经典网络中没有网段和网络边界,每个云服务器在网络中都处于同一层次。您可以规划经典网络中的安全策略,例如划分出跳板机区、DMZ区、Web接入区、中间件区、核心数据区等网络隔离区,并能灵活地指定各区之间的ACL规则。通过此安全策略来模拟传统网络体系中的各个网络层次(安全域),实现网络隔离。
以一个典型的三层架构为例,可分为几个安全域:堡垒机(G1)、Web接入(G2)、中间件(G3)和数据区(RDS)。如下图:
安全策略说明:
| 金融云产品 | 安全域 | 接入规则 | 接出规则 |
|---|---|---|---|
| SLB | DMZ | 允许互联网用户访问。 |
|
| 堡垒机 | DMZ-G1 |
|
|
| ECS_Web | DMZ-G2 |
|
|
|
|||
| ECS_APP | 生产应用区-G3 |
|
|
| RDS | 生产数据区 |
|
- |
| OSS | - | - |
通过以上安全策略,运维路径是:
- 拨入VPN;
- 登录G1(堡垒机);
- 登录G2(Web Server)和G3(Business Server),堡垒机对所有ECS进行操作审计;
- 通过G3上的数据库客户端登录RDS。
互联网用户访问应用的路径是:
- 接入SLB
- 通过SLB接入应用
以上示例的是串行运维路径,通过多级跳板,深入到更敏感的运维区域;此种方式更安全,但登录操作稍复杂。
此外还有一种星型运维路径,G2/G3/RDS都允许G1(堡垒机访问)。此种方式只有G1一级跳板,登录较简单,但安全性相比串行方式要差一些。金融云场景下建议您使用串行运维路径,提高整体的安全性。