Os grupos de segurança são usados para gerenciar se um Cloud Virtual Machine (CVM) fica acessível. É possível configurar regras de entrada e de saída para grupos de segurança para especificar se o seu servidor pode ser acessado ou pode acessar outros recursos de rede.
As regras padrão de entrada e de saída para grupos de segurança são as seguintes:
Para garantir a segurança dos dados, a regra de entrada para um grupo de segurança é uma política de rejeição que nega o acesso remoto de redes externas. Para tornar seu CVM acessível a recursos externos, é necessário permitir a regra de entrada para a porta correspondente.
A regra de saída para um grupo de segurança especifica se o CVM pode acessar recursos de redes externas. Se você selecionar Open all Ports (Abrir todas as portas) ou Open Ports 22, 80, 443, 3389 and ICMP protocol (Abrir as portas 22, 80, 443, 3389 e o protocolo ICMP), a regra de saída para o grupo de segurança abre as portas para a internet. Se você selecionar uma regra de grupo de segurança personalizada, a regra de saída bloqueia todas as portas por padrão e é necessário configurar a regra de saída para permitir que a porta correspondente acesse recursos de redes externas.
Casos de uso comuns
Este documento descreve vários casos de uso comuns de grupos de segurança. Se algum dos casos abaixo atender aos seus requisitos, é possível definir seus grupos de segurança de acordo com a configuração recomendada para o caso de uso correspondente.
Cenário 1: conexão remota a um CVM do Linux por SSH
Caso: você criou um CVM do Linux e deseja se conectar a ele remotamente por SSH.
Solução: ao adicionar uma regra de entrada, defina Type (Tipo) como Linux Login (Login no Linux) e abra a porta TCP 22 para a internet, a fim de permitir o login do Linux por SSH.
É possível abrir todos os endereços IP ou um endereço IP especificado (ou intervalo de endereços IP) para a internet, conforme necessário. Isso permite que você configure os endereços IP de origem que podem acessar os CVMs por SSH de forma remota. |
Entrada | Login no Linux | Todos os endereços IP: 0.0.0.0/0 Endereço IP especificado: um endereço IP ou intervalo de endereços IP especificado | TCP: 22 | Permitir |
Cenário 2: conexão remota a um CVM do Windows por RDP
Caso: você criou um CVM do Windows e deseja conectar-se a ele remotamente por meio da Conexão de área de trabalho remota (RDP).
Solução: ao adicionar uma regra de entrada, defina Type (Tipo) como Windows Login (Login no Windows) e abra a porta TCP 3389 para a internet, a fim de habilitar o login remoto no Windows.
É possível abrir todos os endereços IP ou um endereço IP especificado (ou intervalo de endereços IP) para a internet, conforme necessário. Isso habilita que você configure os endereços IP de origem que podem acessar remotamente os CVMs por RDP. |
Entrada | Login no Windows | Todos os endereços IP: 0.0.0.0/0 Endereço IP especificado: um endereço IP ou intervalo de endereços IP especificado | TCP: 3389 | Permitir |
Cenário 3: execução de ping de um CVM a partir da internet
Caso: você criou um CVM e deseja verificar se a comunicação o CVM e outros CVMs está normal.
Solução: teste a conexão usando o programa de ping. Especificamente, ao adicionar uma regra de entrada, defina o Type (Tipo) como Ping e abra as portas do protocolo ICMP para a internet, a fim de permitir que outros CVMs acessem esse CVM por meio do ICMP.
É possível abrir todos os endereços IP ou um endereço IP especificado (ou intervalo de endereços IP) para a internet, conforme necessário. Isso permite que você configure os endereços IP de origem que podem acessar esse CVM por meio do ICMP. |
Entrada | Ping | Todos os endereços IP: 0.0.0.0/0 Endereço IP especificado: um endereço IP ou intervalo de endereços IP especificado | ICMP | Permitir |
Cenário 4: login remoto em um CVM por meio do Telnet
Caso: você deseja fazer login remotamente em um CVM por meio do Telnet.
Solução: ao adicionar uma regra de entrada, configure a seguinte regra de grupo de segurança: |
Entrada | Personalizado | Todos os endereços IP: 0.0.0.0/0 Endereço IP especificado: um endereço IP ou intervalo de endereços IP especificado | TCP: 23 | Permitir |
Cenário 5: autorização de acesso a um serviço Web por meio de HTTP ou HTTPS
Caso: você criou um site e deseja permitir que os usuários o acessem por meio de HTTP ou HTTPS.
