さまざまなセキュリティ グループを適切に計画し区別する方法

この記事の内容は、さまざまなセキュリティ グループを合理的に計画し、区別する方法に関するものです。必要な場合は参考にしてください。

セキュリティ グループの使用中は、通常、すべてのクラウド サーバーが同じセキュリティ グループに配置されるため、初期構成の作業負荷が軽減されます。しかし、長期的には、ビジネス システム ネットワークの相互作用は複雑になり、制御不能になります。セキュリティグループの変更を実行する場合、ルールの追加と削除の範囲を明確に定義することはできません。

さまざまなセキュリティ グループを適切に計画して区別すると、システムの調整、アプリケーションによって提供されるサービスの整理、さまざまなアプリケーションの階層化が容易になります。ビジネスごとに異なるセキュリティ グループを計画し、異なるセキュリティ グループ ルールを設定することをお勧めします。

異なるセキュリティ グループを区別する

パブリック ネットワーク サービスのクラウド サーバーとイントラネット サーバーは、できる限り異なるセキュリティ グループに属する必要があります。

パブリック ネットワーク サービスが外部に提供されているかどうか (外部アクセス用に特定のポート (80、443 など) を積極的に公開するか、受動的に提供するか (パブリック ネットワーク IP、EIP を備えたクラウド サーバーなど) 、NAT ポート転送ルールなど) ポート転送ルールの結果、アプリケーションはパブリック ネットワークからアクセスされる可能性があります。

2 番目のシナリオでクラウド サーバーが属するセキュリティ グループ ルールは、最も厳格なルールを採用する必要があり、デフォルトでは、すべてのポートとプロトコルを閉じ、提供するポートのみを閉じることをお勧めします。 80 などの外部サービスを公開する必要があります。外部のパブリック ネットワークにアクセスできるサーバーのみがグループ化されるため、セキュリティ グループ ルールを調整する際の制御が容易になります。

サーバー グループを外部に提供する責任は明確かつ単純である必要があり、同じサーバー上で他のサービスを外部に提供することは避けてください。たとえば、MySQL、Redis などは、パブリック ネットワークにアクセスせずにクラウド サーバーにこれらのサービスをインストールし、セキュリティ グループのグループ認証を通じてアクセスすることをお勧めします。

現在、他のアプリケーションと同じセキュリティ グループ SG_CURRENT に既に属しているパブリック ネットワーク クラウド サーバーがある場合。以下の方法で変更できます。

現在提供されているパブリック ネットワーク サービスによって公開されているポートとプロトコル (80 や 443 など) を整理します。

SG_WEB などの新しいセキュリティ グループを作成し、対応するポートとルールを追加します。

説明: 認可ポリシー: 許可、プロトコル タイプ: ALL、ポート: 80/80、認可オブジェクト: 0.0.0.0/0、認可ポリシー: 許可、プロトコル タイプ: ALL、ポート: 443/443 認可オブジェクト：0.0.0.0/0。

セキュリティ グループ SG_CURRENT を選択し、SG_WEB 内のリソースが SG_CURRENT にアクセスできるようにするセキュリティ グループ ルールをグループ承認に追加します。

説明: 認可ポリシー: 許可、プロトコル タイプ: ALL、ポート: -1/-1、認可オブジェクト: SG_WEB、優先度: 実際の状況に応じてカスタマイズ [1-100]。

セキュリティ グループを新しいセキュリティ グループに切り替える必要があるインスタンス ECS_WEB_1 を追加します。

ECS コンソールで、[セキュリティ グループ管理] を選択します。

[SG_WEB] > [インスタンスの管理] > [インスタンスの追加] を選択し、インスタンス ECS_WEB_1 を選択して新しいセキュリティ グループ SG_WEB に参加させ、ECS_WEB_1 インスタンスのトラフィックとネットワークが適切に動作していることを確認します。

ECS_WEB_1 を元のセキュリティ グループから削除します。

ECS コンソールで、[セキュリティ グループ管理] を選択します。

[SG_CURRENT] > [インスタンスの管理] > インスタンスを削除し、ECS_WEB_1 を選択して、SG_CURRENT から削除し、ネットワーク接続をテストし、トラフィックとネットワークが適切に動作していることを確認します。

正しく動作しない場合は、ECS_WEB_1 をセキュリティ グループ SG_CURRENT に追加し直し、設定された SG_WEB 公開ポートが期待どおりかどうかを確認してから、変更を続けます。

他のサーバー セキュリティ グループの変更を実行します。

異なるアプリケーションは異なるセキュリティ グループを使用します

運用環境では、ほとんどの場合、異なるオペレーティング システムは同じアプリケーションに属しません。負荷分散サービスを提供します。異なるサービスを提供するということは、公開する必要があるポートと拒否されるポートが異なることを意味し、異なるオペレーティング システムを可能な限り異なるセキュリティ グループに所属させることをお勧めします。

たとえば、Linux オペレーティング システムの場合は、SSH を実装するために TCP (22) ポートを公開する必要がある場合があり、Windows の場合は、TCP (3389) リモート デスクトップ接続を開く必要がある場合があります。

