云服务器ECS安全组实践(二)

最新推荐文章于 2024-01-26 16:30:13 发布
最新推荐文章于 2024-01-26 16:30:13 发布
阅读量261 收藏
点赞数
文章标签: python 数据库 网络
原文链接:https://yq.aliyun.com/articles/71050
版权

云服务器ECS安全组实践(一)中我们简单介绍了安全组的一些规则和约束和实践,在创建一台云服务的时候,它作为几个必选参数之一,可见它的重要性。本文将继续安全组的介绍,本篇涉及到下面的几个内容:

阿里云的网络类型分为经典网络和VPC,他们对安全组支持不同的设置规则。对于经典网络你可以设置下面的几个规则: 内网入方向、内网出方向、公网入方向、公网出方向。对于VPC网络可以设置: 内网入方向、内网出方向。

在开始本篇之前描述几个安全组内网通讯的概念:

  • 默认情况下只有同一个安全组的机器可以网络互通,即便同一个用户的两个安全组的机器内网网络也不通。这个对于经典网络和VPC网络都适用。所以经典网络的云服务器也是内网安全的。

  • 如果您的非同一个安全组的两台云服务网络内网可以互通而这又不符合您的预期,请检查您的安全组内网规则设置。如果内网协议存在下面的协议,建议您重新设置。如果是经典网络这样会导致您的内网暴漏给其它的访问。

    • 允许所有端口
    • 授权对象为CIDR网段 (SourceCidrIp): 0.0.0.0/0 或者 10.0.0.0/8的规则
  • 如果资源创建在不同的安全组内,想实现网络互通就需要通过安全组进行授权。对于内网访问,我们建议您使用源安全组授权不要使用CIDR网段。

安全规则主要是描述不同的访问权限,主要有下面的属性:

  • Policy: 授权策略 accept or drop
  • Priority: 优先级根据创建的时间降序排序匹配。规则优先级可选范围为1-100,默认值为1,即最高优先级。数字越大,代表优先级越低。
  • NicType:当对安全组进行相互授权时(即指定了SourceGroupId且没有指定SourceCidrIp),必须指定NicType为intranet。

  • 规则描述,通过安全组授权,NicType只能选择intranet,和通过CIDR授权只能二选一

    • SourceGroupId: 通过安全组,默认对SourceCidrIp授权
    • IpProtocol: tcp | udp | icmp | gre | all
    • PortRange: 例如 80/80
    • SourceGroupOwnerAccount 非可选,仅为跨帐号授权的时候

  • 通过CIDR授权规则:

    • SourceCidrIp: CIDR的网段
    • IpProtocol: tcp | udp | icmp | gre | all
    • PortRange: 例如 80/80
    • SourceGroupOwnerAccount 非可选,仅为跨帐号授权的时候
授权一条入网请求规则

当在控制台或者API创建一个安全组,是不存在任何的安全规则,意味着默认情况下您的入网请求全部是拒绝的。所以您要适度的配置您的入网规则。

如果需要开启公网的80端口对外提供HTTP服务,由于公网访问,我们期望的是入网尽可能多访问,所以在IP网段上不做限制,设置为 0.0.0.0/0。可以参考下面的属性,括号外为控制台参数,括号内为OpenApi参数,两者相同就不做区分。

  • 网卡类型(NicType):公网(internet)如果是VPC类型的只需要填写intranet, 通过EIP实现
  • 授权策略(Policy):允许(accept)
  • 规则方向(NicType):入网
  • 协议类型(IpProtocol):TCP(tcp)
  • 端口范围(PortRange):80/80
  • 授权对象(SourceCidrIp): 0.0.0.0/0
  • 优先级(Priority): 1

上面的建议仅对公网有效,内网请求严格不建议使用CIDR网段,请参加下文

禁止一个入网请求规则

禁止一条规则就比较简单。只需要配置一条拒绝策略,但是同时设置较低的优先级即可,这样当需要的时候您可以通过配置其它的高优先级的规则覆盖这条规则即可。例如下面就设置了拒绝6379端口被访问。

  • 网卡类型(NicType):内网(intranet)
  • 授权策略(Policy):拒绝(drop)
  • 规则方向(NicType):入网
  • 协议类型(IpProtocol):TCP(tcp)
  • 端口范围(PortRange):6379/6379
  • 授权对象(SourceCidrIp): 0.0.0.0/0
  • 优先级(Priority): 100
经典网络的内网安全组规则不要使用CIDR或者IP授权

