安全組概述
安全組是一種虛擬防火墻,能夠控制ECS實(shí)例的出入站流量。安全組的入方向規(guī)則控制ECS實(shí)例的入站流量,出方向規(guī)則控制ECS實(shí)例的出站流量。
創(chuàng)建ECS實(shí)例時,您可以指定一個或多個安全組。如果您創(chuàng)建ECS實(shí)例時未指定安全組,將使用默認(rèn)安全組。在決定ECS實(shí)例的流量能否通過時,與ECS實(shí)例關(guān)聯(lián)的多個安全組的規(guī)則,將按固定的策略排序,共同生效。
您可以為安全組新增規(guī)則,修改或刪除已有規(guī)則,這些規(guī)則變動會自動地作用于安全組中的所有ECS實(shí)例。更多信息,請參見安全組規(guī)則。您可以隨時修改ECS實(shí)例關(guān)聯(lián)的安全組,修改后安全組的規(guī)則將會自動地作用于ECS實(shí)例。ECS實(shí)例關(guān)聯(lián)的安全組,其規(guī)則作用于ECS實(shí)例的主網(wǎng)卡。專有網(wǎng)絡(luò)ECS實(shí)例的其他彈性網(wǎng)卡,可以指定與主網(wǎng)卡不同的安全組。在專有網(wǎng)絡(luò)VPC下,安全組僅能在所屬的VPC下使用,在創(chuàng)建VPC網(wǎng)絡(luò)下的ECS實(shí)例時,您指定的虛擬交換機(jī)和安全組,必須屬于同一個VPC。
組內(nèi)互通和授權(quán)安全組訪問,是安全組提供的兩項重要特性。組內(nèi)互通,是指安全組內(nèi)的ECS實(shí)例內(nèi)網(wǎng)互通。授權(quán)安全組訪問,是指您可以添加授權(quán)對象為安全組的安全組規(guī)則,從而允許或拒絕另一個安全組中的ECS實(shí)例,通過內(nèi)網(wǎng)訪問該安全組中的ECS實(shí)例。安全組分為普通安全組和企業(yè)級安全組兩種類型,兩者均免費(fèi),適用于不同的使用場景。普通安全組支持組內(nèi)互通功能,支持添加授權(quán)安全組訪問的規(guī)則,但可容納的私網(wǎng)IP數(shù)量小于企業(yè)級安全組。企業(yè)級安全組可以容納更多的私網(wǎng)IP地址數(shù)量,但不支持組內(nèi)互通功能,也不支持添加授權(quán)安全組訪問的規(guī)則。在ECS實(shí)例關(guān)聯(lián)到多個安全組時,同一塊網(wǎng)卡只能使用一種類型的安全組。建議您根據(jù)自己的使用需求來選擇安全組類型。更多信息,請參見普通安全組與企業(yè)級安全組。
在您使用DescribeSecurityGroups接口查詢到安全組的ServiceManaged屬性為True,或使用控制臺看到安全組有類似云產(chǎn)品托管的安全組不支持修改操作的提示時,表示該安全組為托管安全組。托管安全組屬于用戶賬號,但操作權(quán)限屬于云產(chǎn)品,用戶僅能查看不能操作。更多信息,請參見托管安全組。
在您使用DeleteSecurityGroup接口刪除安全組時返回錯誤碼InvalidOperation.DeletionProtection,或使用控制臺刪除安全組看到類似刪除保護(hù)的提示時,說明該安全組開啟了刪除保護(hù)功能。在您創(chuàng)建ACK集群時,關(guān)聯(lián)的安全組會開啟刪除保護(hù)功能,來防止誤刪除。刪除保護(hù)功能無法手動關(guān)閉,只有在刪除了關(guān)聯(lián)的ACK集群后,才能夠自動關(guān)閉。更多信息,請參見關(guān)閉安全組刪除保護(hù)。
合理使用安全組可以有效提高實(shí)例的安全性,但提高實(shí)例安全性是一項系統(tǒng)的工作,您還可以結(jié)合更多其他做法。更多信息,請參見云服務(wù)器ECS安全性。
安全組使用的最佳實(shí)踐
關(guān)于安全組的使用,為您提供以下最佳實(shí)踐建議:
規(guī)劃
您可以為安全組設(shè)置名稱、描述,也可以設(shè)置安全組的標(biāo)簽、資源組,便于進(jìn)行分類運(yùn)維。建議您合理設(shè)置這些信息,方便快速識別安全組的用途,在管理較多安全組時更加清晰。
以白名單的方式使用安全組