異なるオペレーティング システムが異なるセキュリティ グループに属することに加え、同じイメージ タイプが異なるサービスを提供する場合でも、イントラネット経由でアクセスする必要がない場合は、異なるセキュリティ グループに属することが最善です。これにより、単一の責任を達成するための分離と将来のセキュリティ グループ ルールの変更が容易になります。

新しいアプリケーションを計画および追加する場合は、異なる仮想スイッチ構成サブネットの分割を検討することに加えて、セキュリティ グループも合理的に計画する必要があります。ネットワーク セグメント セキュリティ グループを使用して、サービス プロバイダーとコンシューマの間の境界として自分自身を制限します。

具体的な変更プロセスについては、上記の手順を参照してください。

運用環境とテスト環境は異なるセキュリティ グループを使用します

システムをより適切に分離するには、実際の開発プロセス中に、複数のテスト環境やオンライン環境を構築することも可能です。より合理的なネットワーク分離を実現するには、テスト環境の変更がオンラインで更新されてオンラインの安定性に影響を与えることを防ぐために、環境構成ごとに異なるセキュリティ ポリシーを使用する必要があります。

異なるセキュリティグループを作成することで、アプリケーションのアクセスドメインを制限し、本番環境とテスト環境が接続できないようにします。同時に、異なるセキュリティグループを異なるテスト環境に割り当てることもできるため、複数のテスト環境間の相互干渉を回避し、開発効率を向上させることができます。

パブリック ネットワーク IP は、パブリック ネットワーク アクセスが必要なサブネットまたはクラウド サーバーにのみ割り当てます

クラシック ネットワークかプライベート ネットワークかに関係なく ( VPC) その中で、パブリック ネットワーク IP を合理的に割り当てることで、システムのパブリック ネットワーク管理がより便利になり、システム攻撃のリスクが軽減されます。プライベート ネットワークのシナリオでは、仮想スイッチを作成するときに、監査と区別を容易にし、誤ってパブリックにさらされることを避けるために、パブリック ネットワーク アクセスを必要とするサービス エリアの IP 範囲を複数の固定スイッチ (サブネット CIDR) に配置することをお勧めします。ネットワークアクセス。

分散アプリケーションでは、ほとんどのアプリケーションに異なるレイヤーとグループがあります。パブリック ネットワーク アクセスを提供しないクラウド サーバーの場合、パブリック ネットワーク アクセスを提供するサーバーが複数ある場合は、パブリック ネットワーク IP を提供しないようにしてください。システムの可用性を向上させ、単一ポイントを回避するために、パブリック ネットワークにサービスを提供するようにパブリック ネットワーク トラフィック分散用のロード バランシング サービスを構成することをお勧めします。

パブリック ネットワーク アクセスを必要としないクラウド サーバーにはパブリック IP アドレスを割り当てないようにしてください。クラウド サーバーがプライベート ネットワーク内のパブリック ネットワークにアクセスする必要がある場合は、まず NAT ゲートウェイを使用して、VPC 内にパブリック IP を持たない ECS インスタンスにインターネットにアクセスするためのプロキシ サービスを提供することをお勧めします。対応する SNAT ルールを設定すると、特定の CIDR ネットワーク セグメントまたはサブネットにパブリック ネットワーク アクセス機能を提供できます。詳細な設定については、「SNAT」を参照してください。パブリック ネットワークにアクセスする機能のみが必要なため、パブリック IP (EIP) を割り当てた後は、サービスをパブリック ネットワークに公開しないでください。

最小原則

セキュリティ グループはホワイトリストに登録する必要があるため、可能な限り最小限のポートを開いて公開する必要があります。同時に、パブリック IP の割り当てを最小限に抑えます。タスク ログやエラーのトラブルシューティングのためにオンライン マシンにアクセスする場合は、パブリック IP を直接割り当てるか、EIP をマウントするのが簡単ですが、結局のところ、マシン全体がパブリック ネットワークに公開されて管理されることになるため、より安全な戦略となります。スプリングボードマシンを介して。

踏み台マシンの使用

踏み台マシンは、ツールを通じて監査記録を作成するだけでなく、大きな権限を持っています。プライベート ネットワークでは、スプリングボード マシンを専用の仮想スイッチに割り当て、それに対応する EIP または NAT ポート転送テーブルを提供することをお勧めします。

まず、Linux TCP (22) や Windows RDP (3389) などの対応するポートを開くなど、専用のセキュリティ グループ SG_BRIDGE を作成します。セキュリティ グループのネットワーク アクセス ルールを制限するために、企業のパブリック ネットワークの出口範囲にログインできる許可されたオブジェクトを制限し、ログインおよびスキャンされる可能性を減らすことができます。

次に、クラウド サーバーをスプリングボード マシンとしてセキュリティ グループに追加します。本機が対応するクラウドサーバーにアクセスできるようにするために、対応するグループ権限を設定できます。たとえば、SG_CURRENT にルールを追加して、SG_BRIDGE が特定のポートとプロトコルにアクセスできるようにします。

スプリングボード SSH を使用する場合は、パスワードではなく SSH キー ペアを使用してログインすることを優先することをお勧めします。

つまり、合理的なセキュリティ グループの計画を立てると、アプリケーションの拡張が容易になり、システムの安全性が高まります。

以上がさまざまなセキュリティ グループを適切に計画し区別する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。