云上网络安全问题

124 天前
 floridaYY
刚接触云运维,我这加金融公司很多 ECS 开了弹性公网 IP ,这样不就暴露在公网了吗。
难道不应该统一收敛至 NAT 网关和云防火墙吗

本人菜鸡,问同事怕露出菜的本质 哈哈
1632 次点击
所在节点    云计算
15 条回复
floridaYY
124 天前
没事了 负载均衡奶奶的
LaLy
124 天前
那你就让他们改 NAT,还能省成本,这样不就显得你专业了么
onichandame
124 天前
金融公司要求极低延迟,不同地区的客户应该访问的是各自最近的 ecs 吧
shilyx
124 天前
可以用零信任,先认证后连接,不认证通过则不暴露端口等信息
bbroot
124 天前
@shilyx 零信任的认证不就暴露了吗?不暴露怎么认证
shilyx
124 天前
@bbroot #5 零信任的认证和业务系统的认证不是一回事。零信任是有客户端的,在你本机认证
shilyx
124 天前
@shilyx #6 零信任本地认证 -> 建立加密通道 -> 访问业务 -> 业务认证
直接访问业务,不通
opengps
124 天前
作为服务器难道最终不是要暴露出去业务端口吗?
bbroot
124 天前
@shilyx 本地认证原理没明白,建立加密通道也就是 vpn 等协议吧,这个协议本身就需要暴露
cheng6563
124 天前
开 IP 不开端口就行了啊...没 IP 都访问不了外网非常不方便
Vraw5
124 天前
@cheng6563 #10 主机没公网 IP 没关系,VPC 有出口公网 IP 就可以访问外网。阿里云是这样的
onll42y
124 天前
你说得对,从安全角度考虑应该这样设置:
1. 设置私有子网放置业务 ECS ,
2. 设置公有子网放置 NAT ,
3. 业务 ECS 经由 NAT 与互联网通信
dropdatabase
124 天前
同样的经历。。。好几百机器都是用公网 IP 通信。每天加安全组都是巨大的工作量
GeekGao
124 天前
你说的对。参考 12 楼。
不过,没有安全团队和专业的代维就是这么随意。
理想中最好是经过安全网关(或防火墙)统一做流量汇聚,方便安全管理
dode
96 天前
公网 IP 会明显比防火墙便宜吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1064921

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX