云上网络安全问题

刚接触云运维，我这加金融公司很多 ECS 开了弹性公网 IP ，这样不就暴露在公网了吗。
难道不应该统一收敛至 NAT 网关和云防火墙吗

本人菜鸡，问同事怕露出菜的本质哈哈

LaLy

2024-08-14 15:11:58 +08:00

那你就让他们改 NAT,还能省成本，这样不就显得你专业了么

onichandame

2024-08-14 15:25:16 +08:00

金融公司要求极低延迟，不同地区的客户应该访问的是各自最近的 ecs 吧

shilyx

2024-08-14 15:31:42 +08:00

可以用零信任，先认证后连接，不认证通过则不暴露端口等信息

bbroot

2024-08-14 15:50:14 +08:00

@shilyx 零信任的认证不就暴露了吗？不暴露怎么认证

shilyx

2024-08-14 16:02:53 +08:00

@bbroot #5 零信任的认证和业务系统的认证不是一回事。零信任是有客户端的，在你本机认证

shilyx

2024-08-14 16:03:40 +08:00

@shilyx #6 零信任本地认证 -> 建立加密通道 -> 访问业务 -> 业务认证
直接访问业务，不通

opengps

2024-08-14 16:05:28 +08:00

作为服务器难道最终不是要暴露出去业务端口吗？

bbroot

2024-08-14 16:08:27 +08:00

@shilyx 本地认证原理没明白，建立加密通道也就是 vpn 等协议吧，这个协议本身就需要暴露

cheng6563

2024-08-15 09:08:33 +08:00

开 IP 不开端口就行了啊...没 IP 都访问不了外网非常不方便

Vraw5

2024-08-15 10:19:10 +08:00

@cheng6563 #10 主机没公网 IP 没关系，VPC 有出口公网 IP 就可以访问外网。阿里云是这样的

onll42y

2024-08-15 10:20:35 +08:00

你说得对，从安全角度考虑应该这样设置：
1. 设置私有子网放置业务 ECS ，
2. 设置公有子网放置 NAT ，
3. 业务 ECS 经由 NAT 与互联网通信

dropdatabase

2024-08-15 10:37:51 +08:00

同样的经历。。。好几百机器都是用公网 IP 通信。每天加安全组都是巨大的工作量

R4rvZ6agNVWr56V0

2024-08-15 10:43:31 +08:00

你说的对。参考 12 楼。
不过，没有安全团队和专业的代维就是这么随意。
理想中最好是经过安全网关（或防火墙）统一做流量汇聚，方便安全管理

dode

2024-09-11 17:19:36 +08:00

公网 IP 会明显比防火墙便宜吧

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.