AWS | Azure | GCP والإصدار الدولي Alibaba Cloud/Tencent Cloud/Huawei Cloud أفضل ست مجموعات أمان للمصنعين السحابيين في العالم وتكوين الشبكة دورة على مستوى المربية
في عالم الحوسبة السحابية ، هناك مقولتان حقيقيتان غمرتا في دموع عدد لا يحصى من مهندسي الشبكات:
"الشبكة غير متصلة ، الاحتمال الكبير هو أن مجموعة التوجيه أو الأمان لم يتم فتحها."
"تم اختراق الشبكة ، والاحتمال الكبير هو أن مجموعة الأمان فتحت 0.0.0.0/0."
بصفتك شخصًا في مجال تكنولوجيا المعلومات يعمل في الخارج ، أو هيكل متعدد الجنسيات ، أو نشر غائم ، فإن تكوين الشبكة لمصنعي السحابة الرئيسيين هو الأكثر تعاملًا كل يوم. يعتقد الكثير من الناس أنه ليس مجرد "نقر بالماوس لفتح منفذ" ؟ ولكن في ظل الهيكل الغائم حقًا ، ستجد أن منطق الاختصاص والمصطلحات وحتى الحفر لكل مصنع كبير مختلف تمامًا. مجموعة أمان الحالة لـ AWS ، أولوية NSG لـ Azure ، VPC العالمي لـ GCP... طالما أن التفاصيل غير مفهومة جيدًا ، فمن المحتمل أن تكون الشبكة غير متوفرة حتى وقت متأخر من الليل ، وقاعدة البيانات الأساسية "عارية" مباشرة على الشبكة العامة.
اليوم ، هذا المقال طويل النواة المتعمق ، لا يتحدث عن نظرية PPT الافتراضية ، يعيد بشكل مباشر نسخ طوبولوجيا الشبكة وجدار حماية الشبكة (AWS ، Azure ، GCP ، OCI ، Alibaba Cloud International ، Tencent Cloud International). دليل التشغيل العملي "مستوى المربية" لجدار حماية الشبكة (مجموعة الأمان). يوصى بالمجموعة ، في اللحظة الحرجة ، هذا هو دليل استكشاف الأخطاء وإصلاحها عبر الإنترنت.
1. محاذاة المفهوم الأساسي: لا تغمى على الكلمات السوداء للمصنع الكبير
قبل الكتابة على لوحة المفاتيح رسميًا ، يجب أولاً سحب "الكلمات السوداء (المصطلحات)" للمصنعين الستة الرئيسيين إلى نفس البعد. على الرغم من أن الاسم غريب ، إلا أن المنطق الأساسي ليس أكثر من ثلاثة أشياء:
الشبكة الخاصة (الحفرة) ، جدول التوجيه/التوجيه (علامة الطريق) ، جدار الحماية (البواب)
.
مزوّد خدمات السحابة
الشبكات الخاصة (VPC/VNet)
الشبكة الفرعية (Subnet)
جدار حماية الحالة (مجموعة الأمان/المكونات)
Subnet/جدار الحماية على مستوى الشبكة
أمازون ويب سيرفيسز
VPC (المستوى الإقليمي)
Subnet (مستوى المنطقة المتاحة)
Security Group (مع الحالة)
Network ACL (بدون حالة)
أزور
VNet (المستوى الإقليمي)
Subnet (شبكة فرعية)
Network Security Group (NSG)
استخدم أيضًا NSG لربط الشبكات الفرعية
جي سي بي
VPC (العالمية/العالمية)
Subnet (المستوى الإقليمي)
VPC Firewall Rules (مع الحالة)
التحكم في محفظة حساب العلامة/الخدمة
Oracle (OCI)
VCN (المستوى الإقليمي)
Subnet (المنطقة/المنطقة المتاحة)
قائمة الأمن/NSG
Security List (مستوى المكون)
ألّي باد الدولية
VPC (المستوى الإقليمي)
VSwitch (مستوى المنطقة المتاحة)
مجموعة الأمن
ACL الشبكة (Network ACL)
تنسنت كلاود الدولية
شبكة خاصة افتراضية (على مستوى المنطقة)
الشبكة الفرعية (على مستوى منطقة التوفر)
مجموعة الأمان
قائمة التحكم في الوصول إلى الشبكة (Network ACL)
المنطق الأساسي الأساسي: Stateful vs Stateless
هذا هو أسهل مكان للقادمين الجدد:
الحالة (قواعد مجموعة الأمان/جدار الحماية): عندما تأتي ، سأسمح لك بالخروج افتراضيًا. على سبيل المثال ، إذا سمحت بالوصول إلى 80 منفذًا خارجيًا ، فعندما يستجيب الخادم لـ 80 منفذًا للعودة إلى الحزمة ، فلن تحتاج إلى فتح منافذ عالية عشوائية إضافية في قواعد الخروج.
