Comment autoriser et révoquer les règles des groupes de sécurité et rejoindre et quitter des groupes de sécurité

Le contenu de cet article explique comment autoriser, révoquer les règles des groupes de sécurité et rejoindre et quitter les groupes de sécurité. Il a une certaine valeur de référence. Les amis dans le besoin peuvent s'y référer.

Cet article présentera le contenu suivant des groupes de sécurité :

Autorisation et révocation des règles des groupes de sécurité.

Rejoignez le groupe de sécurité et quittez le groupe de sécurité.

Les types de réseaux d'Alibaba Cloud sont divisés en réseau classique et VPC, qui prennent en charge différentes règles de configuration pour les groupes de sécurité :

S'il s'agit d'un réseau classique, vous pouvez définir les règles suivantes : Direction d'accès à l'intranet , direction sortante intranet, direction entrante sur le réseau public et direction sortante sur le réseau public.

S'il s'agit d'un réseau VPC, vous pouvez définir : la direction entrante et la direction sortante.

Le concept de communication intranet du groupe de sécurité

Avant de commencer cet article, vous devez connaître les concepts suivants de communication intranet du groupe de sécurité :

Par défaut, seules les instances ECS du même groupe de sécurité peuvent communiquer entre elles. Même si les instances ECS sous le même compte appartiennent à des groupes de sécurité différents, le réseau intranet ne sera pas accessible. Cela s'applique aux réseaux classiques et VPC. Les instances ECS du réseau classique sont donc également sécurisées pour l'intranet.

Si vous avez deux instances ECS qui ne sont pas dans le même groupe de sécurité et que vous espérez qu'elles ne pourront pas communiquer entre elles sur l'intranet, alors qu'en fait c'est le cas, vous devez alors vérifier les paramètres des règles intranet de votre groupe de sécurité. Si les protocoles suivants existent dans le protocole intranet, il est recommandé de les réinitialiser.

Autoriser tous les ports ;

L'objet d'autorisation est le segment de réseau CIDR (SourceCidrIp) : règle 0.0.0.0/0 ou 10.0.0.0/8.

S'il s'agit d'un réseau classique, le protocole ci-dessus exposera votre intranet à d'autres accès.

Si vous souhaitez obtenir l'interopérabilité réseau entre les ressources de différents groupes de sécurité, vous devez utiliser l'autorisation du groupe de sécurité. Pour l'accès intranet, vous devez utiliser l'autorisation du groupe de sécurité source au lieu de l'autorisation du segment CIDR.

Attributs des règles de sécurité

Les règles de sécurité décrivent principalement différents droits d'accès, dont les attributs suivants :

Politique : Autorisation politique, la valeur du paramètre peut être accepter (accepter) ou supprimer (rejeter).

Priorité : Priorité, trier les correspondances par ordre décroissant en fonction de l'heure de création des règles du groupe de sécurité. La plage facultative de priorité des règles est comprise entre 1 et 100 et la valeur par défaut est 1, qui correspond à la priorité la plus élevée. Plus le nombre est élevé, plus la priorité est faible.

NicType : Type de réseau. Si seul SourceGroupId est spécifié sans SourceCidrIp, cela signifie que l'autorisation est effectuée via le groupe de sécurité. Dans ce cas, NicType doit être spécifié comme intranet.

Description de la règle :

IpProtocol : protocole IP, valeurs : tcp | icmp | tout signifie tous les protocoles.

PortRange : plage de numéros de port liée au protocole IP :

Lorsque la valeur IpProtocol est tcp ou udp, la plage de numéros de port est 1~65535 et le format doit être "numéro de port de départ / "Numéro de port de terminaison", tel que "1/200" signifie que la plage de numéros de port est comprise entre 1 et 200. Si la valeur d'entrée est "200/1", l'appel d'interface signalera une erreur.

Lorsque la valeur IpProtocol est icmp, gre ou all, la valeur de la plage de numéros de port est -1/-1, ce qui signifie aucune restriction de port.

En cas d'autorisation via un groupe de sécurité, le SourceGroupId doit être spécifié, qui est l'ID du groupe de sécurité source. À ce stade, selon que vous souhaitez autoriser plusieurs comptes, vous pouvez choisir de définir le compte SourceGroupOwnerAccount auquel appartient le groupe de sécurité source

S'il est autorisé via CIDR, vous devez spécifier SourceCidrIp, c'est-à-dire l'adresse IP source ; segment d'adresse, qui doit utiliser le format CIDR.

