前言

安全组是阿里云服务安全领域一个重要的概念。安全组是一种虚拟防火墙，具备状态检测和数据包过滤功能，用于在云端划分安全域。可以通过配置安全组规则，允许或禁止安全组内的ECS实例对公网或私网的访问。

目前很多使用安全组的工程师都知道，在创建了安全组以后，需要配置入方向和出方向的规则，用于控制是允许或拒绝某些特定IP段对安全组内资源的访问。但很多工程师不知道这个安全组的组的概念，以及对安全组访问的授权类型的理解。很多工程师只创建一个安全组或只使用默认的安全组，这样给安全组规则的管理带来一定的复杂性，同时也带来一定的安全风险。

下图是大家经常使用的场景，多个不同类型的实例使用相同的安全组，针对不同实例的访问分别设置访问规则。

下面会给大家介绍一下安全组的组的概念，以及如何按层级设计使用安全组。

安全组的特性

安全组有以下几个特性：

1. 同一安全组内的实例之间默认内网网络互通，不同安全组的实例之间默认内网不通。
2. 可以通过安全组规则授权两个安全组之间互访。

实验1：同一安全组内的实例访问需要添加安全组访问规则吗？

Step 1: 创建安全组，命名为sg-test, 不创建任何规则；
Step 2：启动2台ECS A和B，同时都加入到安全组sg-test;
Step 3：登录到ECS A上，ping B的内网地址，可以ping 通；
Step 4：给ECS B加一个弹性IP；
Step 5：在ECS A上ping B的外网地址，不通！
Step 6: 给安全组sg-test加一条访问规则，允许ECS A的访问；
Step 7: 再次在ECS A上ping B，可以ping 通。

从上面测试步骤和结果，我们验证了同一个安全组内的实例之间是可以相互访问的，并且不需要设置任何访问规则。如果是通过外网访问，需要设置访问规则。

实验2：通过安全组规则授权实现一个安全组内的实例访问另外一个安全组

Step 1：创建安全组sg-1，sg-2，不加任何访问规则；
Step 2：将ECS A加入到安全组sg-1，将ECS B加入到sg-2；
Step 3：登录到ECS A，ping B。现在结果是不通的！
Step 4：在sg-2中添加安全组规则，协议类型选择全部ICMP(IPv4)，授权类型选择安全组访问，授权对象选择sg-1，这时sg-1里面没有添加任何安全组规则；
Step 5：这时在ECS A上再次ping B，可以ping 通！

此实验描述了如何进行安全组之间的授权，即允许一个安全组内的实例访问另一个安全组内的实例。

安全组的层级设计

因为有了安全组的授权访问，可以实现让一个安全组的实例访问另外一个安全组内的实例。所以我们可以实现下面的安全组层级设计：

AWS

这里有3个安全组：
sg-web是面向用户的，放置Application Load Balancer(ALB)可以将类似于HTTP 80，HTTPS 443端口开放给所有人；
sg-app安全组内放置EC2，允许sg-web安全组访问应用（端口8080），同时开放SSH 22端口给指定的IP，便于管理员登录进行管理和维护；
sg-rds安全组开放数据库访问端口给应用，即授权给sg-app，这样保证只有安全组sg-app内的服务才能访问数据库。

阿里云

阿里云安全组跟AWS安全组的不同

1. 授权策略：阿里云安全组授权策略有允许和拒绝，AWS安全组缺省是允许，没有拒绝的设置。
2. 统一性：AWS很多服务都是使用了安全组，比如Load Balancer、EC2、RDS，它们可以方便地基于层级来使用安全组。阿里云在统一性方面做的稍微欠缺一些，SLB负载均衡通过使用访问控制策略组来进行访问控制，数据库使用白名单和安全组来进行控制。(如理解有误，请告知。)

参考资料

1. 云服务器 ECS > 安全 > 安全组 > 安全组概述
2. AWS 文档 » Amazon EC2 » 用户指南（适用于 Linux 实例） » 网络与安全性 » Linux 实例的 Amazon EC2 安全组