


Comment planifier et distinguer correctement les différents groupes de sécurité
Le contenu de cet article explique comment planifier et distinguer raisonnablement différents groupes de sécurité. Il a une certaine valeur de référence. Les amis dans le besoin peuvent s'y référer.
Lors de l'utilisation de groupes de sécurité, tous les serveurs cloud sont généralement placés dans le même groupe de sécurité, ce qui peut réduire la charge de travail de configuration initiale. Mais à long terme, l’interaction des réseaux des systèmes d’entreprise deviendra complexe et incontrôlable. Lorsque vous effectuez des modifications de groupe de sécurité, vous ne pourrez pas définir clairement la portée de l'ajout et de la suppression de règles.
Planifier et distinguer correctement les différents groupes de sécurité facilitera l'ajustement de votre système, le tri des services fournis par l'application et la superposition de différentes applications. Il est recommandé de planifier différents groupes de sécurité pour différentes entreprises et de définir différentes règles de groupe de sécurité.
Distinguer les différents groupes de sécurité
Le serveur cloud et le serveur intranet du service de réseau public tentent d'appartenir à des groupes de sécurité différents
Si les services de réseau public sont fournis au monde extérieur, notamment en exposant activement certains ports pour un accès externe (tels que 80, 443, etc.), ou en les fournissant passivement (tels que des serveurs cloud avec IP de réseau public, EIP, port NAT) règles de redirection, etc.) règles de redirection de port, conduiront à Votre application est accessible depuis le réseau public. Les règles du groupe de sécurité auquel appartient le serveur cloud dans les deux scénarios doivent adopter les règles les plus strictes. Il est recommandé de refuser la priorité. Par défaut, tous les ports et protocoles doivent être fermés, et uniquement les ports qui fournissent. les services externes, tels que 80, devraient être exposés ,443. Étant donné que seuls les serveurs qui accèdent au réseau public externe sont regroupés, il est plus facile à contrôler lors de l'ajustement des règles du groupe de sécurité. La responsabilité de fournir un regroupement de serveurs au monde extérieur doit être claire et simple, et éviter de fournir d'autres services au monde extérieur sur le même serveur. Par exemple, MySQL, Redis, etc., il est recommandé d'installer ces services sur un serveur cloud sans accès au réseau public, puis d'y accéder via l'autorisation de groupe du groupe de sécurité. S'il existe actuellement un serveur cloud public dans le même groupe de sécurité SG_CURRENT que d'autres applications. Vous pouvez apporter des modifications à l'aide des méthodes suivantes. Triez les ports et les protocoles exposés par les services de réseau public actuellement fournis, tels que 80 et 443. Créez un nouveau groupe de sécurité, tel que SG_WEB, puis ajoutez les ports et règles correspondants. Description : Politique d'autorisation : Autoriser, Type de protocole : TOUS, Port : 80/80, Objet d'autorisation : 0.0.0.0/0, Politique d'autorisation : Autoriser, Type de protocole : TOUS, Port : 443/443 Objet d'autorisation : 0.0.0.0/0. Sélectionnez le groupe de sécurité SG_CURRENT, puis ajoutez une règle de groupe de sécurité à l'autorisation de groupe pour autoriser les ressources de SG_WEB à accéder à SG_CURRENT. Description : Politique d'autorisation : Autoriser, type de protocole : TOUS, port : -1/-1, objet d'autorisation : SG_WEB, priorité : personnalisée en fonction de la situation réelle [1-100]. Ajoutez une instance ECS_WEB_1 qui doit basculer le groupe de sécurité vers le nouveau groupe de sécurité. Dans la console ECS, sélectionnez Gestion des groupes de sécurité. Sélectionnez SG_WEB > Gérer les instances > Ajouter une instance, sélectionnez l'instance ECS_WEB_1 pour rejoindre le nouveau groupe de sécurité SG_WEB et confirmez que le trafic et le réseau de l'instance ECS_WEB_1 fonctionnent correctement. Déplacez ECS_WEB_1 hors du groupe de sécurité d'origine. Dans la console ECS, sélectionnez Gestion des groupes de sécurité. Sélectionnez SG_CURRENT > Gérer l'instance > pour supprimer l'instance, sélectionnez ECS_WEB_1, supprimez-la de SG_CURRENT, testez la connectivité réseau et confirmez que le trafic et le réseau fonctionnent correctement. Si cela ne fonctionne pas correctement, ajoutez ECS_WEB_1 au groupe de sécurité SG_CURRENT, vérifiez si le port exposé SG_WEB défini est comme prévu, puis continuez à modifier. Effectuez d'autres modifications du groupe de sécurité du serveur.Différentes applications utilisent différents groupes de sécurité
Dans un environnement de production, différents systèmes d'exploitation n'appartiendront pas à la même application dans la plupart des cas regroupés dans fournir des services d’équilibrage de charge. Fournir des services différents signifie que les ports qui doivent être exposés et ceux qui sont refusés sont différents. Il est recommandé, dans la mesure du possible, que différents systèmes d'exploitation appartiennent à des groupes de sécurité différents. Par exemple, pour le système d'exploitation Linux, vous devrez peut-être exposer le port TCP (22) pour implémenter SSH, et pour Windows, vous devrez peut-être ouvrir une connexion de bureau à distance TCP (3389). En plus des différents systèmes d'exploitation appartenant à différents groupes de sécurité, même si le même type d'image fournit des services différents, il est préférable d'appartenir à des groupes de sécurité différents s'il n'est pas nécessaire d'y accéder via l'intranet. Cela facilite le découplage et la modification des futures règles du groupe de sécurité pour parvenir à une responsabilité unique. Lors de la planification et de l'ajout de nouvelles applications, en plus d'envisager de diviser différents sous-réseaux de configuration de commutateur virtuel, vous devez également planifier raisonnablement les groupes de sécurité. Utilisez des segments de réseau + des groupes de sécurité pour vous limiter en tant que fournisseur de services et consommateur. Pour le processus de changement spécifique, veuillez vous référer aux étapes ci-dessus.L'environnement de production et l'environnement de test utilisent différents groupes de sécurité