Autoriser une règle de demande d'accès au réseau

Lors de la création d'un groupe de sécurité dans la console ou via l'API, le sens d'accès au réseau est par défaut refuser all, ce qui est la situation par défaut. Ensuite, vous refusez toutes les demandes d'accès au réseau. Cela ne s'applique pas à toutes les situations, vous souhaiterez donc configurer vos règles d'accès de manière appropriée.

Par exemple, si vous devez ouvrir le port 80 du réseau public pour fournir des services HTTP au monde extérieur, car il s'agit d'un accès au réseau public, vous souhaitez accéder au réseau autant que possible, alors là Il ne devrait y avoir aucune restriction sur le segment de réseau IP. Vous pouvez le définir sur 0.0.0.0/0 Pour des paramètres spécifiques, veuillez vous référer à la description suivante. Les paramètres de la console sont en dehors des crochets et les paramètres OpenAPI sont entre parenthèses. sont identiques, aucune distinction ne sera faite.

Type de carte réseau (NicType) : réseau public (internet). S'il s'agit d'un type VPC, il vous suffit de remplir l'intranet et d'accéder au réseau public via EIP.

Politique d'autorisation : Accepter.

Direction des règles (NicType) : vers le réseau.

Type de protocole (IpProtocol) : TCP (tcp).

Gamme de ports : 80/80.

Objet d'autorisation (SourceCidrIp) : 0.0.0.0/0.

Priorité : 1.

Remarque : les suggestions ci-dessus ne sont valables que pour les réseaux publics. Il n'est pas recommandé d'utiliser des segments de réseau CIDR pour les requêtes intranet. Veuillez vous référer aux règles de groupe de sécurité intranet des réseaux classiques. N'utilisez pas d'autorisation CIDR ou IP.

Bannir une règle de demande entrante

Lors de l'interdiction d'une règle, il vous suffit de configurer une politique de refus et de définir une priorité inférieure. De cette façon, vous pouvez configurer d'autres règles de haute priorité pour remplacer cette règle si nécessaire. Par exemple, vous pouvez utiliser les paramètres suivants pour refuser l'accès au port 6379.

Type de carte réseau (NicType) : intranet.

Politique d'autorisation : Refuser (abandonner).

Direction des règles (NicType) : vers le réseau.

Type de protocole (IpProtocol) : TCP (tcp).

Portée : 6379/6379.

Objet d'autorisation (SourceCidrIp) : 0.0.0.0/0.

Priorité : 100.

Ne pas utiliser l'autorisation CIDR ou IP pour les règles de groupe de sécurité intranet du réseau classique

Pour les instances ECS du réseau classique, Alibaba Cloud ne l'active pas par défaut. Règles d'accès pour tout intranet. Vous devez être prudent lorsque vous autorisez l'intranet.

Pour des raisons de sécurité, il n'est pas recommandé d'activer une autorisation basée sur des segments de réseau CIDR.

Pour l'informatique élastique, l'IP de l'intranet change fréquemment. De plus, le segment réseau de cette IP est irrégulier. Par conséquent, pour l'intranet du réseau classique, il est recommandé d'autoriser l'accès à l'intranet. via le groupe de sécurité.

Par exemple, vous créez un cluster Redis sur le groupe de sécurité sg-redis. Afin d'autoriser uniquement des machines spécifiques (telles que sg-web) à accéder à ce groupe de serveurs Redis, vous n'avez pas besoin d'en configurer. CIDR Vous devez ajouter une règle d'entrée : spécifiez simplement l'ID du groupe de sécurité approprié.

Type de carte réseau (NicType) : intranet.

Politique d'autorisation : Accepter.

Direction des règles (NicType) : vers le réseau.

Type de protocole (IpProtocol) : TCP (tcp).

Portée : 6379/6379.

Objet d'autorisation (SourceGroupId) : sg-web.

Priorité : 1.

