前言
安全組是阿裡雲服務安全領域一個重要的概念。安全組是一種虛拟防火牆,具備狀态檢測和資料包過濾功能,用于在雲端劃分安全域。可以通過配置安全組規則,允許或禁止安全組内的ECS執行個體對公網或私網的通路。
目前很多使用安全組的工程師都知道,在建立了安全組以後,需要配置入方向和出方向的規則,用于控制是允許或拒絕某些特定IP段對安全組内資源的通路。但很多工程師不知道這個安全組的組的概念,以及對安全組通路的授權類型的了解。很多工程師隻建立一個安全組或隻使用預設的安全組,這樣給安全組規則的管理帶來一定的複雜性,同時也帶來一定的安全風險。
下圖是大家經常使用的場景,多個不同類型的執行個體使用相同的安全組,針對不同執行個體的通路分别設定通路規則。
下面會給大家介紹一下安全組的組的概念,以及如何按層級設計使用安全組。
安全組的特性
安全組有以下幾個特性:
- 同一安全組内的執行個體之間預設内網網絡互通,不同安全組的執行個體之間預設内網不通。
- 可以通過安全組規則授權兩個安全組之間互訪。
實驗1:同一安全組内的執行個體通路需要添加安全組通路規則嗎?
Step 1: 建立安全組,命名為sg-test, 不建立任何規則;
Step 2:啟動2台ECS A和B,同時都加入到安全組sg-test;
Step 3:登入到ECS A上,ping B的内網位址,可以ping 通;
Step 4:給ECS B加一個彈性IP;
Step 5:在ECS A上ping B的外網位址,不通!
Step 6: 給安全組sg-test加一條通路規則,允許ECS A的通路;
Step 7: 再次在ECS A上ping B,可以ping 通。
從上面測試步驟和結果,我們驗證了同一個安全組内的執行個體之間是可以互相通路的,并且不需要設定任何通路規則。如果是通過外網通路,需要設定通路規則。
實驗2:通過安全組規則授權實作一個安全組内的執行個體通路另外一個安全組
Step 1:建立安全組sg-1,sg-2,不加任何通路規則;
Step 2:将ECS A加入到安全組sg-1,将ECS B加入到sg-2;
Step 3:登入到ECS A,ping B。現在結果是不通的!
Step 4:在sg-2中添加安全組規則,協定類型選擇全部ICMP(IPv4),授權類型選擇安全組通路,授權對象選擇sg-1,這時sg-1裡面沒有添加任何安全組規則;
Step 5:這時在ECS A上再次ping B,可以ping 通!
此實驗描述了如何進行安全組之間的授權,即允許一個安全組内的執行個體通路另一個安全組内的執行個體。
安全組的層級設計
因為有了安全組的授權通路,可以實作讓一個安全組的執行個體通路另外一個安全組内的執行個體。是以我們可以實作下面的安全組層級設計:
AWS
這裡有3個安全組:
sg-web是面向使用者的,放置Application Load Balancer(ALB)可以将類似于HTTP 80,HTTPS 443端口開放給所有人;
sg-app安全組内放置EC2,允許sg-web安全組通路應用(端口8080),同時開放SSH 22端口給指定的IP,便于管理者登入進行管理和維護;
sg-rds安全組開放資料庫通路端口給應用,即授權給sg-app,這樣保證隻有安全組sg-app内的服務才能通路資料庫。
阿裡雲
阿裡雲安全組跟AWS安全組的不同
- 授權政策:阿裡雲安全組授權政策有允許和拒絕,AWS安全組預設是允許,沒有拒絕的設定。
- 統一性:AWS很多服務都是使用了安全組,比如Load Balancer、EC2、RDS,它們可以友善地基于層級來使用安全組。阿裡雲在統一性方面做的稍微欠缺一些,SLB負載均衡通過使用通路控制政策組來進行通路控制,資料庫使用白名單和安全組來進行控制。(如了解有誤,請告知。)
參考資料
- 雲伺服器 ECS > 安全 > 安全組 > 安全組概述
- AWS 文檔 » Amazon EC2 » 使用者指南(适用于 Linux 執行個體) » 網絡與安全性 » Linux 執行個體的 Amazon EC2 安全組