網(wǎng)絡(luò)安全組控制網(wǎng)絡(luò)交通到云實(shí)例之間的通訊線路。如何在AWS或者Azure里設(shè)置它們呢?
網(wǎng)絡(luò)安全組允許企業(yè)保護(hù)他們的部分公有云避開外部直接訪問——類似于防火墻。與此同時(shí),這些組確保云實(shí)例之間的數(shù)據(jù)流只被相關(guān)的實(shí)例容納。當(dāng)一些企業(yè)要求附加的公有云安全工具時(shí),網(wǎng)絡(luò)安全組是一個(gè)很好的開端。
網(wǎng)絡(luò)安全組在公有云的配置方面能幫助云管理員建立網(wǎng)絡(luò)訪問控制。譬如,管理員可以設(shè)置實(shí)例的子網(wǎng)作為互聯(lián)網(wǎng)訪問的控制區(qū)(DMZ),同時(shí)確保在控制區(qū)里后臺(tái)云實(shí)例的層級(jí)只能跟彼此,以及跟特定端口或者實(shí)例交談。
設(shè)置網(wǎng)絡(luò)安全組的過程因云而異。以微軟Azure為例,管理員創(chuàng)造網(wǎng)絡(luò)安全組,要么通過有GUI設(shè)置的Azure資源管理程序入口,要么通過腳本。Amazon Web Services(AWS)云管理員可以使用AWS的虛擬私有云控制臺(tái)。
所有云實(shí)例需要?dú)w屬于網(wǎng)絡(luò)安全組,并且還存在一個(gè)阻礙從互聯(lián)網(wǎng)而來的請(qǐng)求訪問的默認(rèn)組。盡管如此,僅僅依賴默認(rèn)組通常體驗(yàn)很差。云服務(wù)需要跟其他應(yīng)用和服務(wù)交流,但是一些實(shí)例,比如數(shù)據(jù)庫,應(yīng)該決不允許被互聯(lián)網(wǎng)直接訪問。
為了解決這個(gè)問題,云管理員可以創(chuàng)建三層云安全模型,包括如下內(nèi)容:
1、頂層是與互聯(lián)網(wǎng)直接通信的網(wǎng)絡(luò)服務(wù)器
2、中間層要表現(xiàn)的像應(yīng)用層,并能跟上級(jí)或下級(jí)通信。
3、底層支持?jǐn)?shù)據(jù)庫。因?yàn)橹挥兄虚g層可以跟底層通信,數(shù)據(jù)庫就能被很好的隔離。
在Azure和AWS的針對(duì)公有云安全的網(wǎng)絡(luò)安全組里,還有其他一些相似性和不同點(diǎn)。它們都是規(guī)則導(dǎo)向系統(tǒng),并且管理員可以在云實(shí)例和子網(wǎng)上應(yīng)用規(guī)則。在AWS里,規(guī)則之間沒有優(yōu)先權(quán);這使得管理員制定規(guī)則時(shí)更容易,因?yàn)椴恍枰紤]優(yōu)先規(guī)則的例外情況。Azure則維護(hù)一個(gè)優(yōu)先權(quán)制度,這更像傳統(tǒng)的防火墻設(shè)置,增加了復(fù)雜度。
Google采取了一種更傳統(tǒng)的公有云安全方法。Google云平臺(tái)有一些諸如防火墻和路由的特性,這都是擁有本地操作背景的網(wǎng)絡(luò)管理員所熟悉的。當(dāng)經(jīng)驗(yàn)豐富的管理員可能感覺更適應(yīng)Google云安全策略時(shí),它也會(huì)增加更多的工作,因?yàn)橛懈嗟膬?nèi)容需要管理。