


So planen und unterscheiden Sie verschiedene Sicherheitsgruppen richtig
Der Inhalt dieses Artikels befasst sich mit der sinnvollen Planung und Unterscheidung verschiedener Sicherheitsgruppen. Freunde in Not können sich darauf beziehen.
Bei der Verwendung von Sicherheitsgruppen werden in der Regel alle Cloud-Server in derselben Sicherheitsgruppe platziert, was den anfänglichen Konfigurationsaufwand reduzieren kann. Aber auf lange Sicht wird das Zusammenspiel von Geschäftssystemnetzwerken komplex und unkontrollierbar werden. Beim Durchführen von Änderungen an Sicherheitsgruppen können Sie den Umfang des Hinzufügens und Entfernens von Regeln nicht klar definieren.
Die richtige Planung und Unterscheidung verschiedener Sicherheitsgruppen erleichtert die Anpassung Ihres Systems, die Sortierung der von der Anwendung bereitgestellten Dienste und die Schichtung verschiedener Anwendungen. Es wird empfohlen, unterschiedliche Sicherheitsgruppen für unterschiedliche Unternehmen zu planen und unterschiedliche Sicherheitsgruppenregeln festzulegen.
Unterscheiden Sie zwischen verschiedenen Sicherheitsgruppen
Der Cloud-Server und der Intranetserver des öffentlichen Netzwerkdienstes versuchen, verschiedenen Sicherheitsgruppen anzugehören
Ob öffentliche Netzwerkdienste für die Außenwelt bereitgestellt werden, einschließlich der aktiven Bereitstellung bestimmter Ports für den externen Zugriff (z. B. 80, 443 usw.) oder der passiven Bereitstellung (z. B. Cloud-Server mit IP-, EIP-, NAT-Port des öffentlichen Netzwerks). (Weiterleitungsregeln usw.) Portweiterleitungsregeln führen dazu, dass auf Ihre Anwendung über das öffentliche Netzwerk zugegriffen werden kann.
Die Sicherheitsgruppenregeln, zu denen der Cloud-Server in den beiden Szenarien gehört, sollten die strengsten Regeln übernehmen. Standardmäßig sollten alle Ports und Protokolle geschlossen werden, und zwar nur die Ports, die bereitgestellt werden Externe Dienste wie 80 sollten verfügbar gemacht werden. Da nur Server gruppiert werden, die auf das externe öffentliche Netzwerk zugreifen, ist die Kontrolle beim Anpassen der Sicherheitsgruppenregeln einfacher.
Die Verantwortung für die Bereitstellung einer Servergruppierung für die Außenwelt sollte klar und einfach sein und die Bereitstellung anderer Dienste für die Außenwelt auf demselben Server vermeiden. Beispielsweise MySQL, Redis usw. wird empfohlen, diese Dienste auf einem Cloud-Server ohne Zugriff auf das öffentliche Netzwerk zu installieren und dann über die Gruppenautorisierung der Sicherheitsgruppe darauf zuzugreifen.
Wenn sich derzeit ein öffentlicher Cloud-Server in derselben Sicherheitsgruppe SG_CURRENT wie andere Anwendungen befindet. Mit den folgenden Methoden können Sie Änderungen vornehmen.
Sortieren Sie die Ports und Protokolle, die von den derzeit bereitgestellten öffentlichen Netzwerkdiensten bereitgestellt werden, z. B. 80 und 443.
Erstellen Sie eine neue Sicherheitsgruppe, z. B. SG_WEB, und fügen Sie dann die entsprechenden Ports und Regeln hinzu.
Beschreibung: Autorisierungsrichtlinie: Zulassen, Protokolltyp: ALLE, Port: 80/80, Autorisierungsobjekt: 0.0.0.0/0, Autorisierungsrichtlinie: Zulassen, Protokolltyp: ALLE, Port: 443/443 Autorisierungsobjekt : 0.0.0.0/0.
Wählen Sie die Sicherheitsgruppe SG_CURRENT aus und fügen Sie dann eine Sicherheitsgruppenregel zur Gruppenautorisierung hinzu, um Ressourcen in SG_WEB den Zugriff auf SG_CURRENT zu ermöglichen.
Beschreibung: Autorisierungsrichtlinie: Zulassen, Protokolltyp: ALLE, Port: -1/-1, Autorisierungsobjekt: SG_WEB, Priorität: angepasst an die tatsächliche Situation [1-100].
Fügen Sie eine Instanz ECS_WEB_1 hinzu, die die Sicherheitsgruppe auf die neue Sicherheitsgruppe umstellen muss.
Wählen Sie in der ECS-Konsole die Option „Sicherheitsgruppenverwaltung“ aus.
