安全组概述

安全组是一种虚拟防火墙，用于控制安全组内ECS实例的入流量和出流量，从而提高ECS实例的安全性。安全组具备状态检测和数据包过滤能力，您可以基于安全组的特性和安全组规则的配置在云端划分安全域。

您可以使用以下方法来控制您的实例的访问权限：

• 创建多个安全组，并给每个安全组指定不同的规则。
• 每个实例分配一个或多个安全组，靠谱云将按照这些规则确定：哪些流量可访问实例、实例可以访问哪些资源。
• 配置安全组，以便只有特定的 IP 地址或特定的安全组可以访问实例。

实践建议

• 将安全组作为白名单使用，即默认拒绝所有访问，通过添加安全组规则设置允许访问的端口范围和授权对象。
• 添加安全组规则时遵循最小授权原则。例如，开放Linux实例的22端口用于远程登录时，建议仅允许特定的IP访问，而非所有IP（0.0.0.0/0）。
• 单个安全组内尽量保持规则简洁。单台实例可以加入多个安全组，单个安全组可以添加多条安全组规则，如果应用在单台实例上的安全组规则过多，会增加管理复杂度并引入风险。
• 不同类型应用的实例加入不同的安全组，分别维护安全组规则。例如，需要接受公网访问的实例加入同一个安全组，默认拒绝所有访问，然后设置仅暴露对外提供服务的端口（例如80、443等）。同时避免在接受公网访问的实例上提供其他服务，例如MySQL、Redis等，建议将内部服务部署在不接受公网访问的实例上，并加入单独的安全组。
• 避免直接修改线上环境使用的安全组。修改安全组设置后会自动应用于组内所有实例，您可以先克隆一个安全组并在测试环境调试，确保修改后实例间通信正常。
• 合理定义安全组名称，方便快速识别安全组的用途，在管理较多安全组时更加清晰。