《Linux系统安全：纵深防御、安全扫描与入侵检测 》 —2.6　在公有云上实施网络安全防护

2.6　在公有云上实施网络安全防护

随着云计算的兴起和公有云资源性价比的提高，大量的企业正在计划或已经把业务从自有互联网数据中心（Internet Data Center，IDC）迁移到公有云上。

在国内，知名的公有云厂商举例如下：

阿里云（https://www.aliyun.com）

腾讯云（https://cloud.tencent.com）

华为云（https://www.huaweicloud.com）

金山云（http://www.ksyun.com）

在国外，知名的公有云厂商举例如下：

亚马逊AWS（https://aws.amazon.com）

微软Azure（https://azure.microsoft.com）

谷歌云（https://cloud.google.com）

在企业IT基础设施迁移到公有云的过程中，可以通过良好的架构设计和运维实践来进行网络安全防护。

2.6.1　减少公网暴露的云服务器数量

通过合理规划架构来减少公网暴露的云服务器数量是减小攻击面和提高系统安全级别的重要手段。笔者建议在规划架构时可以考虑使用公有云上提供的弹性负载均衡（Elastic Load Balance）和NAT网关（NAT Gateway）来实现这一目的。

弹性负载均衡将访问流量自动分发到多台云服务器，从而扩展应用系统对外的整体服务能力，实现更高水平的应用容错。弹性负载均衡除了实现业务分流、负载均衡功能之外，也极大地减少了云服务器对公网IP的需求（减少成本支出），还减少了对外暴露的攻击面（增加安全性）。

NAT网关能够为虚拟专有网络（Virtual Private Cloud，VPC）内的弹性云服务器提供源网络地址转换（SNAT）功能。通过灵活简易的配置，即可轻松构建虚拟专有网络的公网出口。NAT网关为虚拟专有网络内云服务器提供主动连接到互联网的服务。

如图2-6所示是某物流电子商务公司的混合云网络架构设计图。

在图2-6中，我们使用公有云上的VPN Gateway来把本地机房和公有云VPC以内网的形式连接起来，同时在公有云上使用弹性负载均衡、NAT网关来减少云服务器的公网暴露。

图2-6　混合云网络架构设计图