536
VPC最佳實踐(四):VPC中的訪問控製
阿裏雲的專有網絡目前沒有網絡的ACL,當前在專有網絡中進行訪問控製,依賴各個雲產品的訪問控製能力。在此為介紹雲服務器 ECS 、雲數據庫 RDS 、負載均衡的訪問控製功能。
ECS——安全組
安全組是一種虛擬防火牆,具備狀態檢測包過濾功能。安全組用於設置單台或多台雲服務器的網絡訪問控製,它是重要的網絡安全隔離手段,用於在雲端劃分安全域。
安全組是一個邏輯上的分組,這個分組是由同一個地域(Region)內具有相同安全保護需求並相互信任的實例組成。每個實例至少屬於一個安全組,在創建的時候就需要指定。同一安全組內的實例之間網絡互通,不同安全組的實例之間默認內網不通。可以授權兩個安全組之間互訪。
一個 VPC 類型的 ECS 實例隻能加入本 VPC 的安全組。您可以隨時授權和取消安全組規則。您的變更安全組規則會自動應用於與安全組相關聯的ECS實例上。
默認隻有同一個安全組的 ECS 實例可以網絡互通。安全組可以根據出入方向的規則設置對安全組內部實例的出入方向網絡流量進行訪問控製。
- 入方向:授權/拒絕某個IP或CIDR通過某個協議類型訪問安全組內部實例指定的端口範圍
-
出方向:授權/拒絕安全組內部實例通過某個協議訪問某個IP或CIDR的指定的端口範圍
當訪問控製規則衝突時,優先級高的規則生效,優先級相同時,“拒絕”的規則生效
安全組應作為白名單使用,且遵循“最小授權”原則
例如,用於運維管理的跳板機,該類實例一般具備很強的內網網絡訪問權限,需要暴露在公網並允許ssh登錄。這類實例的風險較高,建議進行單獨管理。安全組規則可以這樣設計:
-
在跳板機實例所在的安全組中拒絕(deny)所有地址(0.0.0.0/0)對於該實例所有協議(all)端口(-1/-1)的訪問(Ingress);
-
在該安全組中允許(allow)某運維人員的IP地址(xx.xx.xx.xx)對於該實例通過ssh(tcp,22端口)的方式登錄(Ingress)跳板機;
由於相同安全組中的ECS內網互通,需要將不同業務環境、不同訪問控製需求的服務器規劃在不同的安全組中
-
提供公網服務的和內網服務放置在不同的安全組中
-
不同應用使用不同的安全組
-
不同的部署環境使用不同的安全組
當需要專有網絡中的服務器內網互通時,有兩種方式,可以配置安全組之間互相授權,也可以通過設置安全組規則對特定地址段的出入方向授權來實現。當安全組數量較少或網絡規劃不嚴格規劃時,前者的配置相對簡單;當安全組數量隨著業務部署的複雜度增加時,在合理的規劃服務器地址段的基礎上,對地址段的授權能夠有效的降低安全組的配置和管理成本。
更多安全組的配置可以參考:
雲數據庫 RDS 版——白名單
基於雲數據庫 RDS 版的白名單功能,用戶可定義允許訪問 RDS 的 IP 地址,指定之外的 IP 地址將被拒絕訪問。在專有網絡中使用RDS產品時,需要將雲服務器的IP地址加入到需要訪問的RDS的白名單後,雲服務器才能訪問RDS實例。
更多雲數據庫 RDS 版白名單的配置可以參考:
負載均衡——白名單
可以為負載均衡監聽設置僅允許哪些 IP 訪問,適用於應用隻允許特定 IP 訪問的場景。負載均衡是將訪問流量根據轉發策略分發到後端多台雲服務器的流量分發控製服務。通過流量分發擴展應用係統對外的服務能力,通過消除單點故障提升應用係統的可用性。一般對於外網或內網用戶開放訪問。當服務僅對指定用戶開放,或僅用於內部訪問時,通過白名單功能可以有效的對服務進行訪問控製。在配置白名單時,將需要通過負載均衡服務訪問後端服務器的用戶IP地址或專有網絡內部的雲服務IP地址加入到負載均衡服務監聽的訪問控製白名單即可。
更多負載均衡白名單的配置可以參考:
最後更新:2017-05-26 11:31:30