Visão geral do grupo de segurança
Grupo de segurança
Um grupo de segurança é uma coleção de regras de controle de acesso para recursos de nuvem, como servidores de nuvem, containers e bancos de dados, que têm os mesmos requisitos de proteção de segurança e que são mutuamente confiáveis. Depois que um grupo de segurança é criado, você pode criar várias regras de acesso para o grupo de segurança, essas regras serão aplicadas a todos os recursos em nuvem adicionados a esse grupo de segurança.
- Permitir todos os pacotes de saída: as instâncias no grupo de segurança padrão podem enviar solicitações e receber respostas de instâncias em outros grupos de segurança.
- Negar todos os pacotes de entrada: solicitações de instâncias em outros grupos de segurança serão negadas pelo grupo de segurança padrão.
Instâncias no mesmo grupo de segurança podem se comunicar entre si sem adicionar regras adicionais.
Se o grupo de segurança padrão não atender aos seus requisitos, você poderá modificar as regras do grupo de segurança ou criar um grupo de segurança personalizado.
Ambos os grupos de segurança padrão e personalizado são gratuitos.
Noções básicas do grupo de segurança
- Você pode associar instâncias, como servidores e NICs de extensão, a um ou mais grupos de segurança.
Você pode alterar os grupos de segurança associados às instâncias, como servidores ou NICs de extensão. Por padrão, quando você cria uma instância, ela é associada ao grupo de segurança padrão de sua VPC, a menos que você especifique outro grupo de segurança.
- Você precisa adicionar regras de grupo de segurança para permitir que instâncias no mesmo grupo de segurança se comuniquem entre si.
- Os grupos de segurança são com status. Se você enviar uma solicitação de sua instância e o tráfego de saída for permitido, o tráfego de resposta para essa solicitação poderá fluir independentemente das regras do grupo de segurança de entrada. Da mesma forma, se o tráfego de entrada for permitido, as respostas ao tráfego de entrada permitido poderão fluir para fora, independentemente das regras de saída.
Os grupos de segurança usam o rastreamento de conexão para controlar o tráfego de e para instâncias que eles contêm e as regras de grupo de segurança são aplicadas com base no status de conexão do tráfego para determinar se deve permitir ou negar o tráfego. Se você adicionar, modificar ou excluir uma regra de grupo de segurança, ou criar ou excluir uma instância no grupo de segurança, o rastreamento de conexão de todas as instâncias no grupo de segurança será automaticamente limpo. Nesse caso, o tráfego de entrada ou saída da instância será considerado como novas conexões, que precisam corresponder às regras de grupo de segurança de entrada ou saída para garantir que as regras entrem em vigor imediatamente e a segurança do tráfego de entrada.
Além disso, se o tráfego de entrada ou de saída de uma instância não tiver pacotes por um longo tempo, o tráfego será considerado como novas conexões após o tempo limite de rastreamento da conexão, e as conexões precisarão corresponder às regras de saída e de entrada. O período de tempo limite de rastreamento de conexão varia de acordo com o protocolo. O período de tempo limite de uma conexão TCP no estado estabelecido é de 600s, e o período de tempo limite de uma conexão ICMP é de 30s. Para outros protocolos, se os pacotes forem recebidos em ambas as direções, o período de tempo limite de rastreamento de conexão será de 180s. Se um ou mais pacotes forem recebidos em uma direção, mas nenhum pacote for recebido na outra direção, o período de tempo limite de rastreamento de conexão será de 30s. Para protocolos que não sejam TCP, UDP e ICMP, apenas o endereço IP e o número do protocolo são rastreados.
Se dois ECSs estiverem no mesmo grupo de segurança, mas em VPCs diferentes, os ECSs não poderão se comunicar entre si. Para habilitar a comunicação entre os ECSs, use uma conexão de emparelhamento de VPC para conectar as duas VPCs. Para obter detalhes sobre a conectividade VPC, consulte Cenários de aplicação.
Regras de grupos de segurança
Depois de criar um grupo de segurança, pode adicionar regras ao grupo de segurança. Uma regra se aplica ao tráfego de entrada ou ao tráfego de saída. Depois de adicionar recursos de nuvem ao grupo de segurança, eles são protegidos pelas regras do grupo.
Uma regra de grupo de segurança consiste em:
- Source (regra de entrada) ou Destination (regra de saída): o valor pode ser um endereço IP (como 192.168.10.10/32), um intervalo de endereços IP (como 192.168.52.0/24) ou um grupo de segurança (como sg-abc).
- Protocol & Port: o valor das portas podem ser portas individuais (como 22), portas consecutivas (como 22-30), portas e intervalos de porta (20,23-30), todas as portas (1-65535). O protocolo pode ser TCP, UDP, HTTP e outros.
- Source: o valor pode ser um único endereço IP, um grupo de endereços IP, ou um grupo de segurança.
- Type: o valor pode ser IPv4 ou IPv6.
- Description: informações complementares sobre a regra de grupo de segurança.