لا توجد حالة (Network ACL/بعض المسارات المحددة): داخل وخارج واضح ، كل طريق مختلف. لقد فتحت المنفذ 80 للمحطة ، وإذا لم تفتح قواعد الخروج منافذ مؤقتة 1024-65535 ، فإن حركة المرور لا تزال ميتة في منتصف الطريق.
2. شرح مفصل لستة مصانع كبيرة في الخارج: دليل العملية وتجنب الحفر
1. AWS (Amazon Web Services): "الدفاع المزدوج" للأخ الأكبر
تصميم شبكة AWS كلاسيكي للغاية ، وهو أيضًا كائن يقلده المصنعون الغائمون. تفكيره الأساسي هو:
يتم تقسيم VPC على المستوى الإقليمي إلى شبكات فرعية مختلفة قابلة للاستخدام (AZ) ، ثم يتم استخدام NACL بدون حالة لحراسة باب الشبكة الفرعية ، وأخيراً يتم استخدام مجموعة الأمان (مجموعة الأمان) لحراسة باب المثيل.
🛠️ مسار التكوين الذهبي:
إنشاء VPC مخصص: لا تكن جشعًا مع Default VPC ، وقم بالتخطيط لشرائح الشبكة الخاصة بك (على سبيل المثال ، 10.0.0.0/16).
الشبكات الفرعية المقسمة: على الأقل مقسمة إلى Subnet العامة (مرتبطة ببوابة الإنترنت ، مع توجيه الشبكة العامة) و Subnet Private (لا يوجد توجيه عام ، فقط من خلال NAT Gateway).
تكوين مجموعة الأمان: Inbound: مفتوح بدقة. على سبيل المثال ، يقوم خادم الويب فقط بفتح 80 و 443 ، ويتم تعيين عنوان المصدر على 0.0.0.0/0 أو ALB (موازنة التحميل) معرف مجموعة الأمان. Outbound: الافتراضي هو 0.0.0.0/0 للسماح للجميع. إذا كان الامتثال صارمًا ، يجب أن يقتصر على أقسام شبكة خاصة محددة.
⚠تاريخ الدم والدموع: AWS
اقتباس من مجموعة الأمان: لا تكتب دائمًا عنوان IP بحماقة! أقوى ميزة في مجموعة الأمان AWS هي أن "عنوان المصدر يمكن أن يملأ معرف مجموعة أمان آخر". هذا يعني أنه يمكنك تعيين "فقط مجموعة الأمان الخلفية B تسمح باستقبال حركة المرور من مجموعة الأمان الأمامية A" ، بغض النظر عن مدى مرونة EC2 الأمامية وكيفية تغيير IP ، فإن منطق الشبكة قوي.
قاعدة NACL الافتراضية: NACL المخصصة هي Deny All بشكل افتراضي. إذا قمت ببناء NACL مخصص
نسيت إضافة القواعد ، وأصبحت الشبكة الفرعية بأكملها على الفور جزيرة شبكة.
