V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
floridaYY
V2EX  ›  云计算

云上网络安全问题

  •  
  •   floridaYY · 124 天前 · 1631 次点击
    这是一个创建于 124 天前的主题,其中的信息可能已经有所发展或是发生改变。
    刚接触云运维,我这加金融公司很多 ECS 开了弹性公网 IP ,这样不就暴露在公网了吗。
    难道不应该统一收敛至 NAT 网关和云防火墙吗

    本人菜鸡,问同事怕露出菜的本质 哈哈
    15 条回复    2024-09-11 17:19:36 +08:00
    floridaYY
        1
    floridaYY  
    OP
       124 天前
    没事了 负载均衡奶奶的
    LaLy
        2
    LaLy  
       124 天前
    那你就让他们改 NAT,还能省成本,这样不就显得你专业了么
    onichandame
        3
    onichandame  
       124 天前
    金融公司要求极低延迟,不同地区的客户应该访问的是各自最近的 ecs 吧
    shilyx
        4
    shilyx  
       124 天前
    可以用零信任,先认证后连接,不认证通过则不暴露端口等信息
    bbroot
        5
    bbroot  
       124 天前
    @shilyx 零信任的认证不就暴露了吗?不暴露怎么认证
    shilyx
        6
    shilyx  
       124 天前
    @bbroot #5 零信任的认证和业务系统的认证不是一回事。零信任是有客户端的,在你本机认证
    shilyx
        7
    shilyx  
       124 天前
    @shilyx #6 零信任本地认证 -> 建立加密通道 -> 访问业务 -> 业务认证
    直接访问业务,不通
    opengps
        8
    opengps  
       124 天前
    作为服务器难道最终不是要暴露出去业务端口吗?
    bbroot
        9
    bbroot  
       124 天前
    @shilyx 本地认证原理没明白,建立加密通道也就是 vpn 等协议吧,这个协议本身就需要暴露
    cheng6563
        10
    cheng6563  
       124 天前
    开 IP 不开端口就行了啊...没 IP 都访问不了外网非常不方便
    Vraw5
        11
    Vraw5  
       123 天前
    @cheng6563 #10 主机没公网 IP 没关系,VPC 有出口公网 IP 就可以访问外网。阿里云是这样的
    onll42y
        12
    onll42y  
       123 天前
    你说得对,从安全角度考虑应该这样设置:
    1. 设置私有子网放置业务 ECS ,
    2. 设置公有子网放置 NAT ,
    3. 业务 ECS 经由 NAT 与互联网通信
    dropdatabase
        13
    dropdatabase  
       123 天前
    同样的经历。。。好几百机器都是用公网 IP 通信。每天加安全组都是巨大的工作量
    GeekGao
        14
    GeekGao  
       123 天前
    你说的对。参考 12 楼。
    不过,没有安全团队和专业的代维就是这么随意。
    理想中最好是经过安全网关(或防火墙)统一做流量汇聚,方便安全管理
    dode
        15
    dode  
       96 天前
    公网 IP 会明显比防火墙便宜吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5431 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 01:39 · PVG 09:39 · LAX 17:39 · JFK 20:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.