aws、青云安全策略配置
IAAS云平台中,安全策略提供一种控制虚拟机上行和下行流量的方式,各个云平台为安全策略配置功能命名不同,一般包括安全组、防火墙、ACL等,由于实现方式不同,规则不同、作用对象也不同。[*] 亚马逊AWS
AWS中包括安全组和网络ACL两种方式控制虚拟机的流入流出。二者作用对象不同,网络ACL可以attach到子网上,控制整个子网中虚拟机的流量,安全组则直接作用于虚拟机实例上,具体配置如下:
[*] 安全组:最多可以为每个 VPC 创建 100 个安全组
[*] 安全组作用于虚拟机实例或网络接口,即允许为每个实例或接口单独配置安全组
[*] 安全组规则:最多可以为每个安全组添加 50 条规则
[*] 支持为流入、流出流量分别配置安全组规则
[*] 可以指定允许规则,但不可指定拒绝规则。
[*] 在向安全组中添加入站规则之前,所有入站数据流都默认不被允许。
[*] 在向安全组中添加出站规则之前,所有出站数据流都会被默认允许
[*] 如果是为响应已允许的入站数据流量,则该响应可以出站,此时可忽略出站规则,反之亦然(安全组会相应地显示状态)。
[*] 与安全组关联的实例无法彼此通信,除非添加了相应的允许规则(已有此类默认规则的默认安全组除外)。
[*] 可以添加、删除、修改安全组规则,修改后,新规则作用于已绑定的虚拟机实例
[*] VPC 默认安全组:创建VPC时,系统为该VPC创建一个默认安全组,规则为允许同一安全组发来的入站流量,允许所有出站流量。可修改
[*] 绑定虚拟机实例:支持在创建实例和实例创建成功后,绑定一个或多个安全组到虚拟机实例或网络接口,当虚拟机包含多个网络接口时,实例安全组规则作用于首选网络接口。最多可将 5 个安全组与每个网络接口关联
[*] 创建虚拟机实例时,安全组配置方式有两种:
[*] 可选择创建一个新的安全组,新的安全组包含默认安全组规则,对于linux镜像打开22端口,windows镜像打开RDP端口。可添加、删除、修改新安全组规则。
[*] 可选择已有的安全组,有两种选择,一种为直接使用已有的安全组,在创建虚拟机过程中不支持修改安全组规则。另一种为复制已有的安全组规则到一个新的安全组,之后可对新的安全组规则进行更新。
[*] 虚拟机实例创建成功后,支持绑定一个或多个安全组
[*] 网络ACL
[*] 网络ACL作用于子网,控制子网的流入流出,相当于在安全组之外,为虚拟机添加额外的安全层
[*] ACL规则
[*]
[*] 编号:按顺序评估(从编号最小的规则开始)以判断数据流是否被允许进入或离开任何与网络 ACL 关联的子网
[*] 方向:入站和出站
[*] 可以指定允许和拒绝规则
[*] ACL 没有任何状态;对允许入站数据流的响应会随着出站数据流规则的变化而改变(反之亦然)。
[*] 每个子网都必须与一个网络 ACL 关联;如果您的未在子网与一个网络 ACL 之间建立显式关联,子网将自动与默认网络 ACL 关联。
[*] VPC默认ACL
[*] 允许所有入站和出站数据流,可修改
[*] 用户自定义ACL
[*] 所有流量均关闭,可修改。
2. 青云QingCloud
青云的安全策略中文叫防火墙,英文叫安全组(Security Group),既可以作用于基础网络的虚拟主机上,也可以作用于路由器。从规则上看,和AWS ACL基本一致。
[*]
[*] 防火墙可以绑定到基础网络的云主机上,私有网络的云主机不支持绑定防火墙。绑定到基础网络的主机创建时,默认绑定缺省防火墙,主机创建成功后,可修改绑定的防火墙。(基础网络是青云系统维护的全局网络,连接基础网络的云主机通过公网IP可直接访问公网,其安全策略是通过防火墙来保护。私有网络需要用户创建并管理 ,但私有网络之间是100%隔离的,以满足对安全的100%追求,私有网络通过路由器互联并管理。)
[*] 在创建路由器时,必须选择绑定一个安全组。
[*] 防火墙规则:只列出主要规则
[*] 支持优先级设置:数字越小优先级越高,最多可添加100条规则。
[*] 支持方向设置:上行(从云资源访问外部)和下行(从外部访问云资源)
[*] 行为:接受和拒绝
[*] 协议
[*] 端口
[*] IP
[*] 系统为每个用户默认创建了一个缺省防火墙,缺省防火墙放开了 TCP 下行22号端口和 ICMP for ping,上行端口全部打开
[*]支持用户创建防火墙,用户创建的防火墙初始状态不包含任何规则,即全部下行端口都是封闭的,上行端口全部打开。可修改规则。
[*]过滤规则
[*]缺省情况下,路由器所管理的私有网络之间是可以相互连通的,通过设置过滤规则来控制路由器内部私有网络之间的隔离。
[*]过滤规则包括:
[*]名称
[*]优先级
[*]行为(接受或拒绝)
[*]源IP(CIDR或者IP范围)
[*]源端口(端口范围)
[*]目标IP
[*]目标端口
3.Openstack包括安全组和防火墙,关于openstack的安全策略配置,后面会单独发文。
页:
[1]