什么是安全组?
安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域。通过配置安全组规则,您可以控制安全组内ECS实例的入流量和出流量。
简单来说就是控制ECS的一组策略,安全组的权限有多大,ECS的权限就有多大,至于stateful,可以参考checkpoint。
安全组怎么构成?
大体上分为入方向和出方向策略
策略里由授权策略、优先级、协议类型、端口范围、授权对象、描述、创建时间、操作构成
安全组特点
一台ECS实例至少属于一个安全组,可以同时加入多个安全组。
一个安全组可以管理同一个地域内的多台ECS实例。
在没有设置允许访问的安全组规则的情况下,不同安全组内的ECS实例之间默认内网不通。
安全组支持有状态应用。一个有状态的会话连接中,会话的最长保持时间是910秒。安全组会默认放行同一会话中的通信。例如,在会话期内,如果连接的数据包在入方向是允许的,则在出方向也是允许的。
安全组有何注意之处?
安全组最大支持200条策略(入+出)
单台ECS只支持5个安全组
单账号每地域最多创建100个安全组
默认出方向可以访问所有
安全组如何规划?
目前我们环境里大约3000台机器,由于我们使用了云WAF,所以预留WAF单独安全组
1.WAF安全组
2.常规出端口安全组,例如:80,443
3.常规入端口安全组:例如:80,443,22
4.分区互访安全组(需要分区、网段规划合理)例如web访问app,web访问db
5.ECS互访安全组,例如:A访问B,按需开通
安全组的使用经验
合理的使用子账号,分摊安全资源压力,区域一定保持一致性,避免产生额外费用。
合理规划分区,网段需要连续,开通策略更加容易,例如根据业务特点,分为web、app、db
碰到需要访问域名的策略,建议放通0.0.0.0/0的目的端口,以免公网服务IP发生改变
安全组优先级使用合理,最好以5为单位插入,方便后续调整添加
出方向最下方一定加一条deny所有
安全组作为ECS的第一道防线,也是最底层的防线,合理的使用安全组可以抵挡很多威胁