Wählen Sie SG_WEB > Instanzen verwalten > wählen Sie Instanz ECS_WEB_1 aus, um der neuen Sicherheitsgruppe SG_WEB beizutreten, und bestätigen Sie, dass der Datenverkehr und das Netzwerk der ECS_WEB_1-Instanz ordnungsgemäß funktionieren.
Verschieben Sie ECS_WEB_1 aus der ursprünglichen Sicherheitsgruppe.
Wählen Sie in der ECS-Konsole die Option „Sicherheitsgruppenverwaltung“ aus.
Wählen Sie „SG_CURRENT > Instanz verwalten“ aus, um die Instanz zu entfernen, wählen Sie „ECS_WEB_1“, entfernen Sie sie aus „SG_CURRENT“, testen Sie die Netzwerkkonnektivität und bestätigen Sie, dass der Datenverkehr und das Netzwerk ordnungsgemäß funktionieren.
Wenn es nicht richtig funktioniert, fügen Sie ECS_WEB_1 wieder zur Sicherheitsgruppe SG_CURRENT hinzu, prüfen Sie, ob der eingestellte SG_WEB-offengelegte Port wie erwartet ist, und fahren Sie dann mit der Änderung fort.
Führen Sie weitere Änderungen an der Serversicherheitsgruppe durch.
Verschiedene Anwendungen verwenden unterschiedliche Sicherheitsgruppen
In einer Produktionsumgebung gehören unterschiedliche Betriebssysteme in den meisten Fällen nicht zur gleichen Anwendung Bereitstellung von Lastausgleichsdiensten. Die Bereitstellung verschiedener Dienste bedeutet, dass die Ports, die verfügbar gemacht werden müssen, und die Ports, die verweigert werden, unterschiedlich sind. Es wird empfohlen, dass unterschiedliche Betriebssysteme möglichst unterschiedlichen Sicherheitsgruppen angehören.
Zum Beispiel müssen Sie für das Linux-Betriebssystem möglicherweise den TCP-Port (22) freigeben, um SSH zu implementieren, und für Windows müssen Sie möglicherweise eine TCP-Remotedesktopverbindung (3389) öffnen.
Zusätzlich zu unterschiedlichen Betriebssystemen, die zu unterschiedlichen Sicherheitsgruppen gehören, ist es am besten, verschiedenen Sicherheitsgruppen anzugehören, auch wenn derselbe Image-Typ unterschiedliche Dienste bereitstellt, wenn auf sie nicht über das Intranet zugegriffen werden muss. Dies erleichtert die Entkopplung und Änderung zukünftiger Sicherheitsgruppenregeln, um eine einzige Verantwortung zu erreichen.
Beim Planen und Hinzufügen neuer Anwendungen sollten Sie neben der Überlegung, verschiedene Subnetze mit virtuellen Switch-Konfigurationen aufzuteilen, auch Sicherheitsgruppen sinnvoll planen. Nutzen Sie Netzwerksegmente + Sicherheitsgruppen, um sich als Dienstanbieter und Verbraucher einzuschränken.
Informationen zum spezifischen Änderungsprozess finden Sie in den oben genannten Schritten.
Die Produktionsumgebung und die Testumgebung verwenden unterschiedliche Sicherheitsgruppen
Um das System während des eigentlichen Entwicklungsprozesses besser zu isolieren, können Sie Es können mehrere Sätze von Testumgebungen und eine Online-Umgebung erstellt werden. Um eine angemessenere Netzwerkisolation zu erreichen, müssen Sie unterschiedliche Sicherheitsrichtlinien für unterschiedliche Umgebungskonfigurationen verwenden, um zu verhindern, dass Änderungen in der Testumgebung online aktualisiert werden und die Online-Stabilität beeinträchtigen.
Beschränken Sie durch die Erstellung verschiedener Sicherheitsgruppen die Zugriffsdomäne der Anwendung, um zu verhindern, dass die Produktionsumgebung und die Testumgebung verbunden werden. Gleichzeitig können unterschiedliche Sicherheitsgruppen auch unterschiedlichen Testumgebungen zugewiesen werden, um gegenseitige Beeinträchtigungen zwischen mehreren Testumgebungen zu vermeiden und die Entwicklungseffizienz zu verbessern.
Ordnen Sie IP-Adressen des öffentlichen Netzwerks nur Subnetzen oder Cloud-Servern zu, die Zugriff auf das öffentliche Netzwerk erfordern