对于经典网络的服务器,阿里云默认不开启任何内网的入规则。内网的授权一定要谨慎。为了安全考虑,非常不建议开启任何基于CIDR网段的授权,对于弹性计算来说内网的IP经常变化的,其次这个IP的网段是没有规律的,所以对于经典网络的内网我们只建议您通过安全组授权内网的访问。

例如您在安全组 sg-redis上构建了一个redis的集群,为了只允许特定的机器访问这个redis的服务器编组,例如 sg-web,您不需要配置任何的CIDR,只需要添加一条入规则即可,指定相关的安全组id即可。

  • 网卡类型(NicType):内网(intranet)
  • 授权策略(Policy):允许(accept)
  • 规则方向(NicType):入网
  • 协议类型(IpProtocol):TCP(tcp)
  • 端口范围(PortRange):6379/6379
  • 授权对象(SourceGroupId): sg-web
  • 优先级(Priority): 1

对于VPC类型的如果您已经通过多个VSwitch规划好了自己IP范围设置,您可以通过CIDR设置,但是如果您的VPC网段不够清晰的话也建议优先考虑使用安全组作为入规则。

将需要互相通信的云服务器加入同一个安全组

在上一篇中我们提到,一个云服务器最多可以属于5个安全组。还有一条原则是同一安全组之间的云服务器是网络互通的,如果您在规划的时候已经有多个安全组,而直接设置多个安全规则过于复杂的话,您可以选择需要内网通信的机器,将它们加入同一个安全组即可。

安全组是区分网络类型的,对于一个经典类型的云服务器只可以选择加入经典网络的安全组,对于VPC类型的云服务器只可以加入本VPC的安全组。

这里也不建议您将所有的云服务器都加入一个安全组,将会使得您的安全组规则设置变成梦魇。对于一个中大型应用来说,每个服务器编组的角色不同,要合理的规划自己的入方向请求和出方向请求是非常有必要的。

加入一个安全组非常简单,您可以在控制台选择一个云服务器,然后点击更多->选择安全组管理即可,或者选择实例详情,进入本实例安全组查看进行操作。

如果您对阿里云的OpenApi非常熟悉,您可以参考使用OpenApi弹性管理云服务器ECS,您可以通过OpenApi方便的进行批量操作, 对应的python片段如下:

def join_sg(sg_id, instance_id):
    request = JoinSecurityGroupRequest()
    request.set_InstanceId(instance_id)
    request.set_SecurityGroupId(sg_id)
    response = _send_request(request)
    return response

# send open api request
def _send_request(request):
    request.set_accept_format('json')
    try:
        response_str = clt.do_action(request)
        logging.info(response_str)
        response_detail = json.loads(response_str)
        return response_detail
    except Exception as e:
        logging.error(e)
将云服务器移除安全组

如果云服务器加入不合适的安全组,将会导致暴漏或者Block您的服务,这个时候你可以选择将服务器从这个安全组中移除。由于云服务器必须属于一个安全组,您需要另外一个安全组。

加入一个安全组非常简单,您可以在控制台选择一个云服务器,然后更多->选择安全组管理即可,或者选择实例详情,进入本实例安全组查看进行操作。

将云服务器从安全组移出,将会导致这个云服务器和当前安全组内的网络不通,建议您做好充分的测试。

对应的python片段如下

def leave_sg(sg_id, instance_id):
    request = LeaveSecurityGroupRequest()
    request.set_InstanceId(instance_id)
    request.set_SecurityGroupId(sg_id)
    response = _send_request(request)
    return response

# send open api request
def _send_request(request):
    request.set_accept_format('json')
    try:
        response_str = clt.do_action(request)
        logging.info(response_str)
        response_detail = json.loads(response_str)
        return response_detail
    except Exception as e:
        logging.error(e)
定义合理的安全组名称和TAG

合理的安全组名称和描述非常有助于您快速的识别当前的复杂的规则的组合含义。所以您可以在通过修改名称和描述来,同时安全组也支持TAG标签来设置。您可以通过TAG来分组管理自己的安全组。您可以在控制台直接设置,或者通过API来设置TAG

