: 0.0.0.0/0, Autorisierungsrichtlinie: Zulassen, Protokolltyp: ALLE, Port: 443/443 Autorisierungsobjekt : 0.0.0.0/0.

Wählen Sie die Sicherheitsgruppe SG_CURRENT aus und fügen Sie dann eine Sicherheitsgruppenregel zur Gruppenautorisierung hinzu, um Ressourcen in SG_WEB den Zugriff auf SG_CURRENT zu ermöglichen.

Beschreibung: Autorisierungsrichtlinie: Zulassen, Protokolltyp: ALLE, Port: -1/-1, Autorisierungsobjekt: SG_WEB, Priorität: angepasst an die tatsächliche Situation [1-100].

Fügen Sie eine Instanz ECS_WEB_1 hinzu, die die Sicherheitsgruppe auf die neue Sicherheitsgruppe umstellen muss.

Wählen Sie in der ECS-Konsole die Option „Sicherheitsgruppenverwaltung“ aus.

Wählen Sie SG_WEB > Instanzen verwalten > wählen Sie Instanz ECS_WEB_1 aus, um der neuen Sicherheitsgruppe SG_WEB beizutreten, und bestätigen Sie, dass der Datenverkehr und das Netzwerk der ECS_WEB_1-Instanz ordnungsgemäß funktionieren.

Verschieben Sie ECS_WEB_1 aus der ursprünglichen Sicherheitsgruppe.

Wählen Sie in der ECS-Konsole die Option „Sicherheitsgruppenverwaltung“ aus.

Wählen Sie „SG_CURRENT > Instanz verwalten“ aus, um die Instanz zu entfernen, wählen Sie „ECS_WEB_1“, entfernen Sie sie aus „SG_CURRENT“, testen Sie die Netzwerkkonnektivität und bestätigen Sie, dass der Datenverkehr und das Netzwerk ordnungsgemäß funktionieren.

Wenn es nicht richtig funktioniert, fügen Sie ECS_WEB_1 wieder zur Sicherheitsgruppe SG_CURRENT hinzu, prüfen Sie, ob der eingestellte SG_WEB-offengelegte Port wie erwartet ist, und fahren Sie dann mit der Änderung fort.

Führen Sie weitere Änderungen an der Serversicherheitsgruppe durch.

Verschiedene Anwendungen verwenden unterschiedliche Sicherheitsgruppen

In einer Produktionsumgebung gehören unterschiedliche Betriebssysteme in den meisten Fällen nicht zur gleichen Anwendung Bereitstellung von Lastausgleichsdiensten. Die Bereitstellung verschiedener Dienste bedeutet, dass die Ports, die verfügbar gemacht werden müssen, und die Ports, die verweigert werden, unterschiedlich sind. Es wird empfohlen, dass unterschiedliche Betriebssysteme möglichst unterschiedlichen Sicherheitsgruppen angehören.

Zum Beispiel müssen Sie für das Linux-Betriebssystem möglicherweise den TCP-Port (22) freigeben, um SSH zu implementieren, und für Windows müssen Sie möglicherweise eine TCP-Remotedesktopverbindung (3389) öffnen.

Zusätzlich zu unterschiedlichen Betriebssystemen, die zu unterschiedlichen Sicherheitsgruppen gehören, ist es am besten, verschiedenen Sicherheitsgruppen anzugehören, auch wenn derselbe Image-Typ unterschiedliche Dienste bereitstellt, wenn auf sie nicht über das Intranet zugegriffen werden muss. Dies erleichtert die Entkopplung und Änderung zukünftiger Sicherheitsgruppenregeln, um eine einzige Verantwortung zu erreichen.

Beim Planen und Hinzufügen neuer Anwendungen sollten Sie neben der Überlegung, verschiedene Subnetze mit virtuellen Switch-Konfigurationen aufzuteilen, auch Sicherheitsgruppen sinnvoll planen. Nutzen Sie Netzwerksegmente + Sicherheitsgruppen, um sich als Dienstanbieter und Verbraucher einzuschränken.

Informationen zum spezifischen Änderungsprozess finden Sie in den oben genannten Schritten.

Die Produktionsumgebung und die Testumgebung verwenden unterschiedliche Sicherheitsgruppen

Um das System während des eigentlichen Entwicklungsprozesses besser zu isolieren, können Sie Es können mehrere Sätze von Testumgebungen und eine Online-Umgebung erstellt werden. Um eine angemessenere Netzwerkisolation zu erreichen, müssen Sie unterschiedliche Sicherheitsrichtlinien für unterschiedliche Umgebungskonfigurationen verwenden, um zu verhindern, dass Änderungen in der Testumgebung online aktualisiert werden und die Online-Stabilität beeinträchtigen.

Beschränken Sie durch die Erstellung verschiedener Sicherheitsgruppen die Zugriffsdomäne der Anwendung, um zu verhindern, dass die Produktionsumgebung und die Testumgebung verbunden werden. Gleichzeitig können unterschiedliche Sicherheitsgruppen auch unterschiedlichen Testumgebungen zugewiesen werden, um gegenseitige Beeinträchtigungen zwischen mehreren Testumgebungen zu vermeiden und die Entwicklungseffizienz zu verbessern.

