【华为云技术分享】云小课 | 如何通过虚拟私有云保障服务安全
2020-03-27 19:18
896 查看
当您在云上部署了自己的服务后,接下来就要考虑如何保障服务的安全性了。
比如说,绑定了EIP的ECS仅允许访问公网,但不允许被公网用户访问。
再比如说,要防止某个病毒的攻击,需要隔离具有漏洞的应用端口。
.....
这些问题统统不用担心,虚拟私有云不仅可以帮助您构建虚拟网络环境,还可以提供访问控制策略进而保障您的服务安全。
访问控制
虚拟私有云主要提供以下两种访问控制策略:
- 安全组:基于ECS的访问控制
安全组是一个逻辑上的分组,为同一个VPC内具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当ECS加入该安全组后,即受到这些访问规则的保护。
- 网络ACL:基于子网的访问控制
网络ACL是对子网的访问控制策略系统,根据与子网关联的入站/出站规则,判断数据包是否被允许流入/流出关联子网。
场景一:仅允许访问公网
绑定了EIP的ECS仅允许访问公网,但不允许被公网用户访问,通过安全组实现。
安全组配置:
安全组入方向:为空,不添加任何规则。
安全组出方向:放通全部协议端口,如下所示。
方向 |
协议/应用 |
端口 |
目的地址 |
说明 |
出方向 |
全部 |
全部 |
0.0.0.0/0 |
允许所有出站流量。(默认规则) |
场景二:拒绝特定端口访问
假设要防止勒索病毒Wanna Cry的攻击,需要隔离具有漏洞的应用端口,例如TCP 445端口。您可以在子网层级添加网络ACL拒绝规则,拒绝所有对TCP 445端口的入站访问。
网络ACL配置
需要添加的入方向规则如下所示。
方向 |
动作 |
协议 |
源地址 |
源端口范围 |
目的地址 |
目的端口范围 |
说明 |
入方向 |
拒绝 |
TCP |
0.0.0.0/0 |
1-65535 |
0.0.0.0/0 |
445 |
拒绝所有IP地址通过TCP 445端口入站访问 |
今天的分享就到这里,点击了解更多,虚拟私有云等着您!
- 点赞
- 收藏
- 分享
- 文章举报
相关文章推荐
- 如何通过控制端口保障电脑安全(黑客技术小应用)
- 【华为云技术分享】【DevCloud · 敏捷智库】项目团队人员变动频繁,如何对新人进行有效培养和管理?
- Android通过hook技术实现透明加解密保障数据安全
- 【华为云技术分享】打卡APIG服务专享版,打造全栈API治理方案
- 【华为云技术分享】华为云文档数据库服务DDS监控告警全新优化
- 【华为云技术分享】深度理解AI概念、算法及如何进行AI项目开发
- Android下通过hook技术实现透明加解密保障数据安全
- 三层存储技术保障云服务的存储安全
- 【华为云技术分享】基于小熊派STM32芯片的通过MQTT上报JSON数据到华为物联网平台的自动售货机Demo解析
- 【华为云技术分享】云图说|第三方云厂商数据如何迁移至华为云OBS?真相在这里......
- 三层存储技术保障云服务的存储安全
- 【技术分享】无线通信中使用AES加密保障数据安全
- 【华为云实战开发】8.如何快速搭建C#网站并实现持续集成?【华为云技术分享】
- 如何选择合适的加密技术保障数据安全
- 【华为云技术分享】云图说|人工智能新科技—文字识别服务
- 技术分享 SVNServe如何建立SVN服务
- [技术分享 - ISA 篇] 如何通过ISA2006发布网站时实现URL跳转
- 新时代 DevOps 需求下,我们该如何保障服务的安全?
- 【技术分享】从安全公告到任意代码执行之看我如何黑掉HP的打印机