ホームページ  >  記事  >  運用・保守  >  セキュリティグループのネットワークアクセスルールとセキュリティグループ関連情報の設定方法

セキュリティグループのネットワークアクセスルールとセキュリティグループ関連情報の設定方法

坏嘻嘻
坏嘻嘻オリジナル
2018-09-19 11:51:302185ブラウズ

この記事では、セキュリティ グループのネットワーク アクセス ルールを構成する方法と、セキュリティ グループに関連する情報を紹介します。この記事の内容は非常にコンパクトなので、根気よく勉強していただければ幸いです。

クラウド セキュリティ グループは、単一または複数の ECS インスタンスのネットワーク アクセス制御を設定するために使用される仮想ファイアウォールのような機能を提供します。これはセキュリティ分離の重要な手段です。 ECS インスタンスを作成するときは、セキュリティ グループを選択する必要があります。セキュリティ グループ ルールを追加して、特定のセキュリティ グループの下にあるすべての ECS インスタンスの送信ネットワークと受信ネットワークを制御することもできます。

この記事では主にセキュリティグループのネットワークアクセスルールの設定方法を紹介します。

セキュリティ グループ関連情報

セキュリティ グループのネットワーク アクセス ルールを構成する前に、次のセキュリティ グループ関連情報を理解しておく必要があります。

セキュリティ グループの制限

セキュリティ グループのデフォルト ルール

セキュリティ グループのアクセス許可を In 方向に設定します

セキュリティのアクセス許可を設定しますOut 方向のグループ

セキュリティ グループの実践に関する基本的な提案

セキュリティ グループの実践を開始する前に、いくつかの基本的な提案を示します:

最も重要なルール: セキュリティ グループはホワイトリストとして使用する必要があります。

アプリケーション アクセス ルールを開くときは、「最小限の承認」の原則に従う必要があります。たとえば、特定のポート (ポート 80 など) を開くように選択できます。

層が異なれば要件も異なるため、1 つのセキュリティ グループを使用してすべてのアプリケーションを管理することはできません。

分散アプリケーションの場合、アプリケーションの種類ごとに異なるセキュリティ グループを使用する必要があります。たとえば、Web、サービス、データベース、キャッシュの各層に異なるセキュリティ グループを使用して、異なるアクセス ルールと権限を公開する必要があります。

管理コストを制御するために、インスタンスごとに個別のセキュリティ グループを設定する必要はありません。

VPC ネットワークを優先します。

パブリック ネットワーク アクセスを必要としないリソースには、パブリック ネットワーク IP を提供しないでください。

単一のセキュリティ グループのルールはできるだけ単純にしてください。インスタンスは最大 5 つのセキュリティ グループに参加でき、セキュリティ グループには最大 100 のセキュリティ グループ ルールを含めることができるため、インスタンスには数百のセキュリティ グループ ルールが同時に適用される可能性があります。割り当てられたすべてのセキュリティ ルールを集約して、流入を許可するかステイアウトを許可するかを決定できますが、個々のセキュリティ グループ ルールが複雑な場合、管理が複雑になります。したがって、単一のセキュリティ グループのルールはできるだけ単純にしてください。

オンライン セキュリティ グループの入口と出口のルールを調整することは、比較的危険な操作です。確信が持てない場合は、セキュリティ グループのアクセス ルール設定を更新しないでください。 Alibaba Cloud のコンソールは、セキュリティ グループとセキュリティ グループ ルールを複製する機能を提供します。オンライン セキュリティ グループとルールを変更する場合は、オンライン アプリケーションに直接影響を与えないように、最初にセキュリティ グループを複製し、次に複製したセキュリティ グループでデバッグする必要があります。

セキュリティ グループのネットワーク アクセス ルールを設定する

セキュリティ グループのネットワーク アクセス ルールに関する実際的な提案を次に示します。

ネットワーク アクセス ルール 0.0.0.0/0

すべてのネットワーク アクセスを許可するのはよくある間違いです。 0.0.0.0/0 を使用すると、すべてのポートが外部に公開されることになります。これは非常に危険です。正しいアプローチは、まずすべてのポートが外部に開かれることを拒否することです。セキュリティ グループはアクセスのためにホワイトリストに登録する必要があります。たとえば、Web サービスを公開する必要がある場合、デフォルトでは 80、8080、443 などの一般的な TCP ポートのみを開き、他のポートは閉じたままにすることができます。