Ob es sich um ein klassisches Netzwerk oder ein privates Netzwerk handelt ( VPC) Eine angemessene Zuweisung öffentlicher Netzwerk-IP kann das System für die öffentliche Netzwerkverwaltung komfortabler machen und das Risiko von Systemangriffen verringern. In einem privaten Netzwerkszenario wird beim Erstellen eines virtuellen Switches empfohlen, dass Sie versuchen, die IP-Bereiche von Servicebereichen, die öffentlichen Netzwerkzugriff erfordern, in mehreren festen Switches (Subnetz-CIDRs) unterzubringen, um die Prüfung und Differenzierung zu erleichtern und eine versehentliche Offenlegung der Öffentlichkeit zu vermeiden Netzwerkzugriff.
In verteilten Anwendungen verfügen die meisten Anwendungen über unterschiedliche Ebenen und Gruppen. Versuchen Sie, keine öffentliche Netzwerk-IP bereitzustellen. Wenn es mehrere Server gibt, die öffentlichen Netzwerkzugriff bieten, ist dies der Fall Es wird empfohlen, den Lastausgleichsdienst für die Verteilung des öffentlichen Netzwerkverkehrs so zu konfigurieren, dass er das öffentliche Netzwerk bedient, um die Systemverfügbarkeit zu verbessern und Einzelpunkte zu vermeiden.
Versuchen Sie, öffentliche IP-Adressen nicht an Cloud-Server zu vergeben, die keinen öffentlichen Netzwerkzugriff benötigen. Wenn Ihr Cloud-Server in einem privaten Netzwerk auf das öffentliche Netzwerk zugreifen muss, wird empfohlen, zunächst ein NAT-Gateway zu verwenden, um ECS-Instanzen, die keine öffentliche IP in der VPC haben, Proxy-Dienste für den Zugriff auf das Internet bereitzustellen zum Konfigurieren der entsprechenden SNAT-Regeln. Es kann Funktionen für den öffentlichen Netzwerkzugriff für bestimmte CIDR-Netzwerksegmente oder Subnetze bereitstellen. Weitere Informationen zur Konfiguration finden Sie unter SNAT. Vermeiden Sie es, Dienste dem öffentlichen Netzwerk zugänglich zu machen, nachdem Sie eine öffentliche IP (EIP) zugewiesen haben, da Sie nur die Möglichkeit benötigen, auf das öffentliche Netzwerk zuzugreifen.
Mindestprinzip
Die Sicherheitsgruppe sollte auf der Whitelist stehen, daher ist es notwendig, so viele Ports wie möglich zu öffnen und freizulegen Gleichzeitig möglichst wenig öffentliche IP vergeben. Wenn Sie für Aufgabenprotokolle oder zur Fehlerbehebung auf Online-Maschinen zugreifen möchten, ist es einfach, direkt eine öffentliche IP zuzuweisen oder eine EIP bereitzustellen, aber schließlich wird die gesamte Maschine dem öffentlichen Netzwerk ausgesetzt. Eine sicherere Strategie besteht darin, sie zu verwalten durch eine Sprungbrettmaschine.
Verwenden Sie die Sprungbrettmaschine
Die Sprungbrettmaschine verfügt zusätzlich zur Führung von Prüfaufzeichnungen über Tools über umfangreiche Berechtigungen. In einem privaten Netzwerk empfiehlt es sich, die Springboard-Maschine einem dedizierten virtuellen Switch zuzuweisen und diesen mit der entsprechenden EIP- oder NAT-Port-Weiterleitungstabelle auszustatten.
Erstellen Sie zunächst eine dedizierte Sicherheitsgruppe SG_BRIDGE, indem Sie beispielsweise den entsprechenden Port öffnen, z. B. Linux TCP(22) oder Windows RDP(3389). Um die Netzwerkzugriffsregeln der Sicherheitsgruppe einzuschränken, können Sie die autorisierten Objekte begrenzen, die sich beim Ausgangsbereich des öffentlichen Netzwerks des Unternehmens anmelden können, wodurch die Wahrscheinlichkeit verringert wird, dass sie angemeldet und gescannt werden.
Fügen Sie dann den Cloud-Server als Sprungbrettmaschine zur Sicherheitsgruppe hinzu. Um der Maschine den Zugriff auf den entsprechenden Cloud-Server zu ermöglichen, können Sie die entsprechende Gruppenberechtigung konfigurieren. Fügen Sie beispielsweise eine Regel in SG_CURRENT hinzu, um SG_BRIDGE den Zugriff auf bestimmte Ports und Protokolle zu ermöglichen.
Bei Verwendung von Springboard SSH wird empfohlen, für die Anmeldung ein SSH-Schlüsselpaar anstelle eines Passworts zu verwenden.
Kurz gesagt, eine vernünftige Sicherheitsgruppenplanung erleichtert Ihnen die Erweiterung Ihrer Anwendung und macht Ihr System sicherer.
Das obige ist der detaillierte Inhalt vonSo planen und unterscheiden Sie verschiedene Sicherheitsgruppen richtig. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Heiße KI -Werkzeuge

Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool
Ausziehbilder kostenlos

Clothoff.io
KI-Kleiderentferner

AI Hentai Generator
Erstellen Sie kostenlos Ai Hentai.

Heißer Artikel

Heiße Werkzeuge

Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor

SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen

Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung

Dreamweaver CS6
Visuelle Webentwicklungstools

SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)

Heiße Themen



Verwenden Sie Python im Linux -Terminal ...

Multithreading in der Sprache kann die Programmeffizienz erheblich verbessern. Es gibt vier Hauptmethoden, um Multithreading in C -Sprache zu implementieren: Erstellen Sie unabhängige Prozesse: Erstellen Sie mehrere unabhängig laufende Prozesse. Jeder Prozess hat seinen eigenen Speicherplatz. Pseudo-MultitHhreading: Erstellen Sie mehrere Ausführungsströme in einem Prozess, der denselben Speicherplatz freigibt und abwechselnd ausführt. Multi-Thread-Bibliothek: Verwenden Sie Multi-Thread-Bibliotheken wie PThreads, um Threads zu erstellen und zu verwalten, wodurch reichhaltige Funktionen der Thread-Betriebsfunktionen bereitgestellt werden. Coroutine: Eine leichte Multi-Thread-Implementierung, die Aufgaben in kleine Unteraufgaben unterteilt und sie wiederum ausführt.

Um eine Web.xml -Datei zu öffnen, können Sie die folgenden Methoden verwenden: Verwenden Sie einen Texteditor (z.

In Bezug auf das Problem der Entfernung des Python -Dolmetschers, das mit Linux -Systemen ausgestattet ist, werden viele Linux -Verteilungen den Python -Dolmetscher bei der Installation vorinstallieren, und verwendet den Paketmanager nicht ...

Linux wird am besten als Serververwaltung, eingebettete Systeme und Desktop -Umgebungen verwendet. 1) In der Serververwaltung wird Linux verwendet, um Websites, Datenbanken und Anwendungen zu hosten und Stabilität und Zuverlässigkeit bereitzustellen. 2) In eingebetteten Systemen wird Linux aufgrund seiner Flexibilität und Stabilität in Smart Home und Automotive Electronic Systems häufig verwendet. 3) In der Desktop -Umgebung bietet Linux reichhaltige Anwendungen und eine effiziente Leistung.

Debianlinux ist bekannt für seine Stabilität und Sicherheit und wird in Server-, Entwicklungs- und Desktop -Umgebungen häufig verwendet. Während es derzeit einen Mangel an offiziellen Anweisungen zur direkten Kompatibilität mit Debian und Hadoop gibt, wird dieser Artikel Sie dazu veranlassen, Hadoop in Ihrem Debian -System bereitzustellen. Debian -Systemanforderungen: Bevor Sie mit der Hadoop -Konfiguration beginnen, stellen Sie bitte sicher, dass Ihr Debian -System die Mindestanforderungen von Hadoop erfüllt, einschließlich der Installation der erforderlichen Java -Laufzeitumgebung (JRE) und Hadoop -Pakete. Schritte zur Bereitstellung von Hadoop -Bereitstellungen: Download und Unzip Hadoop: Laden Sie die Hadoop -Version von der offiziellen Apachehadoop -Website herunter und lösen Sie sie

Muss ich einen Oracle -Client installieren, wenn ich mit GO eine Verbindung zu einer Oracle -Datenbank herstellen kann? Bei der Entwicklung in Go ist die Verbindung zu Oracle -Datenbanken eine übliche Anforderung ...

"DebianStrings" ist kein Standardbegriff und seine spezifische Bedeutung ist noch unklar. Dieser Artikel kann seine Browserkompatibilität nicht direkt kommentieren. Wenn sich jedoch "DebianStrings" auf eine Webanwendung bezieht, die auf einem Debian -System ausgeführt wird, hängt seine Browserkompatibilität von der technischen Architektur der Anwendung selbst ab. Die meisten modernen Webanwendungen sind für die Kompatibilität des Cross-Browsers verpflichtet. Dies beruht auf den folgenden Webstandards und der Verwendung gut kompatibler Front-End-Technologien (wie HTML, CSS, JavaScript) und Back-End-Technologien (wie PHP, Python, Node.js usw.). Um sicherzustellen, dass die Anwendung mit mehreren Browsern kompatibel ist, müssen Entwickler häufig Kreuzbrowser-Tests durchführen und die Reaktionsfähigkeit verwenden