2. Microsoft Azure: "قائد مجموعة الأمان" مع الأولوية الأولى
مايكروسوفت أزور يطلق على الشبكة الخاصة
VNet
. منطق Azure في التحكم الأمني يختلف قليلاً عن AWS:
NSG(Network Security Group)
يمكن ربطه ببطاقة الشبكة (NIC) أو بالشبكة الفرعية (Subnet). علاوة على ذلك ، يقدم Azure مفهوم الأولوية (Priority ، 100-4096).
🛠️ مسار التكوين الذهبي:
قم بإنشاء VNet و Subnet: منطقة قابلة للاستخدام غير مرتبطة بـ Subnet من Azure ، وهي منطقة إقليمية ، مما يجعل عمليات النشر عالية الاستخدام أكثر مرونة.
تكوين قاعدة NSG: كلما كان رقم القاعدة أصغر ، زادت الأولوية. Inbound: يسمح للمسؤولين بالوصول إلى 22/3389 من عناوين IP محددة ، مع تحديد الأولوية على 100 ؛ يسمح HTTP/HTTPS ، يتم تعيين الأولوية على 200 ؛ الباقي افتراضي.
⚠تاريخ الدم والدموع لـ Azure:
القواعد الخفية الرئيسية الثلاث الافتراضية: يأتي الجزء السفلي من NSG من Azure مع ثلاث قواعد افتراضية (لا يمكنك حذفها ، يمكنك فقط تغطيتها بأولوية أعلى):AllowVnetInBound: جميع الشبكات الفرعية داخل VNet تعمل بشكل افتراضي! AllowAzureLoadBalancer InBound: يسمح بمجسات Azure. DenyAllInBound: منع كل ما تبقى. يعتقد العديد من Xiaobai أنهم معزولون عن طريق تقسيم شبكات فرعية مختلفة ، ووجدوا أن بيئة التطوير قد لمست بشكل مباشر قاعدة بيانات بيئة الإنتاج ، لأنه لا توجد قاعدة Deny ذات الأولوية العالية مكتوبة بشكل صريح لمنع الاتصال عبر الشبكة الفرعية.
3. GCP (Google Cloud Platform): "الشبكة العالمية" و "علامة التبويب الرئيسية" التي تكسر الفطرة السليمة
تعد بنية شبكة Google Cloud (GCP) هي الأكثر استقلالية بين المصانع الستة الكبرى.
VPC هو عالمي (عالمي) ولا ينتمي إلى منطقة معينة (منطقة).
طالما أنك في VPC ، فإن الشبكات الفرعية حول العالم تعمل بشكل افتراضي من خلال الشبكة الأساسية للشبكة الداخلية من Google.
ما هو أكثر من ذلك ، GCP
لا توجد مجموعة أمان مرتبطة ببطاقة الشبكة أو الشبكة الفرعية بالمعنى التقليدي
. انها تستخدم
قواعد جدار الحماية (Firewall Rules) علامة على شبكة الإنترنت Tags (Network) أو حساب خدمة (Service Accounts)
.
🛠️ مسار التكوين الذهبي:
حدد علامات الشبكة: على سبيل المثال ، قم بتسمية جهازك الافتراضي http-server أو backend-db.
اكتب قاعدة جدار الحماية: قم بإنشاء قاعدة: "السماح لحركة المرور بالدخول ، المنفذ المستهدف 80443". الهدف (Targ
Et): حدد "علامة الشبكة المحددة" واملأ http-server. المصدر: املأ 0.0.0.0/0.