即默認(rèn)拒絕所有訪問,添加允許規(guī)則來放通指定的端口范圍和授權(quán)對象。
添加安全組規(guī)則時遵循最小授權(quán)原則
例如,開放Linux實(shí)例的22端口用于遠(yuǎn)程登錄時,建議僅允許特定的IP訪問,而非所有IP(
0.0.0.0/0)。遵循最小權(quán)限原則
在不需要普通安全組內(nèi)ECS實(shí)例互相內(nèi)網(wǎng)互通時,將普通安全組的組內(nèi)連通策略設(shè)置為組內(nèi)隔離。
盡量保持單個安全組內(nèi)規(guī)則的簡潔
按照用途將規(guī)則維護(hù)在多個安全組中,并將實(shí)例關(guān)聯(lián)到這些安全組。單個安全組的規(guī)則數(shù)量過多,會增加管理復(fù)雜度。安全組規(guī)則的健康檢查,提供了檢測單個安全組冗余規(guī)則的能力,詳情請參見查看安全組是否存在冗余規(guī)則。
不同類型應(yīng)用的實(shí)例加入不同的安全組,分別維護(hù)安全組規(guī)則
例如,將允許公網(wǎng)訪問的實(shí)例關(guān)聯(lián)到同一個安全組,僅放通對外提供服務(wù)的端口,例如80、443等,默認(rèn)拒絕其他所有訪問。避免在允許公網(wǎng)訪問的實(shí)例上提供其他服務(wù),例如MySQL、Redis等,建議將內(nèi)部服務(wù)部署在不允許公網(wǎng)訪問的實(shí)例上,并關(guān)聯(lián)其他的安全組。
避免直接修改線上環(huán)境使用的安全組
可以先克隆一個安全組在測試環(huán)境調(diào)試,確保修改后實(shí)例流量正常,再對線上環(huán)境的安全組規(guī)則進(jìn)行修改。
如果您需要檢測ECS常用端口是否被安全組規(guī)則放行,或者檢測安全組規(guī)則是否允許特定IP與ECS網(wǎng)卡單向訪問,您可以在自助問題排查下的安全組規(guī)則檢測頁簽完成操作。具體操作,請參見安全組規(guī)則檢測。
ECS實(shí)例關(guān)聯(lián)了多個安全組,需要查看ECS實(shí)例的入方向或出方向的全部規(guī)則時,請參見查看ECS實(shí)例已加入的所有安全組中的規(guī)則。
安全組操作指引
使用控制臺
使用API
創(chuàng)建安全組:CreateSecurityGroup
查詢安全組:DescribeSecurityGroups
添加安全組規(guī)則:
使用AuthorizeSecurityGroup添加入方向安全組規(guī)則
使用AuthorizeSecurityGroupEgress添加出方向安全組規(guī)則
查詢安全組規(guī)則:DescribeSecurityGroupAttribute
修改安全組規(guī)則:
使用ModifySecurityGroupRule修改入方向安全組規(guī)則
使用ModifySecurityGroupEgressRule修改出方向安全組規(guī)則
刪除安全組規(guī)則:
使用RevokeSecurityGroup刪除入方向規(guī)則
使用RevokeSecurityGroupEgress刪除出方向規(guī)則
修改普通安全組的組內(nèi)連通策略:ModifySecurityGroupPolicy
刪除安全組:DeleteSecurityGroup
安全組與ECS實(shí)例、彈性網(wǎng)卡關(guān)聯(lián)的管理:
使用全量替換方式
使用ModifyInstanceAttribute替換專有網(wǎng)絡(luò)ECS實(shí)例的安全組
使用ModifyNetworkInterfaceAttribute替換彈性網(wǎng)卡的安全組
使用增量添加/移除方式
使用JoinSecurityGroup將一臺ECS實(shí)例或彈性網(wǎng)卡關(guān)聯(lián)到指定的安全組
使用LeaveSecurityGroup將一臺ECS實(shí)例或彈性網(wǎng)卡與指定的安全組解除關(guān)聯(lián)
修改安全組名稱或描述:ModifySecurityGroupAttribute
更多信息
安全組配額相關(guān)信息,請參見安全組使用限制。
視頻形式的安全組介紹,請參見小助手系列之如何使用安全組。