php Android Firefox nginx java Windows apache wordpress google mysql 云计算 Python 微软 shell 程序员 linux Ubuntu 编程 centos 开源

如何使用好阿裏雲的網絡安全隔離?深入分享阿裏雲ECS安全組實踐經驗

近期針對安全的話題非常火爆。特別邀請阿裏雲專家撰寫一組文章,深入分享阿裏雲ECS安全組實踐經驗。

阿裏雲的ECS有經典網絡和專有網絡(VPC)兩種網絡類型。經典網絡基於阿裏雲基礎網絡,通過安全組(類似虛擬防火墻)的一系列數據鏈路層、網絡層訪問控制策略實現資源隔離。安全組策略是白名單的方式,不同租戶的服務器會處於不同的安全組,默認情況下安全組僅會放行同租戶同安全組內的訪問請求。

因此安全組和防火墻一樣,一般建議配置最小開放原則,關閉不需要外部訪問的端口,僅放行必要的入網地址,避免配置的過於開放而給防火墻後的業務帶來安全風險。而VPC網絡本身就是一個獨立隔離網絡,還可以自己規劃ip地址段,授信自己的專有網絡網段訪問,因此可提供更加靈活的網絡規劃和安全管理方式。

新業務建議優先考慮VPC網絡,同時,阿裏雲也將於年中開放經典網絡的存量服務器向VPC網絡遷移的功能。

更詳細的雲服務器的網絡安全實踐可參閱:


雲服務器ECS安全組實踐(一)
https://yq.aliyun.com/articles/70403
應用上雲除了對資源生命周期管理和應用交付是一個轉變,更重要是思維方式的轉變。本篇文章就簡單介紹下上雲的一個重要概念安全組(Security Group)。本文是安全組系列的第一篇,主要介紹安全組的基本概念、約束和如何配置入網規則。

雲服務器ECS安全組實踐(二)
https://yq.aliyun.com/articles/71050
上一篇我們簡單介紹了安全組的一些規則和約束和實踐,在創建一臺雲服務的時候,它作為幾個必選參數之一,可見它的重要性。本文將繼續安全組的介紹,本篇涉及到下面的幾個內容: 授權和撤銷安全組規則 加入安全組和離開安全組 阿裏雲的網絡類型分為經典網絡和VPC,他們對安全組支持不同的設置規則。

安全組設置內網互通的方法
https://yq.aliyun.com/articles/71166
雖然0.0.0.0/0使用非常方便,但是發現很多同學使用它來做內網互通,這是有安全風險的,實例有可能會在經典網絡被內網IP訪問到。下面介紹一下四種安全的內網互聯設置方法。

直擊阿裏雲VPC: 你要的雲上安全體驗全部在這裏!
https://yq.aliyun.com/articles/71306
這幾天大家比較關註VPC,這裏向大家介紹下阿裏雲網絡相關的動態。
 

延伸阅读

    评论