⚠تاريخ الدم والدموع في GCP:
الأخطاء الإملائية للعلامات: العلامات هي سلسلة من النص العادي. إذا كانت علامة التبويب الخاصة بك على الجهاز الظاهري عبارة عن خادم ويب ، ولكن في قاعدة جدار الحماية ، يتم تحويل يدك إلى web_server (يتم تسطير خط إلى واصلة) ، فلن يكون لدى Google أي مطالبات لتصحيح الخطأ ، وستختفي خدمتك دائمًا على الشبكة العامة.
الرفض الافتراضي مقابل السماح الافتراضي: ينشئ GCP بعض قواعد default-allow-internal بشكل افتراضي. إذا كنت تستخدم الشبكة الافتراضية ، يمكن للآلات في جميع مناطق العالم التواصل مع بعضها البعض بشكل افتراضي ، تذكر تبسيط هذه القواعد في بيئة الإنتاج.
4. OCI (Oracle Cloud Infrastructure): "الرفض الافتراضي" القاسي للغاية
ظهرت Oracle Cloud (OCI) في السنوات الأخيرة بسبب العديد من الحزم المجانية الفعالة من حيث التكلفة والأجهزة القوية. شبكة الاتصال OCI
VCN(Virtual Cloud Network)
. منطق الأمان الذي يجمع بين خصائص AWS و Azure ، لديه
قائمة الأمان (قائمة الأمان ، مستوى الشبكة الفرعية)
و
Network Security Group(NSG ، مستوى بطاقة الشبكة)
.
🛠️ مسار التكوين الذهبي:
إنشاء VCN: يوصى باستخدام "VCN Wizard" ، والذي سيساعدك تلقائيًا على دمج جميع بوابات الإنترنت ، و NAT Gateway ، وجداول التوجيه ، مما يوفر الألم المرتبط يدويًا.
اختيار NSG بدلاً من قائمة الأمان: يوصي مسؤولو OCI حاليًا باستخدام NSG ، لأن قائمة الأمان تنطبق على الشبكة الفرعية بأكملها ، والحبوب سميكة جدًا.
إضافة قاعدة دخول: واجهة قاعدة OCI بديهية للغاية ، حدد Stateless (بدون حالة) أو الحالة ، وحدد بروتوكول ومنفذ TCP.
⚠تاريخ تجنب الدم والدموع في OCI:
الجدار الحديدي ، كامل النطاق الافتراضي: الصرامة الأولية لـ OCI هي الأعلى بين الشركات المصنعة للسحابة الكبرى. حتى إذا قمت بتعيين عنوان IP للشبكة العامة عند إنشاء جهاز افتراضي ، وتم تشغيل NSG إلى الحد الأقصى في وحدة التحكم (0.0.0.0/0 يسمح للجميع) ، فلن تتمكن من الاتصال بالجهاز على الأرجح.
جدار الحماية الداخلي للنظام (Ubuntu/Oracle Linux): هذه هي الحفرة العملاقة الأكثر شهرة في OCI! يمنع الجزء الداخلي من الصورة المرآة الرسمية (iptables أو ufw لنظام التشغيل) جميع حركة المرور القادمة افتراضيًا. يجب عليك إدخال SSH (إذا كان بإمكانك الدخول) ، أو تنفيذ تفريغ iptables في البرنامج النصي (Cloud-init)
أوامر ، حركة المرور الخارجية يمكن أن تأتي حقا.
5. Alibaba Cloud International (Alibaba Cloud International): جمع فعال لحركة المرور الكبيرة والتزامن العالي
النسخة الدولية من Alibaba Cloud من تصميم الشبكة (VPC) ومجموعة الأمان تشبه إلى حد كبير AWS منطقيًا ، ولكنها قامت بالكثير من التعريب وتحسين عادات المطورين الآسيويين في تعقيد الإدارة. مكوناتها الأمنية هي
فريق الأمن العام
و
مجموعة الأمن على مستوى المؤسسة
.
🛠مسار التخصيص الأمثل للذهب:
إنشاء شبكة خاصة VPC والمفاتيح (VSwitch): لاحظ أن الشبكة الفرعية لـ Ali Cloud تسمى VSwitch.
