安全组属于一类虚拟防火墙,拥有有状态的数据包筛选能力,主要用于对云主机、负载均衡器、云数据库等资源实施网络访问管控,对实例层级的进出流量加以约束,属于关键的网络安全隔离措施。
通过设定安全组策略,能够放行或阻断组内实例的出向与入向流量。
安全组特性
安全组属于逻辑层面的分组机制,可把同一区域中具备同类网络安全隔离诉求的云主机、弹性网卡、云数据库等资源归入同一安全组当中。
安全组在未配置任何策略的情况下,缺省状态下会拒绝全部流量,因此需要手动添加对应的放行策略。
安全组具备有状态特性,对于已被许可的入向流量,系统会自动允许其回传,出向流量同理。
您可随时对安全组策略进行调整,新策略即刻生效。
使用约束
关于安全组的使用约束及配额上限,可查阅使用约束总览中安全组相关限制部分。
安全组策略构成要素
安全组策略由以下几部分组成:
| 要素 | 说明 |
|---|---|
| 来源 | 源数据(入方向)或目标数据(出方向)的 IP 地址 |
| 协议类型与端口 | 如 TCP、UDP 等协议类型及对应端口号 |
| 策略动作 | 放行或拒绝 |
策略优先级
安全组内部策略存在优先级之分。优先级由策略在列表中的排列位置决定——排在顶部的策略优先级最高,优先匹配;排在底部的优先级最低。
若出现策略冲突,系统默认采用排列更靠前的那条。
当有流量进入或离开绑定了某安全组的实例时,系统会从策略列表顶部逐条向下匹配,直到最后一条。一旦匹配到某条策略(无论放行还是拒绝),便停止继续匹配后续策略。
多安全组绑定
一个实例可绑定一个或多个安全组。当实例同时绑定了多个安全组时,各安全组会按从上到下的顺序依次匹配执行,您也可以随时调整各安全组之间的优先级。
安全组模板
创建安全组时,可选用余初云提供的两类安全组模板:
| 模板名称 | 说明 |
|---|---|
| 放通全部端口模板 | 开通所有入站与出站流量 |
| 放通常用端口模板 | 开通 TCP 22 端口(Linux SSH 登录)、80/443 端口(Web 服务)、3389 端口(Windows 远程桌面)、ICMP 协议(Ping)以及内网互通 |
若上述模板无法满足实际需求,也可创建自定义安全组,详情可参考创建安全组及安全组应用案例。
若您对应用层(HTTP/HTTPS)存在安全防护需要,可单独采购Web 应用防火墙(WAF),WAF 能为您提供应用层面的 Web 安全防护能力,有效抵御 Web 漏洞攻击、恶意爬虫及 CC 攻击等威胁,保障网站与 Web 应用的安全。
使用流程
安全组的使用流程如下图所示:
安全组最佳实践
| 建议项 | 说明 |
|---|---|
| 创建安全组 | 调用 API 购买云主机时建议明确指定安全组;未指定时将采用系统自动生成的默认安全组。默认安全组不可删除,默认策略为放行全部 IPv4 流量,创建后可按需修改。 |
| 实例防护策略变更 | 建议优先在现有安全组内调整策略,无需重新创建新的安全组。 |
| 管理策略 | 修改策略前可先导出当前安全组做备份;若新策略产生不良影响,可导入此前备份的策略进行回滚。 |
| 规则条目较多时 | 可使用参数模板进行批量管理。 |
| 关联安全组 | 可将具有相同防护诉求的实例归入同一安全组,无需逐个实例单独配置。但不建议单个实例绑定过多安全组,不同安全组策略之间的冲突可能造成网络不通。 |
安全组与云防火墙的区别
防火墙(Cloud Firewall,CFW)是一款面向公有云环境的 SaaS 化防火墙产品,主要为用户提供互联网边界防护能力,满足云上访问控制统一管理与日志审计的安全管理诉求。
云防火墙除了具备传统防火墙功能外,还支持云上多租户与弹性扩展能力,是用户业务上云的首道网络安全基础设施。
在实际应用场景中:
安全组通常部署在云主机等云产品的边界,用于实现云产品所属安全组之间的访问控制。防火墙则部署在 VPC 之间的边界或互联网边界,用于实现 VPC 间或余初云与互联网之间的访问控制。
具体关系如下图所示:
在以下场景中,仅靠安全组无法满足需求,建议采用防火墙来实现访问控制:
| 场景 | 说明 |
|---|---|
| 资产暴露与漏洞排查 | 了解云主机在互联网上的暴露面及漏洞状况,并借助 IPS 入侵防御与虚拟补丁功能,强化网络漏洞防护。 |
| 域名级外联管控 | 按域名实现主动外联控制,提升业务安全性。 |
| 区域级访问控制 | 按地域实现访问限制,例如一键封禁海外 IP 的访问。 |
原创文章,作者:余初云,如若转载,请注明出处:https://blog.jidcy.com/jsjc/2880.html