  { "IpProtocol" : "tcp", "FromPort" : "80", "ToPort" : "80", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
  { "IpProtocol" : "tcp", "FromPort" : "8080", "ToPort" : "8080", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
   { "IpProtocol" : "tcp", "FromPort" : "443", "ToPort" : "443", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,

不要なネットワーク アクセス ルールを閉じてください

現在使用しているアクセス ルールにすでに 0.0.0.0/0 が含まれている場合は、アプリケーションの必要性を再検討する必要があります。外部の世界に公開される 公開されたポートとサービス。特定のポートが外部にサービスを直接提供したくない場合は、拒否ルールを追加できます。たとえば、MySQL データベース サービスがサーバーにインストールされている場合、デフォルトでポート 3306 をパブリック ネットワークに公開しないでください。この時点で、以下に示すように拒否ルールを追加し、その優先度を 100 に設定できます。優先度が最も低い。

{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceCidrIp" :
          "0.0.0.0/0", "Policy": "drop", Priority: 100} ,

上記の調整により、すべてのポートがポート 3306 にアクセスできなくなり、通常のビジネス ニーズが妨げられる可能性が高くなります。現時点では、別のセキュリティ グループのリソースに受信ルールへのアクセスを許可できます。

#別のセキュリティ グループにネットワークへのアクセスを許可する

さまざまなセキュリティ グループが、最小原則に従って、対応するアクセス ルールを開きます。異なるアプリケーション層には異なるセキュリティ グループを使用する必要があり、異なるセキュリティ グループには対応するアクセス ルールが必要です。

たとえば、分散アプリケーションの場合は、異なるセキュリティ グループを区別しますが、現時点では、IP または CIDR ネットワークに直接アクセスできない可能性があります。セグメントに直接アクセスできますが、別のセキュリティ グループ ID のすべてのリソースに直接アクセスできます。たとえば、アプリケーションは Web とデータベースに異なるセキュリティ グループ (sg-web と sg-database) を作成します。 sg-database では、次のルールを追加して、sg-web セキュリティ グループのすべてのリソースが 3306 ポートにアクセスすることを承認できます。

  { "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceGroupId" : "sg-web", "Policy": 
               "accept", Priority: 2} ,

別の CIDR にネットワークへのアクセスを許可する

クラシック ネットワークでは、ネットワーク セグメントを制御できないため、セキュリティ グループ ID を使用してセキュリティ グループ ID を使用することをお勧めします。ネットワークアクセスルールを承認します。

VPC 网络中,您可以自己通过不同的 VSwitch 设置不同的 IP 域,规划 IP 地址。所以,在 VPC 网络中,您可以默认拒绝所有的访问,再授信自己的专有网络的网段访问,直接授信可以相信的 CIDR 网段。

    { "IpProtocol" : "icmp", "FromPort" : "-1", "ToPort" : "-1", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,
     { "IpProtocol" : "tcp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,
    { "IpProtocol" : "udp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,

变更安全组规则步骤和说明

变更安全组规则可能会影响您的实例间的网络通信。为了保证必要的网络通信不受影响,您应先尝试以下方法放行必要的实例,再执行安全组策略收紧变更。

注意:执行收紧变更后,应观察一段时间,确认业务应用无异常后再执行其它必要的变更。

新建一个安全组,将需要互通访问的实例加入这个安全组,再执行变更操作。

如果授权类型为 安全组访问,则将需要互通访问的对端实例所绑定的安全组 ID 添加为授权对象;

如果授权类型为 地址段访问,则将需要互通访问的对端实例内网 IP 添加为授权对象。

以上がセキュリティグループのネットワークアクセスルールとセキュリティグループ関連情報の設定方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。