ecs安全組實踐(一)
在雲端安全組提供類似虛擬防火牆功能,用於設定單個或多個 ecs 例項的網路訪問控制,是重要的安全隔離手段。建立 ecs 例項時,您必須選擇乙個安全組。您還可以新增安全組規則,對某個安全組下的所有 ecs 例項的出方向和入方向進行網路控制。
本文主要介紹如何配置安全組的入網規則。
安全組相關的資訊
安全組實踐的基本建議
在開始安全組的實踐之前,下面有一些基本的建議:
設定安全組的入網規則
以下是安全組的入網規則的實踐建議。
不要使用 0.0.0.0/0 的入網規則
允許全部入網訪問是經常犯的錯誤。使用 0.0.0.0/0 意味著所有的埠都對外暴露了訪問許可權。這是非常不安全的。正確的做法是,先拒絕所有的埠對外開放。安全組應該是白名單訪問。例如,如果您需要暴露 web 服務,預設情況下可以只開放 80、8080 和 443 之類的常用tcp埠,其它的埠都應關閉。
,
,,
如果您當前使用的入規則已經包含了 0.0.0.0/0,您需要重新審視自己的應用需要對外暴露的埠和服務。如果確定不想讓某些埠直接對外提供服務,您可以加一條拒絕的規則。比如,如果您的伺服器上安裝了 mysql 資料庫服務,預設情況下您不應該將 3306 埠暴露到公網,此時,您可以新增一條拒絕規則,如下所示,並將其優先順序設為100,即優先順序最低。
,授權另外乙個安全組入網訪問
不同的安全組按照最小原則開放相應的出入規則。對於不同的應用分層應該使用不同的安全組,不同的安全組應有相應的出入規則。
例如,如果是分布式應用,您會區分不同的安全組,但是,不同的安全組可能網路不通,此時您不應該直接授權 ip 或者 cidr 網段,而是直接授權另外乙個安全組 id 的所有的資源都可以直接訪問。比如,您的應用對 web、database 分別建立了不同的安全組:sg-web 和 sg-database。在sg-database 中,您可以新增如下規則,授權所有的 sg-web 安全組的資源訪問您的 3306 埠。
,經典網路中,因為網段不太可控,建議您使用安全組 id 來授信入網規則。
vpc 網路中,您可以自己通過不同的 vswitch 設定不同的 ip 域,規劃 ip 位址。所以,在 vpc 網路中,您可以預設拒絕所有的訪問,再授信自己的專有網路的網段訪問,直接授信可以相信的 cidr 網段。
,
,,
變更安全組規則可能會影響您的例項間的網路通訊。為了保證必要的網路通訊不受影響,您應先嘗試以下方法放行必要的例項,再執行安全組策略收緊變更。
注意:執行收緊變更後,應觀察一段時間,確認業務應用無異常後再執行其它必要的變更。
Linux 阿里雲 ECS 伺服器 安全設定
部落格位址 1 設定密碼失效時間 在 etc login.defs中將 pass max days 引數設定為 60 180之間,如 pass max days 902 設定密碼修改最小間隔時間 在 etc login.defs 中將 pass min days 引數設定為7 14之間,建議為7 p...
雲伺服器ECS
部署的概念 本地的 部署到linxu環境,讓 跑起來 平時一般開發的時候,我們是用本地的主機開啟伺服器,用ip 8080去訪問伺服器 但是由於我們訪問的是本地,所以其他地方的人無法通過我的ip位址訪問到網頁 區域網可以 專案上線肯定是要支援其他人訪問的,所以需要搭建穩定的環境 讓外界可以訪問到,以前...
什麼是雲伺服器ECS?雲伺服器ECS詳解
三 寫在後面的話 叮嘟!這裡是小啊嗚的學習課程資料整理。好記性不如爛筆頭,今天也是努力進步的一天。一起加油高階吧!雲伺服器ecs有什麼作用?現在越來越多的企業都開始將伺服器遷移至雲端,雲技術的應用十分廣泛,其中之一就體現在雲伺服器的使用上,憑藉更加簡單的操作與便利等優勢,雲伺服器可謂深受眾多企業青睞...