百度智能云安全组是应用在云服务器上的“具有状态的白名单防火墙服务”,实现对多个云服务在业务流量入、出双向的、针对ip 端口级别的严格安全控制,完美保证了用户及业务的高安全性。本文旨在列举几个场景,示例安全组白名单和有状态防火墙的应用方法。
用户需要对同一个业务系统的各个模块,或者在不同业务系统之间设置灵活的安全策略,保证其业务系统更高的安全性。
示例场景
如下图所示,分层业务架构中具备a、b和c三类云服务器:
为了保证该架构的安全性,需要为3个服务器配置不同的安全策略,为每个业务设置最小的访问权限。
操作步骤
a 作为web服务器,只对internet用户开放http和https两种服务,所以创建安全组(accesssg)并应用到a服务器上,accesssg的配置(入方向与出方向)规则如下:
b 作为app服务器,只接受来自a的请求,只能主动访问c服务器,所以创建安全组(appsg)并应用到b服务器上,accesssg的配置(入方向与出方向)规则如下:
c 作为db服务器,只接受来自b的请求,不能主动访问任何服务器,所以创建安全组(dbsg)并应用到c服务器上,dbsg的配置(入方向与出方向)规则如下:
通过以上方法,实现系统垂直分层,设置每个业务层最小的访问权限,大大增加了系统的安全性。
示例场景
如下图所示,在场景一基础上,增加了管理员的角色:
为了保证该架构的安全性,需要为3个服务器配置不同的安全策略,为每个业务设置最小的访问权限。
操作步骤
a 作为运维管理接入服务器,access安全组的入方向增加配置允许100.1.1.1访问22端口,出方向增加规则允许访问192.168.0.7的22端口,accesssg的配置(入方向与出方向)规则如下:
由于 b 服务器权限没有调整,因此不需要调整appsg的安全规则。
c 服务器的安全组的入方向(dbsg)增加配置允许192.168.0.5访问22端口,安全组的出方向规则不变,配置如下:
至此,实现了将 a 作为运维管理接入服务器,使管理员可以通过ssh登录3台服务器完成运维管理工作。
云服务器、专属服务器、百度太行·弹性裸金属服务器、负载均衡、私有网络、服务网卡、云数据库 rds for mysql 版、消息队列 for rabbitmq