V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
whileFalse
V2EX  ›  问与答

一个不能主动连接公网的服务器是不是几乎是安全的

  •  
  •   whileFalse · 2020-05-25 10:03:05 +08:00 · 916 次点击
    这是一个创建于 1634 天前的主题,其中的信息可能已经有所发展或是发生改变。
    1. 服务器放云 VPC 的私有子网里面;业务代码放在该服务器上面跑的容器里面。
    2. 服务器可以发起连接到:数据库等中间件、内部负载均衡器(用于微服务互相调用)、云服务在 VPC 内的端点(比如容器镜像注册表)。
    3. 内部和外部负载均衡器可以发起连接到服务器。用户通过外部负载均衡器访问业务。
    4. 业务代码全程不允许访问公网。如果有连接到第三方 API 的需求,则部署一个第三方 API 的代理。
    5. 主机本身全程不允许访问公网。如果主机存在需要升级的组件,则直接替换成一台新主机。
    6. 数据库开备份及时间点恢复

    先不考虑内鬼,这样的措施对于大部分互联网公司是不是就足以防范服务器本身被攻破的危险了?

    kuner0614
        1
    kuner0614  
       2020-05-25 14:23:48 +08:00
    请问不允许访问的意思是物理断连接还是有比较完美的防火墙?
    whileFalse
        2
    whileFalse  
    OP
       2020-05-25 15:18:08 +08:00
    @kuner0614 #1 云里面就是安全组。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2630 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 15:51 · PVG 23:51 · LAX 07:51 · JFK 10:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.