Afin de mieux isoler le système, pendant le processus de développement proprement dit, vous Plusieurs ensembles d'environnements de test et un environnement en ligne peuvent être créés. Afin d'obtenir une isolation réseau plus raisonnable, vous devez utiliser différentes politiques de sécurité pour différentes configurations d'environnement afin d'éviter que les modifications apportées à l'environnement de test ne soient actualisées en ligne et n'affectent la stabilité en ligne.En créant différents groupes de sécurité, limitez le domaine d'accès de l'application pour éviter que l'environnement de production et l'environnement de test ne soient connectés. Dans le même temps, différents groupes de sécurité peuvent également être affectés à différents environnements de test pour éviter les interférences mutuelles entre plusieurs environnements de test et améliorer l'efficacité du développement.
Attribuez uniquement l'IP du réseau public aux sous-réseaux ou aux serveurs cloud qui nécessitent un accès au réseau public
Qu'il s'agisse d'un réseau classique ou d'un réseau privé ( VPC) Parmi eux, une allocation raisonnable de l'IP du réseau public peut rendre le système plus pratique pour la gestion du réseau public et réduire le risque d'attaques du système. Dans un scénario de réseau privé, lors de la création d'un commutateur virtuel, il est recommandé d'essayer de placer les plages IP des zones de service qui nécessitent un accès au réseau public dans plusieurs commutateurs fixes (CIDR de sous-réseau) pour faciliter l'audit et la différenciation et éviter une exposition accidentelle au public. accès au réseau.
Dans les applications distribuées, la plupart des applications ont différentes couches et groupes. Pour les serveurs cloud qui ne fournissent pas d'accès au réseau public, essayez de ne pas fournir l'adresse IP du réseau public. S'il existe plusieurs serveurs fournissant un accès au réseau public, c'est le cas. Il est recommandé de configurer le service d'équilibrage de charge pour la distribution du trafic du réseau public afin de desservir le réseau public afin d'améliorer la disponibilité du système et d'éviter les points uniques.
Essayez de ne pas attribuer d'adresses IP publiques aux serveurs cloud qui ne nécessitent pas d'accès au réseau public. Lorsque votre serveur cloud doit accéder au réseau public dans un réseau privé, il est d'abord recommandé d'utiliser une passerelle NAT pour fournir des services proxy d'accès à Internet pour les instances ECS qui n'ont pas d'adresse IP publique dans le VPC. pour configurer les règles SNAT correspondantes. Il peut fournir des capacités d'accès au réseau public pour des segments ou sous-réseaux de réseau CIDR spécifiques. Pour une configuration détaillée, voir SNAT. Évitez d'exposer les services au réseau public après avoir attribué une adresse IP publique (EIP), car vous n'avez besoin que de la possibilité d'accéder au réseau public.
Principe minimum
Le groupe de sécurité doit être sur liste blanche, il est donc nécessaire d'ouvrir et d'exposer le moins de ports possible, et en même temps, le moins possible Attribuez une adresse IP publique. Si vous souhaitez accéder aux machines en ligne pour les journaux de tâches ou le dépannage des erreurs, il est simple d'attribuer directement une adresse IP publique ou de monter une EIP, mais après tout, la machine entière sera exposée au réseau public. Une stratégie plus sûre consiste à la gérer. grâce à une machine à tremplin.
Utilisez la machine tremplin
La machine tremplin dispose d'énormes autorisations, en plus de conserver des enregistrements d'audit grâce à des outils. Dans un réseau privé, il est recommandé d'attribuer la machine tremplin à un switch virtuel dédié et de lui fournir la table de redirection de port EIP ou NAT correspondante.
Créez d'abord un groupe de sécurité dédié SG_BRIDGE, par exemple en ouvrant le port correspondant, tel que Linux TCP(22) ou Windows RDP(3389). Afin de limiter les règles d'accès au réseau du groupe de sécurité, vous pouvez limiter les objets autorisés pouvant se connecter à la plage de sortie du réseau public de l'entreprise, réduisant ainsi la probabilité d'être connecté et analysé.
Ajoutez ensuite le serveur cloud comme tremplin au groupe de sécurité. Afin de permettre à cette machine d'accéder au serveur cloud correspondant, vous pouvez configurer l'autorisation de groupe correspondante. Par exemple, ajoutez une règle dans SG_CURRENT pour autoriser SG_BRIDGE à accéder à certains ports et protocoles.
Lorsque vous utilisez Springboard SSH, il est recommandé d'utiliser une paire de clés SSH au lieu d'un mot de passe pour vous connecter.
En bref, une planification raisonnable du groupe de sécurité vous permettra d'étendre plus facilement votre application et de rendre votre système plus sécurisé.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Outils d'IA chauds

Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool
Images de déshabillage gratuites

Clothoff.io
Dissolvant de vêtements AI

AI Hentai Generator
Générez AI Hentai gratuitement.

Article chaud

Outils chauds

Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit

SublimeText3 version chinoise
Version chinoise, très simple à utiliser

Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP

Dreamweaver CS6
Outils de développement Web visuel

SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)

Pour ouvrir un fichier web.xml, vous pouvez utiliser les méthodes suivantes: Utilisez un éditeur de texte (tel que le bloc-notes ou TextEdit) pour modifier les commandes à l'aide d'un environnement de développement intégré (tel qu'Eclipse ou NetBeans) (Windows: Notepad web.xml; Mac / Linux: Open -A TextEdit web.xml)

Le multithreading dans la langue peut considérablement améliorer l'efficacité du programme. Il existe quatre façons principales d'implémenter le multithreading dans le langage C: créer des processus indépendants: créer plusieurs processus en cours d'exécution indépendante, chaque processus a son propre espace mémoire. Pseudo-Multithreading: Créez plusieurs flux d'exécution dans un processus qui partagent le même espace mémoire et exécutent alternativement. Bibliothèque multi-thread: Utilisez des bibliothèques multi-threades telles que PTHEADS pour créer et gérer des threads, en fournissant des fonctions de fonctionnement de thread riches. Coroutine: une implémentation multi-thread légère qui divise les tâches en petites sous-tâches et les exécute tour à tour.