Ordnen Sie IP-Adressen des öffentlichen Netzwerks nur Subnetzen oder Cloud-Servern zu, die Zugriff auf das öffentliche Netzwerk erfordern

Ob es sich um ein klassisches Netzwerk oder ein privates Netzwerk handelt ( VPC) Eine angemessene Zuweisung öffentlicher Netzwerk-IP kann das System für die öffentliche Netzwerkverwaltung komfortabler machen und das Risiko von Systemangriffen verringern. In einem privaten Netzwerkszenario wird beim Erstellen eines virtuellen Switches empfohlen, dass Sie versuchen, die IP-Bereiche von Servicebereichen, die öffentlichen Netzwerkzugriff erfordern, in mehreren festen Switches (Subnetz-CIDRs) unterzubringen, um die Prüfung und Differenzierung zu erleichtern und eine versehentliche Offenlegung der Öffentlichkeit zu vermeiden Netzwerkzugriff.

In verteilten Anwendungen verfügen die meisten Anwendungen über unterschiedliche Ebenen und Gruppen. Versuchen Sie, keine öffentliche Netzwerk-IP bereitzustellen. Wenn es mehrere Server gibt, die öffentlichen Netzwerkzugriff bieten, ist dies der Fall Es wird empfohlen, den Lastausgleichsdienst für die Verteilung des öffentlichen Netzwerkverkehrs so zu konfigurieren, dass er das öffentliche Netzwerk bedient, um die Systemverfügbarkeit zu verbessern und Einzelpunkte zu vermeiden.

Versuchen Sie, öffentliche IP-Adressen nicht an Cloud-Server zu vergeben, die keinen öffentlichen Netzwerkzugriff benötigen. Wenn Ihr Cloud-Server in einem privaten Netzwerk auf das öffentliche Netzwerk zugreifen muss, wird empfohlen, zunächst ein NAT-Gateway zu verwenden, um ECS-Instanzen, die keine öffentliche IP in der VPC haben, Proxy-Dienste für den Zugriff auf das Internet bereitzustellen zum Konfigurieren der entsprechenden SNAT-Regeln. Es kann Funktionen für den öffentlichen Netzwerkzugriff für bestimmte CIDR-Netzwerksegmente oder Subnetze bereitstellen. Weitere Informationen zur Konfiguration finden Sie unter SNAT. Vermeiden Sie es, Dienste dem öffentlichen Netzwerk zugänglich zu machen, nachdem Sie eine öffentliche IP (EIP) zugewiesen haben, da Sie nur die Möglichkeit benötigen, auf das öffentliche Netzwerk zuzugreifen.

Mindestprinzip

Die Sicherheitsgruppe sollte auf der Whitelist stehen, daher ist es notwendig, so viele Ports wie möglich zu öffnen und freizulegen Gleichzeitig möglichst wenig öffentliche IP vergeben. Wenn Sie für Aufgabenprotokolle oder zur Fehlerbehebung auf Online-Maschinen zugreifen möchten, ist es einfach, direkt eine öffentliche IP zuzuweisen oder eine EIP bereitzustellen, aber schließlich wird die gesamte Maschine dem öffentlichen Netzwerk ausgesetzt. Eine sicherere Strategie besteht darin, sie zu verwalten durch eine Sprungbrettmaschine.

Verwenden Sie die Sprungbrettmaschine

Die Sprungbrettmaschine verfügt zusätzlich zur Führung von Prüfaufzeichnungen über Tools über umfangreiche Berechtigungen. In einem privaten Netzwerk empfiehlt es sich, die Springboard-Maschine einem dedizierten virtuellen Switch zuzuweisen und diesen mit der entsprechenden EIP- oder NAT-Port-Weiterleitungstabelle auszustatten.

Erstellen Sie zunächst eine dedizierte Sicherheitsgruppe SG_BRIDGE, indem Sie beispielsweise den entsprechenden Port öffnen, z. B. Linux TCP(22) oder Windows RDP(3389). Um die Netzwerkzugriffsregeln der Sicherheitsgruppe einzuschränken, können Sie die autorisierten Objekte begrenzen, die sich beim Ausgangsbereich des öffentlichen Netzwerks des Unternehmens anmelden können, wodurch die Wahrscheinlichkeit verringert wird, dass sie angemeldet und gescannt werden.

Fügen Sie dann den Cloud-Server als Sprungbrettmaschine zur Sicherheitsgruppe hinzu. Um der Maschine den Zugriff auf den entsprechenden Cloud-Server zu ermöglichen, können Sie die entsprechende Gruppenberechtigung konfigurieren. Fügen Sie beispielsweise eine Regel in SG_CURRENT hinzu, um SG_BRIDGE den Zugriff auf bestimmte Ports und Protokolle zu ermöglichen.

Bei Verwendung von Springboard SSH wird empfohlen, für die Anmeldung ein SSH-Schlüsselpaar anstelle eines Passworts zu verwenden.

Kurz gesagt, eine vernünftige Sicherheitsgruppenplanung erleichtert Ihnen die Erweiterung Ihrer Anwendung und macht Ihr System sicherer.

Das obige ist der detaillierte Inhalt vonSo planen und unterscheiden Sie verschiedene Sicherheitsgruppen richtig. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!