开发者学堂课程【玩转云上智能运维：弹性计算安全组最佳实践及新特性介绍】学习笔记，与课程紧密联系，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/118/detail/1973

弹性计算安全组最佳实践及新特性介绍

内容简介:

一、 安全组简介

二、 基本操作

三、 最佳实践

 

一、安全组简介

（一） ECS 网络访问控制

(一) 网络 ACL

l 交换机级别

l 黑名单

l 无状态

(二) 安全组

l 实例（弹性网卡）级别

l 白名单

l 有状态

l ECS( 或弹性网卡)必须至少属于一个安全组

l 默认同组内实例可以相互访问

l 可以配置规则指定地址或组间相互访问

二、基本操作

（一） 组的操作

l 创建、修改、删除

l 组内添加、删除实例(弹性网卡)

l 克隆组、替换组

（二） 规则的操作

l 添加、修改、复制、删除

l 还原、导出导入

l ClassicLink

（三） 安全组规则

1.CIDR

l 源地址: 192.168.0.0/24

l 源端口:全部

l 目的端口: 22端口

l 协议: TCP

l 授权策略:允许

2.组组授权

l 源地址: sg-bp1 eborpqtcwqme

l 源端口:全部

l 目的端口:全部

l 协议:全部

l 授权策略:拒绝

3.五元组

l 源地址: 172.16.1.10

l 源端口:全部

l 目的地址: 172.16.0.0/16

l 目的端口: 1723

l 传输层协议: TCP

l 授权策略:拒绝

l 常规网络访问 4 元组可以胜任

l 5 元组是平台级网络产品的必选项

（四） 规则配置建议

l 先规划:

安全组是从网络访问的维度规划的业务角色，组内实例则是角色扮演者。单一职责，实例不能扮演过多角色，因此不可加入太多组。

l 使用白名单:

阿里云为了确保租户实例安全，入方向默认全 drop

l 慎用 0.0.0.0/0: 

它表示不受限访问，当你的实例有公网访问能力时，相当于把你的大门向所有人敞开

l 规则最小化原则: 

有公网能力的组，为了确保实例安全，精细化控制入规则

l 尽量使用 cidr 段: 

如果确实被授权对象有批量特征，而且地址段连续，那么尽量使用 cidr 段，而不是单个 ip

l 不限制协议用 all: 

这样可以尽量减少规则数量，更容易维护

l 维护好每一条规则: 

安全组规则是实例最重要的系统配置之一-,必须谨慎对待，添加规则要进行备注。此外，当实例释放，ip修改等动作发生时，请检查安全组内是否有无效规则，并及时清理