删除不需要的安全组

我们提到,安全组中的安全规则类似于一条条的白名单和黑名单。对于不需要的安全组请不要保留,以免错误的加入某个云服务器而造成不必要的麻烦。

weixin_33862993
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
掌握云服务器ECS.zip
07-08
在当前数字化时代,云服务器ECS(Elastic Compute Service)已成为企业和个人开发者不可或缺的基础设施。云服务器ECS是一种基于互联网的计算服务,它允许用户在无需购买和维护硬件设备的情况下,快速获取并运行可...
阿里云 专有云企业版 V3.8.2 云服务器ECS 安全白皮书 20200417.pdf
06-15
阿里云专有云企业版V3.8.2云服务器ECS安全白皮书主要涵盖了阿里云在构建专有云环境中的安全设计理念、措施和策略,旨在为用户提供一个安全、可靠的云计算服务。以下是对其中关键知识点的详细说明: 1. **法律声明**...
安全授权对象设置
缘来侍你的博客
08-12 616
所有IP0.0.0.0/0 A级段192.168.1.1/8 表示192.0.0.0-192.255.255.255 对应子网掩码格式192.168.1.1/255.0.0.0 B级段192.168.1.1/16 表示192.168.0.0-192.168.255.255 对应子网掩码格式192.168.1.1/255.255.0.0 C级段192.168.1.1/24 表示192.168.1.0-192.168.1.255 对应子...
【其他】阿里云安全规则授权对象设置为固定IP段访问
橘足轻重的博客
11-19 1879
用CIDR网段格式
阿里云端口json
weixin_44067108的博客
11-04 331
[{“SourceGroupId”:"",“Policy”:“Accept”,“Description”:"",“SourcePortRange”:"",“Priority”:1,“CreateTime”:“2020-09-23T08:07:58Z”,“Ipv6SourceCidrIp”:"",“NicType”:“intranet”,“DestGroupId”:"",“Direction”:“ingress”,“SourceGroupName”:"",“PortRange”:“18088/18088”,“
阿里云服务器端口授权对象设置自定ip访问
GUYyyy的博客
10-14 3368
安全配置 首先了解下CIDR: 示例一:CIDR格式换算为IP地址网段 例如10.0.0.0/8,换算为32位进制地址:00001010.00000000.00000000.00000000。其中/8表示8位网络ID,即32位进制地址中前8位是固定不变的,对应网段为:00001010.00000000.00000000.00000000-00001010.11111111.11111111.11111111。则换算为十进制后,10.0.0.0/8表示:子网掩码为255.0.0.0,对应网段为10.
记录一次Doris的BE启动失败的问题
最新发布
Nicoleyuan666的博客
01-26 561
昨晚上在麒麟机器上安装doris,刚开始一切都很正常,但是在启动BE的时候报错了,看了be.out 日志后,发现报错。刚开始以为是我的ip写错了,反复检查,没发现ip写错,但是;
阿里云ECS服务器入门使用流程(新手必看教程)
09-14
注册并登录阿里云账号后,进入控制台,找到云服务器ECS的服务页面。通过实例管理,你可以查看服务器状态、配置信息等。初次接触可能会觉得界面复杂,但通过左侧菜单导航,可以快速定位到云服务器相关功能。 三、...
阿里云 专有云企业版 V3.9.0 云服务器 ECS 运维指南 20191017.pdf
06-16
总体而言,阿里云专有云企业版V3.9.0云服务器ECS运维指南是一份详尽的操作手册,它不仅提供了ECS运维的基础知识,还包含了丰富的实践经验和技巧,旨在帮助用户更好地利用阿里云的云服务器服务,实现业务的稳定运行和...
阿里云 专有云企业版 V3.8.2 云服务器ECS 产品简介 20200417.pdf
06-15
阿里云专有云企业版V3.8.2的云服务器ECS是为企业级客户设计的一款高度可定制化的云计算服务。这款产品集成了阿里云的先进技术,提供了强大的计算能力和存储性能,旨在满足企业对于高性能、高可用性和安全性的需求。 ...
云服务器 ECS 安全:ECS安全实践(一)
weixin_34320159的博客
08-10 440
