网络安全组控制网络交通到云实例之间的通讯线路。如何在AWS或者Azure里设置它们呢?
网络安全组允许企业保护他们的部分公有云避开外部直接访问——类似于防火墙。与此同时,这些组确保云实例之间的数据流只被相关的实例容纳。当一些企业要求附加的公有云安全工具时,网络安全组是一个很好的开端。
网络安全组在公有云的配置方面能帮助云管理员建立网络访问控制。譬如,管理员可以设置实例的子网作为互联网访问的控制区(DMZ),同时确保在控制区里后台云实例的层级只能跟彼此,以及跟特定端口或者实例交谈。
设置网络安全组的过程因云而异。以微软Azure为例,管理员创造网络安全组,要么通过有GUI设置的Azure资源管理程序入口,要么通过脚本。Amazon Web Services(AWS)云管理员可以使用AWS的虚拟私有云控制台。
所有云实例需要归属于网络安全组,并且还存在一个阻碍从互联网而来的请求访问的默认组。尽管如此,仅仅依赖默认组通常体验很差。云服务需要跟其他应用和服务交流,但是一些实例,比如数据库,应该决不允许被互联网直接访问。
为了解决这个问题,云管理员可以创建三层云安全模型,包括如下内容:
1、顶层是与互联网直接通信的网络服务器
2、中间层要表现的像应用层,并能跟上级或下级通信。
3、底层支持数据库。因为只有中间层可以跟底层通信,数据库就能被很好的隔离。
在Azure和AWS的针对公有云安全的网络安全组里,还有其他一些相似性和不同点。它们都是规则导向系统,并且管理员可以在云实例和子网上应用规则。在AWS里,规则之间没有优先权;这使得管理员制定规则时更容易,因为不需要考虑优先规则的例外情况。Azure则维护一个优先权制度,这更像传统的防火墙设置,增加了复杂度。
Google采取了一种更传统的公有云安全方法。Google云平台有一些诸如防火墙和路由的特性,这都是拥有本地操作背景的网络管理员所熟悉的。当经验丰富的管理员可能感觉更适应Google云安全策略时,它也会增加更多的工作,因为有更多的内容需要管理。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
AWS+EasyStack:混合云大战又升级
据IDC数据显示,73%的企业云用户会采用混合云战略,因为从成本优化和安全性/合规性角度来看,混合云因为兼具公有云的灵活性与私有云的安全性而日益受到企业用户的欢迎。
-
Azure计划保护客户IP免受专利巨头的蹂躏
Microsoft是第一个拥有应用程序来专门保护其客户的知识产权(IP)免受非执行实体(更常称为专利巨头)提起的诉讼的一家云厂商。
-
ARM vs 经典管理门户:Azure资源管理大比拼
随着微软对其Azure公有云的扩展,环境的管理也变得更加复杂,特别是对于那些有许多应用、用户、订阅和云开发项目的组织。
-
亚马逊AWS的真正对手不是谷歌和微软而是阿里!
高盛指出,阿里巴巴的云计算服务,即阿里云,到2019年营收将达到50亿美元,届时估值将达到420亿美元,而AWS届时的估值将为1780亿美元。阿里云为何会直击AWS?