Um grupo de segurança é um firewall virtual e oferece filtragem de pacotes de dados com monitoração de estado. Ele é usado para configurar o controle de acesso à rede da CVM, do Cloud Load Balancer, do TencentDB e de outras instâncias, além de controlar o seu tráfego de saída e de entrada. É um meio importante de isolamento de segurança de rede.
É possível configurar regras de grupo de segurança para permitir ou rejeitar o tráfego de entrada e de saída de instâncias dentro do grupo de segurança.
Funcionalidades
Um grupo de segurança é um grupo lógico. É possível adicionar CVM, ENI, TencentDB e outras instâncias na mesma região com os mesmos requisitos de isolamento de segurança de rede ao mesmo grupo de segurança.
Por padrão, as instâncias no mesmo grupo de segurança não são interconectadas, a menos que você permita especificando regras.
Os grupos de segurança têm estado. O tráfego de entrada que você permitiu pode se tornar automaticamente de saída e vice-versa.
É possível modificar as regras do grupo de segurança a qualquer momento, e as novas regras entrarão em vigor imediatamente.
Origem ou destino: o IP de origem para uma regra de entrada ou o IP de destino para uma regra de saída. Pode ser um endereço IP, um intervalo de IP ou um grupo de segurança. Para mais informações, consulte Adição de uma regra de grupo de segurança.
Tipo de protocolo e porta de protocolo: o tipo de protocolo, como TCP, UDP etc.
Política: permitir ou rejeitar a solicitação de acesso.
Prioridades das regras
As regras em um grupo de segurança são priorizadas de cima para baixo. A regra no topo da lista tem a prioridade mais alta e entrará em vigor primeiro, já a regra na parte inferior tem a prioridade mais baixa e entrará em vigor por último.
Se houver um conflito de regras, a regra com a prioridade mais alta prevalecerá por padrão.
Quando o tráfego entra ou sai de uma instância vinculada a um grupo de segurança, as regras do grupo de segurança serão correspondidas sequencialmente de cima para baixo. Se uma regra for correspondida com êxito e entrar em vigor, as regras posteriores não serão correspondidas.
Vários grupos de segurança
Uma instância pode ser vinculada a um ou vários grupos de segurança. Quando ela está vinculada a vários grupos de segurança, as regras do grupo serão correspondidas sequencialmente de cima para baixo. É possível ajustar as prioridades dos grupos de segurança a qualquer momento.
Modelos de grupos de segurança
Ao criar um grupo de segurança, é possível selecionar um dos dois modelos de grupos de segurança fornecidos pela Tencent Cloud:
Modelo que abre todas as portas: todo o tráfego de entrada e de saída terá permissão para passar.
Modelo que abre as portas principais: a porta TCP 22 (para login por SSH do Linux), as portas 80 e 443 (para serviço web), a porta 3389 (para login remoto do Windows), o protocolo ICMP (para comandos ping) e a rede privada serão abertos para a internet.
Se for necessário proteger a camada de aplicativos (HTTP/HTTPS), ative o Web Application Firewall (WAF) da Tencent Cloud, que fornece segurança na web na camada de aplicativos para se defender contra vulnerabilidades na web, rastreadores mal-intencionados e ataques CC, protegendo seus sites e aplicativos web.
Como usar um grupo de segurança
A figura a seguir mostra como usar um grupo de segurança:
Práticas recomendadas de grupos de segurança
Criação de um grupo de segurança
Recomendamos que você especifique um grupo de segurança ao adquirir da CVM por API. Caso contrário, o grupo de segurança padrão será usado e não poderá ser excluído.
Se você precisar alterar a política de proteção da instância, recomendamos modificar as regras existentes em vez de criar um grupo de segurança novo.
Gerenciamento de regras
Exporte e faça backup das regras de grupos de segurança antes de modificá-las, para que você possa importá-las e restaurá-las se ocorrer um erro.
É possível adicionar instâncias com os mesmos requisitos de proteção ao mesmo grupo de segurança, em vez de configurar um grupo de segurança separado para cada instância.
Não é recomendável vincular uma instância a muitos grupos de segurança, porque as regras em diferentes grupos podem entrar em conflito e resultar na desconexão da rede.
