《Linux系统安全:纵深防御、安全扫描与入侵检测 》 —2.6 在公有云上实施网络安全防护

华章计算机 发表于 2019/11/14 11:45:11 2019/11/14
【摘要】 本节书摘来自华章计算机《Linux系统安全:纵深防御、安全扫描与入侵检测》一书中第2章,第2.6节,作者是胥峰。

2.6 在公有云上实施网络安全防护

随着云计算的兴起和公有云资源性价比的提高,大量的企业正在计划或已经把业务从自有互联网数据中心(Internet Data Center,IDC)迁移到公有云上。

在国内,知名的公有云厂商举例如下:

阿里云(https://www.aliyun.com)

腾讯云(https://cloud.tencent.com)

华为云(https://www.huaweicloud.com)

金山云(http://www.ksyun.com)

在国外,知名的公有云厂商举例如下:

亚马逊AWS(https://aws.amazon.com)

微软Azure(https://azure.microsoft.com)

谷歌云(https://cloud.google.com)

在企业IT基础设施迁移到公有云的过程中,可以通过良好的架构设计和运维实践来进行网络安全防护。

2.6.1 减少公网暴露的云服务器数量

通过合理规划架构来减少公网暴露的云服务器数量是减小攻击面和提高系统安全级别的重要手段。笔者建议在规划架构时可以考虑使用公有云上提供的弹性负载均衡(Elastic Load Balance)和NAT网关(NAT Gateway)来实现这一目的。

弹性负载均衡将访问流量自动分发到多台云服务器,从而扩展应用系统对外的整体服务能力,实现更高水平的应用容错。弹性负载均衡除了实现业务分流、负载均衡功能之外,也极大地减少了云服务器对公网IP的需求(减少成本支出),还减少了对外暴露的攻击面(增加安全性)。

NAT网关能够为虚拟专有网络(Virtual Private Cloud,VPC)内的弹性云服务器提供源网络地址转换(SNAT)功能。通过灵活简易的配置,即可轻松构建虚拟专有网络的公网出口。NAT网关为虚拟专有网络内云服务器提供主动连接到互联网的服务。

如图2-6所示是某物流电子商务公司的混合云网络架构设计图。

在图2-6中,我们使用公有云上的VPN Gateway来把本地机房和公有云VPC以内网的形式连接起来,同时在公有云上使用弹性负载均衡、NAT网关来减少云服务器的公网暴露。

 image.png

图2-6 混合云网络架构设计图


【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。