Comment planifier et distinguer correctement les différents groupes de sécurité

Le contenu de cet article explique comment planifier et distinguer raisonnablement différents groupes de sécurité. Il a une certaine valeur de référence. Les amis dans le besoin peuvent s'y référer.

Lors de l'utilisation de groupes de sécurité, tous les serveurs cloud sont généralement placés dans le même groupe de sécurité, ce qui peut réduire la charge de travail de configuration initiale. Mais à long terme, l’interaction des réseaux des systèmes d’entreprise deviendra complexe et incontrôlable. Lorsque vous effectuez des modifications de groupe de sécurité, vous ne pourrez pas définir clairement la portée de l'ajout et de la suppression de règles.

Planifier et distinguer correctement les différents groupes de sécurité facilitera l'ajustement de votre système, le tri des services fournis par l'application et la superposition de différentes applications. Il est recommandé de planifier différents groupes de sécurité pour différentes entreprises et de définir différentes règles de groupe de sécurité.

Distinguer les différents groupes de sécurité

Le serveur cloud et le serveur intranet du service de réseau public tentent d'appartenir à des groupes de sécurité différents

 Si les services de réseau public sont fournis au monde extérieur, notamment en exposant activement certains ports pour un accès externe (tels que 80, 443, etc.), ou en les fournissant passivement (tels que des serveurs cloud avec IP de réseau public, EIP, port NAT) règles de redirection, etc.) règles de redirection de port, conduiront à Votre application est accessible depuis le réseau public.

Les règles du groupe de sécurité auquel appartient le serveur cloud dans les deux scénarios doivent adopter les règles les plus strictes. Il est recommandé de refuser la priorité. Par défaut, tous les ports et protocoles doivent être fermés, et uniquement les ports qui fournissent. les services externes, tels que 80, devraient être exposés ,443. Étant donné que seuls les serveurs qui accèdent au réseau public externe sont regroupés, il est plus facile à contrôler lors de l'ajustement des règles du groupe de sécurité.

La responsabilité de fournir un regroupement de serveurs au monde extérieur doit être claire et simple, et éviter de fournir d'autres services au monde extérieur sur le même serveur. Par exemple, MySQL, Redis, etc., il est recommandé d'installer ces services sur un serveur cloud sans accès au réseau public, puis d'y accéder via l'autorisation de groupe du groupe de sécurité.

S'il existe actuellement un serveur cloud public dans le même groupe de sécurité SG_CURRENT que d'autres applications. Vous pouvez apporter des modifications à l'aide des méthodes suivantes.

Triez les ports et les protocoles exposés par les services de réseau public actuellement fournis, tels que 80 et 443.

Créez un nouveau groupe de sécurité, tel que SG_WEB, puis ajoutez les ports et règles correspondants.

Description : Politique d'autorisation : Autoriser, Type de protocole : TOUS, Port : 80/80, Objet d'autorisation : 0.0.0.0/0, Politique d'autorisation : Autoriser, Type de protocole : TOUS, Port : 443/443 Objet d'autorisation : 0.0.0.0/0.

Sélectionnez le groupe de sécurité SG_CURRENT, puis ajoutez une règle de groupe de sécurité à l'autorisation de groupe pour autoriser les ressources de SG_WEB à accéder à SG_CURRENT.

Description : Politique d'autorisation : Autoriser, type de protocole : TOUS, port : -1/-1, objet d'autorisation : SG_WEB, priorité : personnalisée en fonction de la situation réelle [1-100].

Ajoutez une instance ECS_WEB_1 qui doit basculer le groupe de sécurité vers le nouveau groupe de sécurité.

Dans la console ECS, sélectionnez Gestion des groupes de sécurité.

Sélectionnez SG_WEB > Gérer les instances > Ajouter une instance, sélectionnez l'instance ECS_WEB_1 pour rejoindre le nouveau groupe de sécurité SG_WEB et confirmez que le trafic et le réseau de l'instance ECS_WEB_1 fonctionnent correctement.

Déplacez ECS_WEB_1 hors du groupe de sécurité d'origine.

Dans la console ECS, sélectionnez Gestion des groupes de sécurité.

Sélectionnez SG_CURRENT > Gérer l'instance > pour supprimer l'instance, sélectionnez ECS_WEB_1, supprimez-la de SG_CURRENT, testez la connectivité réseau et confirmez que le trafic et le réseau fonctionnent correctement.

Si cela ne fonctionne pas correctement, ajoutez ECS_WEB_1 au groupe de sécurité SG_CURRENT, vérifiez si le port exposé SG_WEB défini est comme prévu, puis continuez à modifier.

Effectuez d'autres modifications du groupe de sécurité du serveur.

Différentes applications utilisent différents groupes de sécurité

Dans un environnement de production, différents systèmes d'exploitation n'appartiendront pas à la même application dans la plupart des cas regroupés dans fournir des services d’équilibrage de charge. Fournir des services différents signifie que les ports qui doivent être exposés et ceux qui sont refusés sont différents. Il est recommandé, dans la mesure du possible, que différents systèmes d'exploitation appartiennent à des groupes de sécurité différents.

Par exemple, pour le système d'exploitation Linux, vous devrez peut-être exposer le port TCP (22) pour implémenter SSH, et pour Windows, vous devrez peut-être ouvrir une connexion de bureau à distance TCP (3389).

