为了庆贺百度开放云正式更名百度云,本云从今儿起为大家准备了百度云的超级干货,今儿开始就要开讲啦!准备好小本本!
告诉你个小秘密:双击图片就可以查看清晰大图哦!重点图片点开看!
百度云网络与安全最佳实践(一)
安全组(入门篇)的配置
百度云安全组的配置方案
百度云的安全组是应用在云服务器上的“具有状态的白名单防火墙服务”,实现对多个云服务在业务流量入、出双向的、针对IP+端口级别的严格安全控制,完美保证了用户及业务的高安全性,本次示例主要说明安全组的白名单功能和有状态防火墙功能
需求
客户需要对同一个业务系统的各个模块或者不同业务系统之间设置灵活的安全策略,保证其业务系统更高的安全性。
场景1
A作为接入服务,对外提供服务,只能主动访问B的80、443端口;B作为应用服务,只接受来自A的请求,只能主动访问C服务器;C作为DB服务,只接受来自B的请求,不能主动访问其他服务。
解决方案1
配置步骤
A作为接入服务器,只对Internet用户开放Http和Https两种应用,所以创建安全组(AccessSG)并应用到A服务器上,AccessSG的配置(入方向与出方向)规则如下:
AccessSG入方向的安全策略:
AccessSG出方向的安全策略:
B作为应用服务器,只接受来自A的请求,只能主动访问C服务器,所以创建安全组(AppSG)并应用到B服务器上,AccessSG的配置(入方向与出方向)规则如下:
AppSG入方向的安全策略:
AppSG出方向的安全策略:
C作为DC服务器,只接受来自B的请求,不能主动访问任何服务器,所以创建安全组(DbSG)并应用到C服务器上,DbSG的配置(入方向与出方向)规则如下:
DbSG入方向的安全策略:
DbSG出方向的安全策略:
通过以上方法,实现系统垂直分层,设置每个业务层最小的访问权限,大大增加了系统的安全性。
场景2
在场景1基础上,让A作为运维管理接入,支持管理员日常运维管理;A可以内网主动访问B的22端口外,A可以主动访问C的22端口,C任然不能主动访问A、B。
解决方案2
配置步骤
Access安全组的入方向增加配置允许100.1.1.1访问22端口,出方向增加规则允许访问192.168.0.7的22端口,配置如下:
由于B服务器权限没有调整,因此不需要调整AppSG的安全规则;DbSG安全组的入方向增加配置允许192.168.0.5访问22端口,出方向规则不变,配置如下:
百度云
微信:baidu_cloud
https://cloud.baidu.com
长按二维码关注