حدد نوع مجموعة الأمان: مجموعة الأمان العادية: يتم توصيل المثيل في المجموعة افتراضيًا ، وهناك المزيد من المثيل الداعم للمجموعة الفردية. مجموعة الأمان على مستوى المؤسسة: يتم عزل المثيل في المجموعة افتراضيًا ، وهو آمن للغاية ، ومناسب لبيئات الإنتاج مثل التمويل والتجارة الإلكترونية.
تفويض القواعد: دعم "الوصول إلى قسم العنوان" و "الزيارات الجماعية لمجموعة الأمان".
⚠نسخة ألييون الدولية من تاريخ الدم والدموع:
ICMP(Ping) غير معقول بشكل افتراضي: بعد أن يكمل المبتدئ مثالًا على ECS ، عادة ما يكون لديه عنوان IP للشبكة العامة في Ping المحلي ، وإذا وجد أنه لا يوجد شيء ، فإنه يعتقد أن الشبكة معلقة. في الواقع ، غالبًا ما لا يتم إصدار بروتوكول ICMP في قواعد مجموعة الأمان الافتراضية لـ Alibaba Cloud International Edition. انتقل إلى مجموعة الأمان لإضافة "نوع البروتوكول: ICMP" لحل المشكلة.
اعتراض الاتجاه: قامت Alibaba Cloud بحظر عالمي على بعض المنافذ المحددة (مثل المنافذ 25 التي يشيع استخدامها في البريد) في الجزء السفلي من الشبكة. إذا كنت ترغب في إنشاء خادم بريد تم بناؤه ذاتيًا على السحابة ، فيجب عليك تقديم نموذج عمل منفصل لطلب إلغاء الحظر. لا فائدة من فتحه في مجموعة الأمان.
6. Tencent Cloud International (Tencent Cloud International): الإدارة البسيطة والمكررة
تعتمد بنية شبكة Tencent Cloud International (Tencent Cloud) أيضًا على VPC. يركز تصميم مجموعة الأمان بشكل كبير على "قابلية القراءة"
و
"القوالب". يمكنك إنشاء العديد من قوالب مجموعة الأمان القياسية (مثل "قوالب خادم الويب العامة" ، "تسمح قاعدة البيانات فقط بقوالب الإنترانت") ، ثم ربط مثيلات مختلفة بنقرة واحدة.
🛠مسار التخصيص الأمثل للذهب:
إنشاء VPC مع الشبكة الفرعية.
استخدم مثالًا لمجموعة الأمان للارتباط: تدعم Tencent Cloud بطاقة شبكة واحدة لربط مجموعات أمان متعددة.
ترتيب سريان القواعد: من أعلى إلى أسفل ، بمجرد نجاح المطابقة ، لا مزيد من المطابقة (على غرار منطق Azure وجدار الحماية التقليدي ، والذي يختلف عن جميع قواعد AWS التي يتم دمجها).
⚠Tencent Cloud International Edition تاريخ الدم والدموع:
"تأثير التغطية" عند تراكب مجموعة الأمان المتعددة: نظرًا لأن مثالًا واحدًا من CVM في Tencent Cloud يمكن أن يرتبط بمجموعات أمان متعددة ، فإن قاعدته مطابقة بالترتيب وهناك رفض/إذن في مجموعة واحدة. إذا قمت بطريق الخطأ بنقل مجموعة أمان مع "Deny All" إلى الأعلى ، فستفشل جميع قواعد "Allow" التي تم تكوينها بعناية أدناه على الفور.
3. عالية المستوى
التجنب الهيكلي: المشاكل الشائعة وحل تكوين الشبكة الغائمة
عندما تصبح مهندسًا معتمدًا وتحتاج إلى إرسال العديد من الشركات المصنعة المذكورة أعلاه في نفس الوقت في مشروع ما ، فإن التحدي الحقيقي قد بدأ للتو.