Cada grupo de segurança tem suas regras padrão. Para mais detalhes, consulte Tabela 1. Você também pode personalizar regras de grupo de segurança. Para mais detalhes, consulte Adição de uma regra de grupo de segurança.
Modelo de grupo de segurança
Você pode selecionar um dos seguintes modelos de grupo de segurança fornecidos pelo sistema para criar rapidamente um grupo de segurança com regras padrão.
- General-purpose web server: o grupo de segurança que será criado usando esse modelo é para servidores Web de uso geral e inclui regras padrão que permitem todo o tráfego de entrada ICMP e permitem o tráfego de entrada nas portas 22, 80, 443 e 3389.
- All ports open: o grupo de segurança que criar utilizando este modelo inclui regras predefinidas que permitem tráfego de entrada em qualquer porta. Observe que permitir tráfego de entrada em qualquer porta apresenta riscos de segurança.
- Custom: o grupo de segurança que criar utilizando este modelo inclui regras predefinidas que negam tráfego de entrada em qualquer porta. Você pode adicionar ou modificar regras de grupo de segurança conforme necessário.
Processo de configuração do grupo de segurança
Restrições do grupo de segurança
- Por padrão, você pode criar um máximo de 100 grupos de segurança em sua conta de nuvem.
- Por padrão, você pode adicionar até 50 regras de grupo de segurança a um grupo de segurança.
- Por padrão, não é possível associar mais de cinco grupos de segurança a cada ECS ou NIC de extensão.
- Se um servidor de nuvem ou uma NIC de extensão estiver associado a vários grupos de segurança, as regras de grupo de segurança serão aplicadas com base na seguinte sequência: o primeiro grupo de segurança associado terá precedência sobre os associados posteriormente e, em seguida, a regra com a prioridade mais alta nesse grupo de segurança será aplicada primeiro.
- Você pode adicionar no máximo 20 instâncias a um grupo de segurança por vez.
- Um grupo de segurança não pode ter mais do que instâncias de 6.000 associadas ou o desempenho se deteriorará.
- As regras de grupo de segurança com determinadas configurações não entram em vigor para ECSs de determinadas especificações. Tabela 1 mostra os detalhes.
Tabela 1 Cenários em que as regras de grupo de segurança não entram em vigor Configuração da regra
Tipo de ECS
- Action é definida como Deny.
- Source ou Destination é definido como IP address group.
Os seguintes tipos de ECS x86 não são suportados:- Otimizado por memória (M1 ECSs)
- Computação de alto desempenho (H1 ECSs)
- Uso intensivo de disco (D1 ECSs)
- Acelerado por GPU (G1 e G2 ECSs)
- Ampla memória (E1, E2 e ET2 ECSs)
Port é definida como portas não consecutivas.
Os seguintes tipos de ECS x86 não são suportados:
- Computação geral (S1, C1 e C2 ECSs)
- Otimizado por memória (M1 ECSs)
- Computação de alto desempenho (H1 ECSs)
- Uso intensivo de disco (D1 ECSs)
- Acelerado por GPU (G1 e G2 ECSs)
- Ampla memória (E1, E2 e ET2 ECSs)
Todos os ECSs de Kunpeng não são suportados.
- Para obter detalhes sobre ECSs x86, consulte Especificações do ECS (x86).
- Para obter detalhes sobre os ECSs de Kunpeng, consulte Especificações do ECS (Kunpeng).
Sugestões
Ao usar um grupo de segurança:
- Não adicione todas as instâncias ao mesmo grupo de segurança se elas tiverem requisitos de isolamento diferentes.
- Não é necessário que crie um grupo de segurança para cada instância. Em vez disso, você pode adicionar instâncias com os mesmos requisitos de segurança ao mesmo grupo de segurança.
- Defina regras simples de grupo de segurança. Por exemplo, se você adicionar uma instância a vários grupos de segurança, a instância poderá estar em conformidade com centenas de regras de grupo de segurança, e uma alteração em qualquer regra poderá causar desconexão da rede para a instância.
- Antes de modificar um grupo de segurança e suas regras, clone o grupo de segurança e modifique o grupo de segurança clonado para testar a comunicação e evitar impactos adversos nos serviços em execução. Para obter detalhes, consulte Clonagem de um grupo de segurança.
- Ao adicionar uma regra de grupo de segurança para uma instância, conceda as permissões mínimas possíveis. Por exemplo:
- Abra uma porta específica, por exemplo, 22. Não é recomendável que você abra um intervalo de portas, por exemplo, 22-30.
- Não é recomendável que você digite 0.0.0.0/0, permitindo o tráfego para ou de todos os endereços IP.
- Uma regra de grupo de segurança entra em vigor imediatamente para seus ECSs associados após a configuração da regra sem a reinicialização do ECS. Independentemente das regras de entrada de um grupo de segurança, o tráfego de resposta do tráfego de saída é permitido. Se uma regra de grupo de segurança não tiver efeito depois de ser configurada, consulte Por que minhas regras de grupo de segurança não têm efeito?