En plus des différents systèmes d'exploitation appartenant à différents groupes de sécurité, même si le même type d'image fournit des services différents, il est préférable d'appartenir à des groupes de sécurité différents s'il n'est pas nécessaire d'y accéder via l'intranet. Cela facilite le découplage et la modification des futures règles du groupe de sécurité pour parvenir à une responsabilité unique.

Lors de la planification et de l'ajout de nouvelles applications, en plus d'envisager de diviser différents sous-réseaux de configuration de commutateur virtuel, vous devez également planifier raisonnablement les groupes de sécurité. Utilisez des segments de réseau + des groupes de sécurité pour vous limiter en tant que fournisseur de services et consommateur.

Pour le processus de changement spécifique, veuillez vous référer aux étapes ci-dessus.

L'environnement de production et l'environnement de test utilisent différents groupes de sécurité

Afin de mieux isoler le système, pendant le processus de développement proprement dit, vous Plusieurs ensembles d'environnements de test et un environnement en ligne peuvent être créés. Afin d'obtenir une isolation réseau plus raisonnable, vous devez utiliser différentes politiques de sécurité pour différentes configurations d'environnement afin d'éviter que les modifications apportées à l'environnement de test ne soient actualisées en ligne et n'affectent la stabilité en ligne.

En créant différents groupes de sécurité, limitez le domaine d'accès de l'application pour éviter que l'environnement de production et l'environnement de test ne soient connectés. Dans le même temps, différents groupes de sécurité peuvent également être affectés à différents environnements de test pour éviter les interférences mutuelles entre plusieurs environnements de test et améliorer l'efficacité du développement.

Attribuez uniquement l'IP du réseau public aux sous-réseaux ou aux serveurs cloud qui nécessitent un accès au réseau public

Qu'il s'agisse d'un réseau classique ou d'un réseau privé ( VPC) Parmi eux, une allocation raisonnable de l'IP du réseau public peut rendre le système plus pratique pour la gestion du réseau public et réduire le risque d'attaques du système. Dans un scénario de réseau privé, lors de la création d'un commutateur virtuel, il est recommandé d'essayer de placer les plages IP des zones de service qui nécessitent un accès au réseau public dans plusieurs commutateurs fixes (CIDR de sous-réseau) pour faciliter l'audit et la différenciation et éviter une exposition accidentelle au public. accès au réseau.

Dans les applications distribuées, la plupart des applications ont différentes couches et groupes. Pour les serveurs cloud qui ne fournissent pas d'accès au réseau public, essayez de ne pas fournir l'adresse IP du réseau public. S'il existe plusieurs serveurs fournissant un accès au réseau public, c'est le cas. Il est recommandé de configurer le service d'équilibrage de charge pour la distribution du trafic du réseau public afin de desservir le réseau public afin d'améliorer la disponibilité du système et d'éviter les points uniques.

Essayez de ne pas attribuer d'adresses IP publiques aux serveurs cloud qui ne nécessitent pas d'accès au réseau public. Lorsque votre serveur cloud doit accéder au réseau public dans un réseau privé, il est d'abord recommandé d'utiliser une passerelle NAT pour fournir des services proxy d'accès à Internet pour les instances ECS qui n'ont pas d'adresse IP publique dans le VPC. pour configurer les règles SNAT correspondantes. Il peut fournir des capacités d'accès au réseau public pour des segments ou sous-réseaux de réseau CIDR spécifiques. Pour une configuration détaillée, voir SNAT. Évitez d'exposer les services au réseau public après avoir attribué une adresse IP publique (EIP), car vous n'avez besoin que de la possibilité d'accéder au réseau public.

Principe minimum

Le groupe de sécurité doit être sur liste blanche, il est donc nécessaire d'ouvrir et d'exposer le moins de ports possible, et en même temps, le moins possible Attribuez une adresse IP publique. Si vous souhaitez accéder aux machines en ligne pour les journaux de tâches ou le dépannage des erreurs, il est simple d'attribuer directement une adresse IP publique ou de monter une EIP, mais après tout, la machine entière sera exposée au réseau public. Une stratégie plus sûre consiste à la gérer. grâce à une machine à tremplin.

Utilisez la machine tremplin

La machine tremplin dispose d'énormes autorisations, en plus de conserver des enregistrements d'audit grâce à des outils. Dans un réseau privé, il est recommandé d'attribuer la machine tremplin à un switch virtuel dédié et de lui fournir la table de redirection de port EIP ou NAT correspondante.

Créez d'abord un groupe de sécurité dédié SG_BRIDGE, par exemple en ouvrant le port correspondant, tel que Linux TCP(22) ou Windows RDP(3389). Afin de limiter les règles d'accès au réseau du groupe de sécurité, vous pouvez limiter les objets autorisés pouvant se connecter à la plage de sortie du réseau public de l'entreprise, réduisant ainsi la probabilité d'être connecté et analysé.

Ajoutez ensuite le serveur cloud comme tremplin au groupe de sécurité. Afin de permettre à cette machine d'accéder au serveur cloud correspondant, vous pouvez configurer l'autorisation de groupe correspondante. Par exemple, ajoutez une règle dans SG_CURRENT pour autoriser SG_BRIDGE à accéder à certains ports et protocoles.

Lorsque vous utilisez Springboard SSH, il est recommandé d'utiliser une paire de clés SSH au lieu d'un mot de passe pour vous connecter.

En bref, une planification raisonnable du groupe de sécurité vous permettra d'étendre plus facilement votre application et de rendre votre système plus sécurisé.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!