이 글에서는 보안 그룹의 네트워크 접근 규칙을 구성하는 방법과 보안 그룹과 관련된 정보를 소개하고, 구체적인 단계를 중심으로 내용이 매우 간략하게 설명되어 있으므로 인내심을 가지고 공부하시기 바랍니다.
클라우드 보안 그룹은 단일 또는 다중 ECS 인스턴스에 대한 네트워크 액세스 제어를 설정하는 데 사용되는 가상 방화벽과 유사한 기능을 제공합니다. 이는 보안 격리의 중요한 수단입니다. ECS 인스턴스를 생성할 때 보안 그룹을 선택해야 합니다. 또한 보안 그룹 규칙을 추가하여 특정 보안 그룹에 속한 모든 ECS 인스턴스의 아웃바운드 및 인바운드 네트워크를 제어할 수도 있습니다.
이 글에서는 주로 보안 그룹의 네트워크 접근 규칙을 구성하는 방법을 소개합니다.
보안 그룹 관련 정보
보안 그룹의 네트워크 접근 규칙을 구성하기 전에 다음 보안 그룹 관련 정보를 이미 알고 있어야 합니다.
보안 그룹 제한 사항
보안 그룹 기본 규칙
보안 그룹을 방향으로 설정 접근 권한
보안 그룹 외부 방향 접근 권한 설정
보안 그룹 실습을 위한 기본 제안
보안 그룹 실습을 시작하기 전에 몇 가지 기본 제안 사항은 다음과 같습니다.
가장 중요한 규칙: 보안 그룹은 다음과 같습니다. 화이트리스트로 사용됩니다.
애플리케이션 액세스 규칙을 열 때 "최소 인증" 원칙을 따라야 합니다. 예를 들어 특정 포트(예: 포트 80)를 열도록 선택할 수 있습니다.
하나의 보안 그룹을 사용하여 모든 애플리케이션을 관리하면 안 됩니다. 계층마다 요구 사항이 다르기 때문입니다.
분산 애플리케이션의 경우 다양한 애플리케이션 유형은 서로 다른 보안 그룹을 사용해야 합니다. 예를 들어 웹, 서비스, 데이터베이스 및 캐시 계층에 대해 서로 다른 보안 그룹을 사용하여 다양한 액세스 규칙과 권한을 노출해야 합니다.
관리 비용을 통제하기 위해 인스턴스별로 별도의 보안 그룹을 설정할 필요가 없습니다.
VPC 네트워크의 우선순위를 지정하세요.
공용 네트워크 액세스가 필요하지 않은 리소스는 공용 네트워크 IP를 제공하면 안 됩니다.
단일 보안 그룹의 규칙을 최대한 단순하게 유지하세요. 인스턴스는 최대 5개의 보안 그룹에 가입할 수 있고 보안 그룹은 최대 100개의 보안 그룹 규칙을 포함할 수 있으므로 인스턴스에는 동시에 수백 개의 보안 그룹 규칙이 적용될 수 있습니다. 할당된 모든 보안 규칙을 집계하여 유입 허용 또는 체류 허용 여부를 결정할 수 있지만, 개별 보안 그룹 규칙이 복잡하면 관리 복잡성이 증가합니다. 따라서 단일 보안 그룹에 대한 규칙을 최대한 단순하게 유지하십시오.
온라인 보안그룹의 출입 규칙을 조정하는 것은 상대적으로 위험한 행동입니다. 확실하지 않은 경우 보안 그룹 액세스 규칙 설정을 업데이트하지 마십시오. Alibaba Cloud의 콘솔은 보안 그룹 및 보안 그룹 규칙을 복제하는 기능을 제공합니다. 온라인 보안 그룹 및 규칙을 수정하려면 먼저 보안 그룹을 복제한 다음 복제된 보안 그룹에서 디버그하여 온라인 애플리케이션에 직접적인 영향을 미치지 않도록 해야 합니다.
보안 그룹에 대한 네트워크 액세스 규칙 설정
다음은 보안 그룹에 대한 네트워크 액세스 규칙에 대한 실용적인 제안 사항입니다.
0.0.0.0/0 네트워크 액세스 규칙을 사용하지 마세요
모든 네트워크 액세스를 허용하는 것은 흔한 실수입니다. 0.0.0.0/0을 사용한다는 것은 모든 포트가 외부에 노출된다는 의미입니다. 이것은 매우 안전하지 않습니다. 올바른 접근 방식은 먼저 모든 포트가 외부 세계로 개방되는 것을 거부하는 것입니다. 액세스하려면 보안 그룹을 화이트리스트에 추가해야 합니다. 예를 들어 웹 서비스를 노출해야 하는 경우 기본적으로 80, 8080, 443과 같은 일반 TCP 포트만 열고 다른 포트는 닫혀 있으면 됩니다.
