玩轉ECS第5講 | 彈性計算安全組最佳實踐及新特性介紹

簡介： 本次內容由阿里雲智能技術專家王帝（丞浩）爲你們介紹如何正確使用安全組、最佳實踐以及新特性；詳細瞭解安全組爲什麼是雲端的虛擬防火牆，以及爲什麼是重要的網絡隔離手段。

演講嘉賓簡介：王帝（丞浩），阿里雲技術專家，2017年10月加入阿里雲彈性計算團隊，主要負責網絡安全組的優化和演進。

如下內容根據演講視頻以及PPT整理而成。觀看回放
更多課程請進入「玩轉ECS詳情頁」瞭解

使用過ECS的朋友必定不會對安全組陌生，他是ECS實例的虛擬防火牆。配置安全組是建立ECS實例或者發生網絡屬性變動必不可少的一步。下面我就爲你們分享一下安全組的相關內容。

本次分享主要圍繞如下三個部分，安全組的簡介，基本操做和最佳實踐。

1、安全組簡介

ECS網絡訪問控制

首先什麼是安全組，阿里雲ECS的網絡訪問控制，是由子網ACL和安全組兩層實現的。你們知道阿里雲提供VPC專有網絡，是用戶獨有的雲上私有網絡。VPC專用網絡爲用戶獨立出一塊網絡區域，使得用戶能夠自行規劃本身的網段，在沒有配置公網IP的狀況下，VPC是徹底與外界隔離的。

交換機綁定網絡ACL，ACL會對應一些控制規則，全部通過交換機的網絡流量都需通過這些規則，通常配置的是黑名單規則(固然也支持指定白名單)，例如不容許哪些網端的數據包流入或流出。

再往下一層就是咱們今天要講的安全組，相對於子網ACL是生效在交換機上，安全組實例級別的防火牆，生效在ECS上面。全部通過用戶的ECS網絡流量都需通過安全組。

安全組是一種虛擬防火牆，具有狀態檢測和數據包過濾能力，用於在雲端劃分安全域。經過配置安全組規則，您能夠控制安全組內ECS實例的入流量和出流量。

安全組是一個邏輯上的分組，由同一地域內具備相同安全保護需求並相互信任的實例組成。此外，安全組與子網ACL之間的明顯區別是安全組具備狀態，安全組會自動容許返回的數據流不受任何規則的影響，簡單來講就是主動請求別人就必定會收到回包。而交換機則不是，入流量也會走一遍所設置的子網ACL規則，若是被攔截是收不到回包的。有些用戶會將安全組與iptables對比，其實這二者是獨立的。

阿里建議用戶單獨使用安全組，若是用戶的場景須要配置iptables，ECS也是徹底支持的。相對於子網ACL的黑名單方式，安全組通常是白名單。

ECS或彈性網卡必須至少屬於一個安全組，安全組組內默認互通能夠配置規則控制網絡聯通。

2、安全組的基本操做

下面再給你們分享一下在阿里雲ECS控制檯是如何操做管理安全組的。

爲了方便理解，咱們把對安全組的操做暫時分爲兩類，組的操做和規則的操做。

組的操做是針對安全組自己的操做，好比建立、刪除、更名字，以及可能致使安全組內IP發生變化的操做，還有組內添加實例網卡、替換組等。規則的操做則是改變組內規則的操做，好比添加，刪除，修改，克隆等操做。

先說組的操做，好比組內加減實例，網卡等操做比較簡單，咱們就不特別介紹了，重點介紹一下替換組。

替換組：實例能夠從組A替換到組B，在替換過程當中不會發生網絡閃斷或抖動的狀況，用戶只需保證新老組的規則是兼容的，在整個替換過程當中不會對網絡有任何的影響和抖動。

再說規則的操做，咱們重點介紹一下還原，導出導入，Classic Link和克隆組。

**
規則還原：**對兩組規則進行合併或替換，通常在作實驗性質的網絡變動以前能夠先克隆出一個組，測試後能夠經過規格還原功能恢復成原來的樣子。下圖爲規格還原的頁面，展現出哪些規格爲新增哪些爲刪除。

導出導入：將安全組下載成JSON文件或是CSV文件用於備份。

Classic Link：經過添加一條安全組規則實現VPC和經典網絡之間的網絡聯通。

克隆組：克隆組支持跨地域或跨網絡類型的安全組複製，能夠從經典網絡到VPC或是到一個新Regen並快速複製一個組。

3、最佳實踐

最後再給你們介紹一下比較好的安全組配置實踐，好比如何合理的配置規則，如何使用五元組，如何基於安全組作斷網演練。

安全組規則格式

首先先介紹一下安全組規則配置有兩種方式：
CIDR：圖中示例展現，受權192.168.0.0/24的地址DR機器訪問22端口。
組織受權：圖中示例展現，拒絕另外一組訪問的全部端口，徹底切斷兩組之間的流量。
以上兩個示例都爲入方向規則，通常狀況下不知道對方使用哪一個端口接連本身，因此不限制，區別在於本身任選哪一個端口對外暴露給任意對象。