Pour les instances de type VPC, si vous avez planifié votre propre plage IP via plusieurs VSwitches, vous pouvez utiliser les paramètres CIDR comme règles de regroupement de sécurité. Cependant, si votre segment de réseau VPC n'est pas suffisamment clair, il est recommandé de le faire ; Privilégiez l’utilisation des groupes de sécurité comme règles d’entrée.

Ajouter les instances ECS qui doivent communiquer entre elles au même groupe de sécurité

Une instance ECS peut rejoindre jusqu'à 5 groupes de sécurité , et les mêmes instances ECS du groupe de sécurité du groupe sont interconnectées sur le réseau. Si vous disposez déjà de plusieurs groupes de sécurité lors de la planification et qu'il est trop compliqué de définir directement plusieurs règles de sécurité, vous pouvez créer un nouveau groupe de sécurité, puis ajouter les instances ECS qui nécessitent une communication intranet à ce nouveau groupe de sécurité.

Les groupes de sécurité distinguent les types de réseau. Une instance ECS de type réseau classique ne peut rejoindre que le groupe de sécurité du réseau classique ; une instance ECS de type VPC ne peut rejoindre que le groupe de sécurité de ce VPC.

Il n'est pas recommandé d'ajouter toutes les instances ECS à un groupe de sécurité, ce qui ferait des paramètres de règles de votre groupe de sécurité un cauchemar. Pour une application de taille moyenne à grande, chaque groupe de serveurs a des rôles différents. Il est très nécessaire de planifier raisonnablement les requêtes entrantes et sortantes de chaque serveur.

Sur la console, vous pouvez ajouter une instance à un groupe de sécurité comme décrit dans le document Rejoindre un groupe de sécurité.

Si vous êtes très familier avec l'OpenAPI d'Alibaba Cloud, vous pouvez vous référer à Utilisation d'OpenAPI pour gérer de manière élastique les instances ECS et effectuer des opérations par lots via OpenAPI. L'extrait Python correspondant est le suivant.

def join_sg(sg_id, instance_id):
    request = JoinSecurityGroupRequest()
    request.set_InstanceId(instance_id)
    request.set_SecurityGroupId(sg_id)
    response = _send_request(request)
    return response
# send open api request
def _send_request(request):
    request.set_accept_format('json')
    try:
        response_str = clt.do_action(request)
        logging.info(response_str)
        response_detail = json.loads(response_str)
        return response_detail
    except Exception as e:
        logging.error(e)

Supprimer l'instance ECS du groupe de sécurité

Si l'instance ECS est ajoutée à un groupe de sécurité inapproprié, elle exposera ou bloquer votre service, vous pouvez choisir de supprimer l'instance ECS de ce groupe de sécurité. Mais avant de supprimer le groupe de sécurité, vous devez vous assurer que votre instance ECS a rejoint d'autres groupes de sécurité.

Remarque : le déplacement d'une instance ECS hors d'un groupe de sécurité entraînera la déconnexion de l'instance ECS du réseau dans le groupe de sécurité actuel. Il est recommandé d'effectuer des tests suffisants avant de la quitter. L'extrait Python correspondant de

est le suivant.

def leave_sg(sg_id, instance_id):
    request = LeaveSecurityGroupRequest()
    request.set_InstanceId(instance_id)
    request.set_SecurityGroupId(sg_id)
    response = _send_request(request)
    return response
# send open api request
def _send_request(request):
    request.set_accept_format('json')
    try:
        response_str = clt.do_action(request)
        logging.info(response_str)
        response_detail = json.loads(response_str)
        return response_detail
    except Exception as e:
        logging.error(e)

Définir des noms et des étiquettes de groupes de sécurité raisonnables

Des noms et descriptions raisonnables de groupes de sécurité peuvent vous aider à identifier rapidement les complexités actuelles de la combinaison de règles . Vous pouvez vous aider à identifier le groupe de sécurité en modifiant le nom et la description.

Vous pouvez également gérer vos propres groupes de sécurité en définissant des groupes d'étiquettes pour les groupes de sécurité. Vous pouvez définir des étiquettes directement dans la console ou via l'API.

Supprimer les groupes de sécurité inutiles

Les règles de sécurité du groupe de sécurité sont similaires aux listes blanches et aux listes noires. Par conséquent, veuillez ne pas conserver de groupes de sécurité inutiles pour éviter des problèmes inutiles causés par une adhésion par erreur à une instance ECS.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!