{ "IpProtocol" : "tcp", "FromPort" : "80", "ToPort" : "80", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} , { "IpProtocol" : "tcp", "FromPort" : "8080", "ToPort" : "8080", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} , { "IpProtocol" : "tcp", "FromPort" : "443", "ToPort" : "443", "SourceCidrIp" : "0.0.0.0/0", "Policy": "accept"} ,
불필요한 네트워크 액세스 규칙을 끄세요
현재 사용 중인 액세스 규칙에 이미 0.0.0.0/0이 포함되어 있는 경우 애플리케이션이 외부 세계에 노출되어야 하는 포트와 서비스를 다시 검사해야 합니다. 특정 포트가 외부 세계에 직접 서비스를 제공하는 것을 원하지 않는 경우 거부 규칙을 추가할 수 있습니다. 예를 들어 서버에 MySQL 데이터베이스 서비스가 설치되어 있는 경우 기본적으로 포트 3306을 공용 네트워크에 노출해서는 안 됩니다. 이때 아래와 같이 거부 규칙을 추가하고 우선순위를 100으로 설정할 수 있습니다. 가장 낮은 우선순위.
{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceCidrIp" : "0.0.0.0/0", "Policy": "drop", Priority: 100} ,
위의 조정으로 인해 모든 포트가 포트 3306에 액세스할 수 없게 되어 정상적인 비즈니스 요구가 발생할 가능성이 높습니다. 이때 수신 규칙 액세스를 위해 다른 보안 그룹의 리소스에 권한을 부여할 수 있습니다.
다른 보안 그룹에 네트워크 액세스 권한을 부여합니다.
다양한 보안 그룹은 최소 원칙에 따라 해당 액세스 규칙을 엽니다. 서로 다른 애플리케이션 계층에는 서로 다른 보안 그룹을 사용해야 하며, 서로 다른 보안 그룹에는 해당 액세스 규칙이 있어야 합니다.
예를 들어 분산 애플리케이션인 경우 서로 다른 보안 그룹을 구분하게 됩니다. 그러나 서로 다른 보안 그룹은 네트워크 액세스가 불가능할 수 있습니다. 이때 IP 또는 CIDR 네트워크 세그먼트를 직접 승인해서는 안 되며, 다른 보안 그룹을 직접 승인해야 합니다. 보안 그룹 ID. 모든 리소스에 직접 액세스할 수 있습니다. 예를 들어, 애플리케이션은 웹 및 데이터베이스에 대해 sg-web 및 sg-database라는 서로 다른 보안 그룹을 생성합니다. sg-database에서 다음 규칙을 추가하여 sg-web 보안 그룹의 모든 리소스에 3306 포트에 액세스할 수 있는 권한을 부여할 수 있습니다.
{ "IpProtocol" : "tcp", "FromPort" : "3306", "ToPort" : "3306", "SourceGroupId" : "sg-web", "Policy": "accept", Priority: 2} ,
네트워크에 액세스하려면 다른 CIDR을 승인하세요.
클래식 네트워크에서는 네트워크 세그먼트를 제어할 수 없으므로 보안 그룹 ID를 사용하여 네트워크 액세스 규칙을 승인하는 것이 좋습니다.
VPC 网络中,您可以自己通过不同的 VSwitch 设置不同的 IP 域,规划 IP 地址。所以,在 VPC 网络中,您可以默认拒绝所有的访问,再授信自己的专有网络的网段访问,直接授信可以相信的 CIDR 网段。
{ "IpProtocol" : "icmp", "FromPort" : "-1", "ToPort" : "-1", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} , { "IpProtocol" : "tcp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} , { "IpProtocol" : "udp", "FromPort" : "0", "ToPort" : "65535", "SourceCidrIp" : "10.0.0.0/24", Priority: 2} ,
变更安全组规则步骤和说明
变更安全组规则可能会影响您的实例间的网络通信。为了保证必要的网络通信不受影响,您应先尝试以下方法放行必要的实例,再执行安全组策略收紧变更。
注意:执行收紧变更后,应观察一段时间,确认业务应用无异常后再执行其它必要的变更。
新建一个安全组,将需要互通访问的实例加入这个安全组,再执行变更操作。
如果授权类型为 安全组访问,则将需要互通访问的对端实例所绑定的安全组 ID 添加为授权对象;
如果授权类型为 地址段访问,则将需要互通访问的对端实例内网 IP 添加为授权对象。
위 내용은 보안 그룹의 네트워크 접근 규칙 및 보안 그룹 관련 정보를 구성하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!