1. "MTU Cliff" المتصلة عبر السحابة
عند استخدام VPN أو خط مخصص لربط AWS VPC و Azure VNet ، غالبًا ما تواجه ظاهرة غريبة:
حركة المرور الصغيرة Ping و SSH سلسة ، ولكن بمجرد نقل ملف كبير أو تشغيل SQL كبير ، سيتم فصل الاتصال دون سبب (Timeout).
السبب: تختلف حزم الشبكة في الطبقة السفلية من الشركات المصنعة الكبرى ، مما يؤدي إلى عدم تناسق MTU (وحدة الإرسال القصوى). قد يكون AWS الافتراضي هو 9001 (إطار عملاق) أو 1500 ، في حين أن MTU من VPN الكلاسيكية يجب أن يكون 1420 أو 1350.
الحل: تأكد من تشغيل MSS Clamping (ضغط MSS) على الأجهزة الافتراضية أو أجهزة التوجيه في كلا الطرفين ، أو خفض MTU لبطاقة شبكة المثيل يدويًا إلى 1420.
2. الجزء المتداخل من الشبكة الملبدة بالغيوم (Overlap)
في بداية التخطيط للشبكة ، تذكر:
لا تستخدم قطعًا مكررة من الشبكة المحلية في أي مكان.
إذا قمت بتعيين AWS على 10.0.0.0.0/16 و Azure أيضًا على 10.0.0.0.0/16 ، عندما يتطلب تطوير الأعمال اتصال VPC Peering/Transit Gateway ، يمكنك فقط الإطاحة به تمامًا. أفضل الممارسات هي التقسيم الصارم للمصنعين وخطوط العمل:
AWS الإنتاج: 10.1.0.0/16
إنتاج Azure: 10.2.0.0/16
إنتاج GCP: 10.3.0.0/16
4. ملخص: "اللوائح العسكرية الأربعة الرئيسية" لشبكة السحابة
بغض النظر عن السحابة التي تستخدمها ، هناك أربعة قواعد عسكرية مقبولة على الطريق إلى مهندس شبكة ممتاز:
مبدأ الحد الأدنى من الأذونات: يمكن فتحه/32 (عنوان IP واحد) لا يفتح/24 (مقطع الشبكة) ، يمكن فتحه/24 لا يفتح 0.0.0.0/0. إدارة الدخول والخروج بدقة: تقييد أذونات الخروج لقاعدة البيانات الأساسية للإنترانت والبرامج الوسيطة. حتى إذا حصل المتسلل على Webshell للخادم من خلال ثغرة أمنية على الويب ، فلن يتمكن من تنزيل حصان طروادة بسبب حظر الخروج ، ناهيك عن نقل البيانات (فشل الاتصال C2). استخدام البنية التحتية والرمز (IaC): عندما يكون هناك أكثر من 10 قواعد لمجموعة الأمان ، لم تعد العين البشرية والذاكرة موثوقة. استخدم Terraform أو Pulumi لإدارة شبكتك ، بحيث يمكن متابعة كل تغيير في مجموعة الأمان ومراجعته. لا تنس طبقة النظام: عندما تكون الشبكة غير متوفرة ، يكون تسلسل التحري دائمًا: حالة مراقبة الخدمة المحلية-> جدار حماية نواة نظام التشغيل (iptables/ufw/Windows Firewall) -> مجموعة أمان البائعين السحابيين-> الشبكة الفرعية للمصنعين السحابيين ACL/التوجيه
الجدول.
إذا كنت تتحكم في قاعدة تكوين الشبكة لهذه الشركات المصنعة الست الكبرى ، فستحصل على تذكرة لتطور البنية السحابية. في مواجهة الأعمال التجارية العابرة للحدود المعقدة ، يمكنك أيضًا كتابة لوحة المفاتيح بهدوء: Connection Allowed.