ECS安全实践(一) 在云端安全提供类似虚拟防火墙功能,用于设置单个或多个 ECS 实例的网络访问控制,是重要的安全隔离手段。创建 ECS 实例时,您必须选择一个安全。您还可以添加安全规则,对某个安全下的所有 ECS 实例的出方向和入方向进行网络控制。 本文主要介绍如何配置安全的入网规则。 安全相关的信息 在配置安全的入网规则之前,...
解析CIDR
mojolang
10-09 6074
需求:给定一个ip:172.28.68.0和一个CIDR格式的ip配置项ipConfig="172.28.64.0/22,172.28.72.11;172.16.0.0/12,172.28.80.27",判断该IP是在哪个cidr表示的地址段,并获取cidr格式后面的一个ip地址。     首先,要对cidr表示法要有所了解。     例如:172.28.64.0/22表示前22位不变,
连接安装在阿里云服务器的Zookeeper
haroroc的博客
11-17 1621
简介         最近为了方便一些件的使用,所以在阿里云买了云服务器。由于是新接触云服务器,所以在使用Zookeeper的时候遇到一些问题,由于我是将Zookeeper安装在阿里云服务器上,然后通过外网IP去获取Zookeeper的服务。         但是在使用过程中,IDEA一直连不上Zookeeper服务,导致我的项目的Dubbo也使用
云服务器安全配置(阿里云,ucloud云,华为云)
chuanchengdabing的博客
08-12 2351
一、阿里云 安全配置 1、登录阿里云控制台,选择左侧的安全菜单 2、点击当前安全名称,进行安全配置页面 3、进入安全配置界面左侧点“手动添加”,添加具体防火墙规则 端口/范围:1-65535 开始端口-结束端口。比如:80 表示放行行端口 80。 授权对象:如:12.1.1.1 或 13.1.1.1/25。比如:0.0.0.0/0 表示允许所有 IP 、ucloud 安全配置 1、登录ucloud云控制台,选择基础网络菜单 2、点击外网防火墙菜单,创建自定义防火墙,并且添加相关防火墙规
阿里云安全规则授权对象设置为固定IP段访问
chenrui310的博客
01-13 1735
但是,问题来了,我们家庭使用的宽带网络的ip地址并不是唯一的,同时几百个人共享一个ip也是可能的,这就意味着我们之前填入的ip地址是会不停变化的,我们之前的ip是123.123.123.123,可能过了两天就变成了123.123.122.111,同时,我们授权的那个ip地址和现在的ip不符,于是我们就无法访问这个端口了。需求是,只让本地某个段ip去访问地址,其他不能访问网站,逻辑是通过,域名的端口设置,再添加端口的安全规则去规定ip端限制。我们之前所用的0.0.0.0/0就是这个格式,他代表着全部的ip。
易出错的CIDR(ip地址,子网掩码,广播地址)
crazyfox的博客
08-12 576
1.问题:求CIDR为16.158.165.91/22的这个网络网络号,第一个地址,子网掩码,广播地址 这里由于22不是8的倍速,需要对165进行进制分解,为[10100101],因此网络号为16.158.[101001],也就是16.158.41,机器号是[01].91,也就是2.91 1.1 第一个地址 因此第一个地址为16.158.[101001][00].1也就是16.158.164.1 1.2 子网掩码 子网掩码为255.255.[111111][00].0,也就是255.255
云服务器ECS安全
weixin_35754962的博客
02-01 548
ECS安全云服务器ECS的一项安全功能,它可以帮助用户限制对云服务器的访问权限,从而提高云服务器安全性。通过ECS安全,用户可以控制外部对云服务器的访问,并可以防止黑客和其他恶意软件对云服务器造成威胁。 ...
阿里云 Centos7 安装PostgreSQL教程
极客星云-CSDN博客
12-26 2417
阿里云 Centos7 安装PostgreSQL教程
ECS弹性云服务器常用端口、安全
coco3600的博客
07-10 1120
弹性云服务器常用端口 弹性云服务器常用端口如 表1 所示。您可以通过配置安全规则放通弹性云服务器对应的端口,详情请参见 添加安全规则 。 ...
07-最佳实践ECS-best-practices-cn-zh-2018-05-10
03-25
本资源是一篇关于"云服务器ECS最佳实践"的指南,发布于2018年5月10日。文章着重介绍了在使用阿里云ECS(弹性计算服务)时的关键安全实践安全作为ECS实例的虚拟防火墙,是实现网络访问控制的重要手段,用户在创建...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值