Solução: ao adicionar uma regra de entrada, configure as regras de grupo de segurança, conforme necessário: Permitir que todos os endereços IP na internet acessem este site
|
Entrada | HTTP (80) | 0.0.0.0/0 | TCP: 80 | Permitir |
Entrada | HTTPS (443) | 0.0.0.0/0 | TCP: 443 | Permitir |
Permitir que alguns endereços IP na internet acessem este site
|
Entrada | HTTP (80) | Endereço IP ou intervalo de endereços IP que tem permissão para acessar seu site | TCP: 80 | Permitir |
Entrada | HTTPS (443) | Endereço IP ou intervalo de endereços IP que tem permissão para acessar seu site | TCP: 443 | Permitir |
Cenário 6: permissão para um endereço IP externo acessar uma porta especificada
Caso: você implantou um serviço e deseja que a porta de serviços especificada (como a porta 1101) seja acessível externamente.
Solução: ao adicionar uma regra de entrada, defina o Type (Tipo) como Custom (Personalizado) e abra a porta TCP 1101 para a internet, a fim de que recursos externos acessem a porta de serviços especificada.
É possível abrir todos os endereços IP ou um endereço IP especificado (ou intervalo de endereços IP) para a internet, conforme necessário. Isso permite que o endereço IP de origem acesse a porta de serviços especificada. |
Entrada | Personalizado | Todos os endereços IP: 0.0.0.0/0 Endereço IP especificado: um endereço IP ou intervalo de endereços IP especificado | TCP: 1101 | Permitir |
Cenário 7: negação do acesso a uma porta especificada por endereços IP externos
Caso: você implantou um serviço e deseja bloquear o acesso externo a uma porta de serviços especificada (como a porta 1102).
Solução: ao adicionar uma regra de entrada, defina o Type (Tipo) como Custom (Personalizado), configure a porta TCP 1102 e defina a Policy (Política) como Reject (Rejeitar), a fim de negar o acesso externo à porta de serviços especificada. |
Entrada | Personalizado | Todos os endereços IP: 0.0.0.0/0 Endereço IP especificado: um endereço IP ou intervalo de endereços IP especificado | TCP: 1102 | Rejeitar |
Cenário 8: permissão para um CVM acessar apenas um endereço IP externo especificado
Caso: você deseja que seu CVM acesse apenas um endereço IP externo especificado.
Solução: adicione duas regras de saída de grupo de segurança, referindo-se às seguintes configurações:
Permitir que a instância do CVM acesse um endereço IP público especificado
Não permitir que a instância do CVM acesse endereços IP públicos por meio de nenhum protocolo
Nota:
A regra que permite o acesso deve ter uma prioridade mais alta do que a regra que nega o acesso.
|
Saída | Personalizado | O endereço IP público especificado que pode ser acessado pelo CVM | O protocolo e a porta necessários | Permitir |
Saída | Personalizado | 0.0.0.0/0 | Todos | Rejeitar |
Cenário 9: negação para um CVM acessar apenas um endereço IP externo especificado
Caso: você não deseja que seu CVM acesse um endereço IP externo especificado.
Solução: adicione uma regra de grupo de segurança referindo-se à seguinte configuração:
|
Saída | Personalizado | O endereço IP público especificado que você não deseja que seja acessado pelo CVM | Todos | Rejeitar |
Cenário 10: upload ou download de um arquivo de um CVM por FTP
Caso: você deseja fazer upload ou download de um arquivo de um CVM usando um programa FTP.
Solução: adicione uma regra de grupo de segurança referindo-se à seguinte configuração:
|
Entrada | Personalizado | 0.0.0.0/0 | TCP: 20-21 | Permitir |
Combinação de vários cenários
Em um cenário real, pode ser útil configurar várias regras de grupo de segurança com base nos requisitos de serviço, por exemplo, configurar regras de entrada ou saída ao mesmo tempo. Um CVM pode estar vinculado a um ou mais grupos de segurança. Quando um CVM está vinculado a vários grupos de segurança, eles são combinados e executados em ordem decrescente de prioridade. É possível ajustar as prioridades dos grupos de segurança a qualquer momento.