弹性计算安全组最佳实践及新特性介绍

弹性核算安全组最佳实践及新特性介绍

内容简介:

一、 安全组简介

二、 根本操作

三、 最佳实践

一、安全组简介

（一） ECS 网络拜访操控

(一) 网络 ACL

l 交换机等级

l 黑名单

l 无状况

(二) 安全组

l 实例（弹性网卡）等级

l 白名单

l 有状况

l ECS( 或弹性网卡)有必要至少属于一个安全组

l 默认同组内实例能够相互拜访

l 能够装备规矩指定地址或组间相互拜访

二、根本操作

（一） 组的操作

l 创建、修正、删去

l 组内增加、删去实例(弹性网卡)

l 克隆组、替换组

（二） 规矩的操作

l 增加、修正、复制、删去

l 还原、导出导入

l ClassicLink

（三） 安全组规矩

1.CIDR

l 源地址: 192.168.0.0/24

l 源端口:悉数

l 意图端口: 22端口

l 协议: TCP

l 授权战略:答应

2.组组授权

l 源地址: sg-bp1 eborpqtcwqme

l 源端口:悉数

l 意图端口:悉数

l 协议:悉数

l 授权战略:回绝

3.五元组

l 源地址: 172.16.1.10

l 源端口:悉数

l 意图地址: 172.16.0.0/16

l 意图端口: 1723

l 传输层协议: TCP

l 授权战略:回绝

l 惯例网络拜访 4 元组能够胜任

l 5 元组是平台级网络产品的必选项

（四） 规矩装备建议

l 先规划:

安全组是从网络拜访的维度规划的事务人物，组内实例则是人物扮演者。单一职责，实例不能扮演过多人物，因而不行加入太多组。

l 运用白名单:

阿里云为了确保租户实例安全，入方向默认全 drop

l 慎用 0.0.0.0/0:

它表示不受限拜访，当你的实例有公网拜访才能时，相当于把你的大门向所有人敞开

l 规矩最小化原则:

有公网才能的组，为了确保实例安全，精细化操控入规矩

l 尽量运用 cidr 段:

假如的确被授权目标有批量特征，并且地址段连续，那么尽量运用  cidr 段，而不是单个 ip

l 不约束协议用 all:

这样能够尽量削减规矩数量，更容易维护

l 维护好每一条规矩:

安全组规矩是实例最重要的系统装备之一-,有必要谨慎对待，增加规矩要进行备注。此外，当实例释放，ip修正等动作发生时，请查看安全组内是否有无效规矩，并及时清理