什么是安全組？

　　安全組是一種虛擬防火墻，具備狀態(tài)檢測(cè)和數(shù)據(jù)包過(guò)濾能力，用于在云端劃分安全域。通過(guò)配置安全組規(guī)則，您可以控制安全組內(nèi)ECS實(shí)例的入流量和出流量。

　　簡(jiǎn)單來(lái)說(shuō)就是控制ECS的一組策略，安全組的權(quán)限有多大，ECS的權(quán)限就有多大，至于stateful，可以參考checkpoint。

　　安全組怎么構(gòu)成？

　　大體上分為入方向和出方向策略

　　策略里由授權(quán)策略、優(yōu)先級(jí)、協(xié)議類型、端口范圍、授權(quán)對(duì)象、描述、創(chuàng)建時(shí)間、操作構(gòu)成

　　安全組特點(diǎn)

　　一臺(tái)ECS實(shí)例至少屬于一個(gè)安全組，可以同時(shí)加入多個(gè)安全組。

　　一個(gè)安全組可以管理同一個(gè)地域內(nèi)的多臺(tái)ECS實(shí)例。

　　在沒(méi)有設(shè)置允許訪問(wèn)的安全組規(guī)則的情況下，不同安全組內(nèi)的ECS實(shí)例之間默認(rèn)內(nèi)網(wǎng)不通。

　　安全組支持有狀態(tài)應(yīng)用。一個(gè)有狀態(tài)的會(huì)話連接中，會(huì)話的最長(zhǎng)保持時(shí)間是910秒。安全組會(huì)默認(rèn)放行同一會(huì)話中的通信。例如，在會(huì)話期內(nèi)，如果連接的數(shù)據(jù)包在入方向是允許的，則在出方向也是允許的。

　　安全組有何注意之處？

　　安全組最大支持200條策略（入+出）

　　單臺(tái)ECS只支持5個(gè)安全組

　　單賬號(hào)每地域最多創(chuàng)建100個(gè)安全組

　　默認(rèn)出方向可以訪問(wèn)所有

　　安全組如何規(guī)劃？

　　目前我們環(huán)境里大約3000臺(tái)機(jī)器，由于我們使用了云WAF，所以預(yù)留WAF單獨(dú)安全組

　　1.WAF安全組

　　2.常規(guī)出端口安全組，例如：80,443

　　3.常規(guī)入端口安全組：例如：80,443,22

　　4.分區(qū)互訪安全組（需要分區(qū)、網(wǎng)段規(guī)劃合理）例如web訪問(wèn)app，web訪問(wèn)db

　　5.ECS互訪安全組，例如：A訪問(wèn)B，按需開通

　　安全組的使用經(jīng)驗(yàn)

　　合理的使用子賬號(hào)，分?jǐn)偘踩Y源壓力，區(qū)域一定保持一致性，避免產(chǎn)生額外費(fèi)用。

　　合理規(guī)劃分區(qū)，網(wǎng)段需要連續(xù)，開通策略更加容易，例如根據(jù)業(yè)務(wù)特點(diǎn)，分為web、app、db

　　碰到需要訪問(wèn)域名的策略，建議放通0.0.0.0/0的目的端口，以免公網(wǎng)服務(wù)IP發(fā)生改變

　　安全組優(yōu)先級(jí)使用合理，最好以5為單位插入，方便后續(xù)調(diào)整添加

　　出方向最下方一定加一條deny所有

　　安全組作為ECS的第一道防線，也是最底層的防線，合理的使用安全組可以抵擋很多威脅