本文档介绍了 访问控制策略推荐配置 方法。

访问控制实现原理

  • 互联网边界防火墙
    • 原理:在互联网到所有云上资产的公网出入路径进行统一访问控制。
    • 配置页面:访问控制-内对外流量,访问控制-外对内流量。
    • 默认策略:默认全部放行。
  • 主机防火墙/安全组
    • 原理:在每个ECS上存在主机防火墙/安全组,进行主机粒度的访问控制。
    • 配置页面:访问控制-内对内流量(只在企业版提供,高级版用户可以在安全组控制台配置)。
    • 默认策略:默认出方向全部放行,入方向全部拒绝。

推荐配置步骤

  1. 完善互联网策略(外-内流量)配置。

    请参考以下配置逻辑:

    • 先将所有必要在互联网开放的端口放行,比如http/80、https/443服务等。
    • 将一些运维或高安全风险的端口有限放行,比如ssh/22、mysql/3306等端口,只给必要的源开放,其它默认拒绝,可以配合地址簿简化配置。
    • 默认禁止互联网上一些高危服务端口,比如smb/445端口等。
    • 配置Any到Any的默认拒绝策略,可以先配置成观察模式,配合流量日志观察无误后在修改为拒绝模式。
  2. 将ECS的主机防火墙入方向流量全部设置为允许

    请参考以下配置逻辑:

    到访问控制-内对内流量页面,选择包含测试ECS的策略组,配置源0.0.0.0/0到目的ECS的放行策略(主机防火墙/安全组默认入方向禁止所有访问,必须显式配置放行策略)

    说明 访问控制-内对内流量页面只提供给企业版、旗舰版用户,高级版用户可以到ECS安全组控制台操作。
  3. 验证策略是否满足需求。

    在日志-流量日志处查询所有流量放行、拒绝、观察情况,可以结合实际测试结果验证策略是否满足要求。

  4. 完善互联网边界防火墙策略。

    验证没有误拦截情况后,可以考虑将Any到Any的默认策略从观察修改为拒绝,注意此步骤需要评估风险后再操作。

  5. 将所有ECS主机防火墙入方向全部放通。

    请参考以下配置逻辑:

    • 在访问控制-内对内流量中的每个策略组,都添加一条0.0.0.0/0的策略。
    • 后续新购ECS,加入到已有安全组时无需再额外配置,如果加入到新建立的安全组,需要在内对内流量页面配置默认放行策略。
  6. 检查所有业务的可用性。

    在日志-流量日志处可以查询所有流量放行、拒绝、观察情况,可以结合实际测试结果验证策略是否满足要求。

  7. 配置主动外联访问控制策略(内-外流量)。

    请参考以下配置逻辑:

    • 对主动外联有访问控制需求时,可以在访问控制-内对外流量处配置。
    • 推荐只放行到特定目的域名/IP的请求,如外部API域名等。
    • 只放行到特定目的域名/IP的请求,如外部API域名等。
    • 默认拦截其它所有主动外联流量(可以先观察一段时间确认所有外联需求)。