ECS中彈性計算安全組最佳實踐及新特性是什么

今天就跟大家聊聊有關ECS中彈性計算安全組最佳實踐及新特性是什么，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結了以下內容，希望大家根據這篇文章可以有所收獲。

使用過ECS的朋友一定不會對安全組陌生，他是ECS實例的虛擬防火墻。配置安全組是創建ECS實例或者發生網絡屬性變更必不可少的一步。下面我就為大家分享一下安全組的相關內容，主要圍繞以下三個部分，安全組的簡介，基本操作和最佳實踐。

一、安全組簡介

ECS網絡訪問控制

首先什么是安全組，阿里云ECS的網絡訪問控制，是由子網ACL和安全組兩層實現的。大家知道阿里云提供VPC專有網絡，是用戶獨有的云上私有網絡。VPC專用網絡為用戶獨立出一塊網絡區域，使得用戶可以自行規劃自己的網段，在沒有配置公網IP的情況下，VPC是完全與外界隔離的。

交換機綁定網絡ACL，ACL會對應一些控制規則，所有經過交換機的網絡流量都需經過這些規則，一般配置的是黑名單規則(當然也支持指定白名單)，例如不允許哪些網端的數據包流入或流出。

再往下一層就是我們今天要講的安全組，相對于子網ACL是生效在交換機上，安全組實例級別的防火墻，生效在ECS上面。所有經過用戶的ECS網絡流量都需經過安全組。

安全組是一種虛擬防火墻，具備狀態檢測和數據包過濾能力，用于在云端劃分安全域。通過配置安全組規則，您可以控制安全組內ECS實例的入流量和出流量。

安全組是一個邏輯上的分組，由同一地域內具有相同安全保護需求并相互信任的實例組成。此外，安全組與子網ACL之間的明顯區別是安全組具有狀態，安全組會自動允許返回的數據流不受任何規則的影響，簡單來說就是主動請求別人就一定會收到回包。而交換機則不是，入流量也會走一遍所設置的子網ACL規則，如果被攔截是收不到回包的。有些用戶會將安全組與iptables對比，其實這兩者是獨立的。

建議用戶單獨使用安全組，如果用戶的場景需要配置iptables，ECS也是完全支持的。相對于子網ACL的黑名單方式，安全組一般是白名單。

ECS或彈性網卡必須至少屬于一個安全組，安全組組內默認互通可以配置規則控制網絡聯通。

二、安全組的基本操作

下面再給大家分享一下在阿里云ECS控制臺是如何操作管理安全組的。

為了方便理解，我們把對安全組的操作暫時分為兩類，組的操作和規則的操作。

組的操作是針對安全組本身的操作，比如創建、刪除、改名字，以及可能導致安全組內IP發生變化的操作，還有組內添加實例網卡、替換組等。規則的操作則是改變組內規則的操作，比如添加，刪除，修改，克隆等操作。

先說組的操作，比如組內加減實例，網卡等操作比較簡單，我們就不特別介紹了，重點介紹一下替換組。

替換組：實例可以從組A替換到組B，在替換過程中不會發生網絡閃斷或抖動的情況，用戶只需保證新老組的規則是兼容的，在整個替換過程中不會對網絡有任何的影響和抖動。

再說規則的操作，我們重點介紹一下還原，導出導入，Classic Link和克隆組。

規則還原：對兩組規則進行合并或替換，一般在做實驗性質的網絡變更之前可以先克隆出一個組，測試后可以通過規格還原功能恢復成原來的樣子。下圖為規格還原的頁面，展示出哪些規格為新增哪些為刪除。

導出導入：將安全組下載成JSON文件或是CSV文件用于備份。

Classic Link：通過添加一條安全組規則實現VPC和經典網絡之間的網絡聯通。

克隆組：克隆組支持跨地域或跨網絡類型的安全組復制，可以從經典網絡到VPC或是到一個新Regen并快速復制一個組。

三、最佳實踐

最后再給大家介紹一下比較好的安全組配置實踐，比如如何合理的配置規則，如何使用五元組，如何基于安全組做斷網演練。

安全組規則格式

首先先介紹一下安全組規則配置有兩種方式：

CIDR：圖中示例展示，授權192.168.0.0/24的地址DR機器訪問22端口。
組織授權：圖中示例展示，拒絕另一組訪問的所有端口，完全切斷兩組之間的流量。
以上兩個示例都為入方向規則，一般情況下不知道對方使用哪個端口接連自己，所以不限制，區別在于自己任選哪個端口對外暴露給任意對象。

相對于上圖的四元組，阿里也支持五元組。

五元組為五個參數：源地址、源端口、目的地址、目的端口、傳輸層協議，相比四元組多了目的地址。以入方向規則為例，使用五元組可以實現不放行整個組，可單獨放行某一個IP段，這樣某些平臺內網絡服務為了防范第三方產品對用戶ECS的實例發起非法訪問，需要在安全組內設置五元組規則，更精確的控制出和入的流量。另外，如果用戶組內聯通策略是拒絕場景，想精確控制組內ECS之間的聯通策略也需要使用五元組。五元組場景較為特殊，而絕大多數場景四元組是可以勝任的。

規則配置建議

先規劃對于分布式應用來說，不同的應用類型應放到不同組中。使用白名單方式管理安全組，不建議用戶使用先加一條低優先級全通，再逐條拒絕的方式。要慎用0.0.0.0/0全通策略。遵守規則最小化配置原則。盡量使用CIDR段，因為單組容量有限，而且CIDR地址段更容易擴展和維護。不限制協議使用all，不是每個協議都配一遍。安全組規則變更非常高危，要認真寫好備注以便于后續的維護。

潛在高危安全組概覽

阿里云ECS會定期檢查用戶的實例，如果實例暴露在公共環境并且開放高危端口，阿里會對用戶做出預警，且用戶在資源概覽頁面中可以查看自己的高危安全組。

如何給應用劃分安全組

為了避免測試環境和正式環境之間互相干擾，阿里會將測試環境和正式環境放在不同VPC中進行隔離。將有公網服務放在一組內網服務放在一組。不同應用類型應使用不同安全組，例如Web服務、應用服務、數據庫或緩存，都應該放在不同安全組中。下圖中的示例，由于都需使用跳板機，所以都授權了跳板機組G1，Web服務器需要聯通應用服務器，應用服務器又需要聯通數據庫，所以分別做了組組授權。這樣做完網絡安全組的規劃使得應用分層清晰，便于后續的維護，同時也滿足了隔離性和安全性的要求。

使用安全組進行斷網演練

基于安全組可進行斷網演練用于高可用容災或混沌工程等場景，如下圖中case，演練數據掛掉時系統的表現，可以將此DB加入專門的斷網組，斷網組+全阻斷規格來實現快速規模化斷網。

拆解斷網過程

創建斷網組：因為組內默認聯通策略是組內互通的，所以先改為組內不互通。

加入實例：先將演練數據庫加入斷網組內，這時對業務無任何影響且正常運行。
添加規則：當真正進行斷網演練時需要執行該步驟，給斷網組出和入各加一條全阻斷規則，加完后此時服務器的流量就會完全被切斷。
刪除規則：當演練完畢后，需要將全阻斷規則刪除，即可恢復業務。
如果需要不定期做容災演練，只需重復步驟三、四即可。

企業級安全組

傳統安全組組內容量上限是2000IP，如要進行更大規模則需使用企業組，企業組支持單組60000以上的IP，未來支持的容量會更多。

典型的企業組場景例如阿里云的容器服務ACK或是用戶自建K8s集群，其實ECS只是作為S層，ECS之間只需網絡互通即可。容器的網絡訪問控制并不是安全組實現的，而是通過Network Policy等方式來實現的。下圖中的示例顯示是較為常見的部署方式，VPC下掛兩個虛擬交換機分別在兩個可用區做跨地域容災，將所有實例放入一個組中，無需復雜的規則配置，只需配置內網全通和出方向全通就可實現VPC內互通。下圖中只配置了三條規則，兩條入方向全通和一條出方向全通，這是較為常見的容器服務安全組架構。如果用戶不需要組組授權并且對組內的實例規模有要求，那么請使用企業級安全組。如果當前傳統組想切換至企業組，有兩種方式可實現，第一種新建一個企業組后采用替換組的方式將實例逐個挪入到企業組中，第二種是阿里協助用戶將原來的傳統組升級成企業組。

云產品托管安全組

用戶在使用云產品時，如云防火墻、NAT網關等，云產品都會替用戶創建安全組，為了避免用戶誤操作造成產品不可用，可采用了托管模式，托管組即用戶可建不可操作，避免產生問題。

看完上述內容，你們對ECS中彈性計算安全組最佳實踐及新特性是什么有進一步的了解嗎？如果還想了解更多知識或者相關內容，請關注億速云行業資訊頻道，感謝大家的支持。