Linux est mieux utilisé comme gestion de serveurs, systèmes intégrés et environnements de bureau. 1) Dans la gestion des serveurs, Linux est utilisé pour héberger des sites Web, des bases de données et des applications, assurant la stabilité et la fiabilité. 2) Dans les systèmes intégrés, Linux est largement utilisé dans les systèmes électroniques intelligents et automobiles en raison de sa flexibilité et de sa stabilité. 3) Dans l'environnement de bureau, Linux fournit des applications riches et des performances efficaces.

Debianlinux est connu pour sa stabilité et sa sécurité et est largement utilisé dans les environnements de serveur, de développement et de bureau. Bien qu'il y ait actuellement un manque d'instructions officielles sur la compatibilité directe avec Debian et Hadoop, cet article vous guidera sur la façon de déployer Hadoop sur votre système Debian. Exigences du système Debian: Avant de commencer la configuration de Hadoop, assurez-vous que votre système Debian répond aux exigences de fonctionnement minimales de Hadoop, qui comprend l'installation de l'environnement d'exécution Java (JRE) nécessaire et des packages Hadoop. Étapes de déploiement de Hadoop: Télécharger et unzip Hadoop: Téléchargez la version Hadoop dont vous avez besoin sur le site officiel d'Apachehadoop et résolvez-le

Dois-je installer un client Oracle lors de la connexion à une base de données Oracle à l'aide de Go? Lorsque vous développez GO, la connexion aux bases de données Oracle est une exigence commune ...

"Debianstrings" n'est pas un terme standard, et sa signification spécifique n'est pas encore claire. Cet article ne peut pas commenter directement la compatibilité de son navigateur. Cependant, si "DebianStrings" fait référence à une application Web exécutée sur un système Debian, sa compatibilité du navigateur dépend de l'architecture technique de l'application elle-même. La plupart des applications Web modernes se sont engagées à compatibilité entre les navigateurs. Cela repose sur les normes Web suivantes et l'utilisation de technologies frontales bien compatibles (telles que HTML, CSS, JavaScript) et les technologies back-end (telles que PHP, Python, Node.js, etc.). Pour s'assurer que l'application est compatible avec plusieurs navigateurs, les développeurs doivent souvent effectuer des tests croisés et utiliser la réactivité

J'ai développé un projet appelé Lua-Libuv et je suis heureux de partager mon expérience. L'intention initiale du projet est d'explorer comment utiliser Libuv (une bibliothèque d'E / S asynchrone écrite en c) pour créer un serveur HTTP simple sans avoir à apprendre le langage C en profondeur. Avec l'aide de Chatgpt, j'ai terminé le code de base de HTTP.C. Lorsque je traite des connexions persistantes, j'ai réussi à mettre en œuvre la clôture de la connexion et à libérer les ressources au bon moment. Au début, j'ai essayé de créer un serveur simple qui a mis fin au programme principal en fermant la connexion, mais j'ai eu quelques problèmes. J'ai essayé d'envoyer des blocs de données à l'aide de streaming, et pendant que cela fonctionne, cela bloque le thread principal. En fin de compte, j'ai décidé d'abandonner cette approche parce que mon objectif n'était pas d'apprendre la langue C en profondeur. Enfin, je

Les principales raisons pour lesquelles vous ne pouvez pas vous connecter à MySQL en tant que racines sont des problèmes d'autorisation, des erreurs de fichier de configuration, des problèmes de mot de passe incohérents, des problèmes de fichiers de socket ou une interception de pare-feu. La solution comprend: vérifiez si le paramètre Bind-Address dans le fichier de configuration est configuré correctement. Vérifiez si les autorisations de l'utilisateur racine ont été modifiées ou supprimées et réinitialisées. Vérifiez que le mot de passe est précis, y compris les cas et les caractères spéciaux. Vérifiez les paramètres et les chemins d'autorisation du fichier de socket. Vérifiez que le pare-feu bloque les connexions au serveur MySQL.
