本文探讨了企业云化进程中对公网出入口(DMZ)的系统性规划,包括通过NAT网关实现统一出口、安全防护措施、共享带宽降低成本、以及多层容灾和安全策略。方案强调了IT部门在安全管理中的关键角色,适用于企业级网络安全、流量审计和权限统一管控场景。
随着企业业务云化进程逐渐进入深水区,简单地使用云上资源出入公网已经无法满足业务的诉求,安全、成本、权限、监控等诉求的迭代,需要企业有系统性地视角来考虑如何做好公网出入口(DMZ)的规划设计。云上公网的设计可以帮助企业更加统一、安全的管理自己的云上互联网出入口,同时可以实现统一监控运维和公网的成本优化。
方案介绍
云上公网架构设计和安全管理
在DMZ VPC构建通过 NAT网关部署统一云上公网出口,统一管理出网流量。DMZ VPC与后端业务VPC通过转发路由器TR联通,ALB/NLB跨VPC挂载能力保障后端业务VPC无需暴露在公网。共享带宽产品针对EIP进行统一管理和带宽共享,节约公网成本。通过DDoS防护、WAF、云防火墙等安全产品的组合防护来自互联网的入向访问流量,和云上VPC的访问互联网流量。
解决问题:管理分散
通过部署统一公网出口,由企业IT部门管控,业务VPC通过转发路由器TR实现跨VPC出公网,防止业务部门私开公网资源导致业务遭受安全威胁。
解决问题:安全威胁
将企业的WAN能力放到DMZ VPC,在该VPC中部署NAT网关、NLB、ALB等云产品可以联动DDos防护、WAF、云防火墙等安全产品保障公网出口安全,防止潜在针对云资源的攻击侵入。
解决问题:成本较高
使用共享带宽实现出入口EIP带宽共享,优化公网成本。网元产品按使用量付费,降低不必要的开支。
方案优势
高可靠
提供多层次的容灾策略与跨可用区级高
最低0.47元/天 解锁文章
扫一扫
932
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
