一个不能主动连接公网的服务器是不是几乎是安全的

2020-05-25 10:03:05 +08:00
 whileFalse
  1. 服务器放云 VPC 的私有子网里面;业务代码放在该服务器上面跑的容器里面。
  2. 服务器可以发起连接到:数据库等中间件、内部负载均衡器(用于微服务互相调用)、云服务在 VPC 内的端点(比如容器镜像注册表)。
  3. 内部和外部负载均衡器可以发起连接到服务器。用户通过外部负载均衡器访问业务。
  4. 业务代码全程不允许访问公网。如果有连接到第三方 API 的需求,则部署一个第三方 API 的代理。
  5. 主机本身全程不允许访问公网。如果主机存在需要升级的组件,则直接替换成一台新主机。
  6. 数据库开备份及时间点恢复

先不考虑内鬼,这样的措施对于大部分互联网公司是不是就足以防范服务器本身被攻破的危险了?

916 次点击
所在节点    问与答
2 条回复
kuner0614
2020-05-25 14:23:48 +08:00
请问不允许访问的意思是物理断连接还是有比较完美的防火墙?
whileFalse
2020-05-25 15:18:08 +08:00
@kuner0614 #1 云里面就是安全组。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/675100

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX