安全组
安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域。通过配置安全组规则,您可以控制安全组内ECS实例的入流量和出流量。
安全组定义
安全组是一个逻辑上的分组,由同一地域内具有相同安全保护需求并相互信任的实例组成。
安全组具有以下功能特点:
- 一台ECS实例至少属于一个安全组,可以同时加入多个安全组。
- 一个安全组可以管理同一个地域内的多台ECS实例。
- 在没有设置允许访问的安全组规则的情况下,不同安全组内的ECS实例之间默认内网不通。
- 安全组支持有状态应用。一个有状态的会话连接中,会话的最长保持时间是910秒。安全组会默认放行同一会话中的通信。例如,在会话期内,如果连接的数据包在入方向是允许的,则在出方向也是允许的。
安全组类型
分为普通安全组和企业安全组。详见安全组功能差异。
安全组规则
一条安全组规则由规则方向、授权策略、协议类型、端口范围、授权对象等属性确定,详见安全组规则。
使用限制
一台ECS实例的主弹性网卡/一张辅助弹性网卡不能同时加入普通安全组和企业安全组。
实践建议
使用安全组时
- 仅允许少量请求访问ECS实例时,可以将安全组作为白名单使用。即先设置安全组为拒绝全部访问,然后逐一添加允许通信的访问请求策略。
- 不建议使用一个安全组管理所有应用,不同的分层一定有不同的隔离需求。
- 不建议为每台ECS实例单独设置一个安全组,您只需将具有相同安全保护需求的ECS实例加入同一安全组。
添加安全组规则时
- 建议您设置简洁的安全组规则。如果您给一台ECS实例分配了多个安全组,该ECS实例很可能会同时遵循数百条安全组规则,任何规则变更都可能引起网络不通的故障。
- 如果您需要修改生产环境的安全组规则,建议您提前在克隆的安全组上进行调试,避免影响线上应用。详情请参见。
- 为应用添加安全组规则时遵循最小授权原则。例如,您可以:
- 选择开放具体的端口,如80/80。不要设置为端口范围,如1/80。
- 添加安全组规则时,谨慎授权0.0.0.0/0(全网段)访问源。
SSH密钥对
阿里云保存SSH密钥对的公钥,用户保管私钥。
账号访问控制
DDOS基础防护
阿里云云盾默认为ECS实例免费提供最大5 Gbit/s的流量攻击的防护,不同实例规格的免费防护流量不同。
基础安全服务
阿里云云安全中心(Security Center)提供云服务器ECS的基础安全服务,帮助您收集并呈现安全日志和云上资产指纹,主要提供免费版的漏洞检测、安全告警和基线检查服务。
若有收获,就点个赞吧
0 人点赞
