超级会员免费看
信息安全领域的多维度洞察
1. 利用隔离区提升云安全
在基于云的基础设施架构中,为保障安全,将基础设施划分为不同区域是最佳实践。这样的区域划分能提供安全隔离,保护应用数据和核心功能免受外部攻击。
1.1 通用隔离区架构
通常,后端基础设施可分为三个不同的隔离区:
| 隔离区名称 | 特点 |
| — | — |
| 公共区 | 与互联网相连,IP 地址可从互联网公开访问。服务器虽受防火墙保护,但直接接收来自互联网用户的流量。 |
| 非军事区(DMZ) | 与互联网隔离,只有公共区的特定服务器能向其发送流量,终端用户无法访问。 |
| 内部区 | 进一步与互联网隔离,即使是面向公众的服务器也无法向其发送流量,只有 DMZ 中的服务器和应用后端的服务器能与之通信。 |
1.2 通信流管理
graph LR
A(互联网用户) --> B(公共区前端服务)
B --> C(DMZ 过渡服务)
C --> D(内部区后端服务)
- 前端服务 :位于公共区,需抵御各种网络攻击。通常执行应用的基本功能,如账户验证、认证、授权、负载均衡和流量分流等。
- 过渡服务 :在 DMZ 中,作为前端和后端的缓冲。仅接受公共区服务的通信,将前端服务的调用转换为后端服务可执行的调用。
- 后端服务 :在内部
订阅专栏 解锁全文
扫一扫
868
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