相對於上圖的四元組，阿里也支持五元組。

五元組爲五個參數：源地址、源端口、目的地址、目的端口、傳輸層協議，相比四元組多了目的地址。以入方向規則爲例，使用五元組能夠實現不放行整個組，可單獨放行某一個IP段，這樣某些平臺內網絡服務爲了防範第三方產品對用戶ECS的實例發起非法訪問，須要在安全組內設置五元組規則，更精確的控制出和入的流量。另外，若是用戶組內聯通策略是拒絕場景，想精確控制組內ECS之間的聯通策略也須要使用五元組。五元組場景較爲特殊，而絕大多數場景四元組是能夠勝任的。

規則配置建議

先規劃對於分佈式應用來講，不一樣的應用類型應放到不一樣組中。使用白名單方式管理安全組，不建議用戶使用先加一條低優先級全通，再逐條拒絕的方式。要慎用0.0.0.0/0全通策略。遵照規則最小化配置原則。儘可能使用CIDR段，由於單組容量有限，並且CIDR地址段更容易擴展和維護。不限制協議使用all，不是每一個協議都配一遍。安全組規則變動很是高危，要認真寫好備註以便於後續的維護。

潛在高危安全組概覽

阿里雲ECS會按期檢查用戶的實例，若是實例暴露在公共環境而且開放高危端口，阿里會對用戶作出預警，且用戶在資源概覽頁面中能夠查看本身的高危安全組。

如何給應用劃分安全組

爲了不測試環境和正式環境之間互相干擾，阿里會將測試環境和正式環境放在不一樣VPC中進行隔離。將有公網服務放在一組內網服務放在一組。不一樣應用類型應使用不一樣安全組，例如Web服務、應用服務、數據庫或緩存，都應該放在不一樣安全組中。下圖中的示例，因爲都需使用跳板機，因此都受權了跳板機組G1，Web服務器須要聯通應用服務器，應用服務器又須要聯通數據庫，因此分別作了組組受權。這樣作完網絡安全組的規劃使得應用分層清晰，便於後續的維護，同時也知足了隔離性和安全性的要求。

使用安全組進行斷網演練

基於安全組可進行斷網演練用於高可用容災或混沌工程等場景，以下圖中case，演練數據掛掉時系統的表現，能夠將此DB加入專門的斷網組，斷網組+全阻斷規格來實現快速規模化斷網。

拆解斷網過程

建立斷網組：由於組內默認聯通策略是組內互通的，因此先改成組內不互通。
加入實例：先將演練數據庫加入斷網組內，這時對業務無任何影響且正常運行。
添加規則：當真正進行斷網演練時須要執行該步驟，給斷網組出和入各加一條全阻斷規則，加完後此時服務器的流量就會徹底被切斷。
刪除規則：當演練完畢後，須要將全阻斷規則刪除，便可恢復業務。
若是須要不按期作容災演練，只需重複步驟3、四便可。

企業級安全組

傳統安全組組內容量上限是2000IP，如要進行更大規模則需使用企業組，企業組支持單組60000以上的IP，將來支持的容量會更多。

典型的企業組場景例如阿里雲的容器服務ACK或是用戶自建K8s集羣，其實ECS只是做爲S層，ECS之間只需網絡互通便可。容器的網絡訪問控制並非安全組實現的，而是經過Network Policy等方式來實現的。下圖中的示例顯示是較爲常見的部署方式，VPC下掛兩個虛擬交換機分別在兩個可用區作跨地域容災，將全部實例放入一個組中，無需複雜的規則配置，只需配置內網全通和出方向全通就可實現VPC內互通。下圖中只配置了三條規則，兩條入方向全通和一條出方向全通，這是較爲常見的容器服務安全組架構。若是用戶不須要組組受權而且對組內的實例規模有要求，那麼請使用企業級安全組。若是當前傳統組想切換至企業組，有兩種方式可實現，第一種新建一個企業組後採用替換組的方式將實例逐個挪入到企業組中，第二種是阿里協助用戶將原來的傳統組升級成企業組。

雲產品託管安全組

用戶在使用阿里云云產品時，如雲防火牆、NAT網關等，雲產品都會替用戶建立安全組，爲了不用戶誤操做形成產品不可用，阿里採用了託管模式，託管組即用戶可建不可操做，避免產生問題。

以上是對本次分享的所有，但願對你們有所幫助，謝謝各位。

原文連接本文爲阿里雲原創內容，未經容許不得轉載。