AWS | Azure | GCP และเวอร์ชันสากล Alibaba Cloud/Tencent Cloud/Huawei Cloud กลุ่มความปลอดภัยของผู้ให้บริการระบบคลาวด์รายใหญ่ระดับโลก6รายและบทแนะนำระดับการกำหนดค่าเครือข่าย
ในจักรวาลของคลาวด์คอมพิวติ้งมีคำพูดที่สมเหตุสมผลสองคำที่เปียกโชกไปด้วยน้ำตาของวิศวกรเครือข่ายจำนวนนับไม่ถ้วน:
"เครือข่ายไม่เปิดมีความเป็นไปได้สูงที่การกำหนดเส้นทางหรือกลุ่มความปลอดภัยจะไม่เปิด"
"เครือข่ายถูกแฮ็กมีความเป็นไปได้สูงที่กลุ่มความปลอดภัยจะเปิด0.0.0.0/0"
ในฐานะคนไอทีที่ทำธุรกิจในต่างประเทศสถาปัตยกรรมข้ามชาติหรือการใช้งานแบบคลาวด์การกำหนดค่าเครือข่ายของผู้ให้บริการระบบคลาวด์รายใหญ่ที่เกี่ยวข้องมากที่สุดทุกวันหลายคนคิดว่าไม่ใช่แค่ "คลิกเมาส์เพื่อเปิดพอร์ต"? แต่ภายใต้โครงสร้างที่มีเมฆมากคุณจะพบว่าตรรกะเขตอำนาจศาลคำศัพท์และแม้แต่ตำแหน่งหลุมของโรงงานขนาดใหญ่แต่ละแห่งนั้นแตกต่างกันอย่างสิ้นเชิง AWS มีกลุ่มความปลอดภัยของสถานะลำดับความสำคัญ NSG ของ Azure VPC ทั่วโลกของ GCP... ตราบใดที่ยังไม่เข้าใจรายละเอียดอย่างละเอียดเครือข่ายจะไม่สามารถใช้งานได้จนถึงดึกดื่นและฐานข้อมูลหลักจะ "วิ่งเปล่า" โดยตรงบนเครือข่ายสาธารณะ
บทความยาวฮาร์ดคอร์เชิงลึกของวันนี้ไม่ได้พูดถึงทฤษฎี PPT เสมือนจริงและสร้างโทโพโลยีเครือข่ายของผู้ให้บริการระบบคลาวด์หลักในต่างประเทศที่ครอบคลุมมากที่สุด6ราย (AWS, Azure, GCP, OCI, Alibaba Cloud International, Tencent Cloud International) และคู่มือการปฏิบัติ "ระดับพี่เลี้ยง" สำหรับไฟร์วอลล์เครือข่าย (กลุ่มความปลอดภัย) ขอแนะนำให้รวบรวมช่วงเวลาสำคัญนี่คือคู่มือการแก้ไขปัญหาเครือข่ายของคุณ
1.การจัดแนวแนวคิดหลัก: อย่าสับสนกับคำพูดสีดำของ Dachang
ก่อนที่จะพิมพ์บนแป้นพิมพ์อย่างเป็นทางการเราต้องดึง "คำดำ (คำศัพท์)" ของผู้ผลิตรายใหญ่6รายไปยังมิติเดียวกันก่อนแม้ว่าชื่อจะแปลกแต่ตรรกะพื้นฐานก็ไม่มีอะไรมากไปกว่าสามสิ่ง:
เครือข่ายส่วนตัว (หลุม), เราเตอร์/ตารางเส้นทาง (ป้ายบอกทาง), ไฟร์วอลล์ (คนเฝ้าประตู)
。
ผู้ให้บริการคลาวด์
เครือข่ายส่วนตัว (VPC/VNet)
Subnet (Subnet)
ไฟร์วอลล์สถานะ (กลุ่มความปลอดภัย/ส่วนประกอบ)
Subnet/ ไฟร์วอลล์ระดับเครือข่าย
เอวีเอส
VPC (ระดับภูมิภาค)
Subnet (ระดับอำเภอที่มีอยู่)
Security Group (มีสถานะ)
Network ACL (ไม่มีสถานะ)
อะซัวร์
VNet (ระดับภูมิภาค)
Subnet (เครือข่ายย่อย)
Network Security Group (NSG)
ใช้เครือข่ายย่อยการผูก NSG ด้วย
จีซีพี
VPC (ทั่วโลก/Global)
Subnet (ระดับภูมิภาค)
VPC Firewall Rules (มีสถานะ)
การควบคุมการรวมบัญชีแท็ก/บริการ
Oracle (OCI)
VCN (ระดับภูมิภาค)
Subnet (พื้นที่/พื้นที่ว่าง)
Security List/NSG
Security List (ระดับส่วนประกอบ)
อาลีบาบากแลนด์อินเตอร์เนชันแนล
VPC (ระดับภูมิภาค)
VSwitch (ระดับอำเภอที่มีอยู่)
กลุ่มรักษาความปลอดภัย
เครือข่าย ACL (Network ACL)
เทนเซ็นต์คลาวด์อินเตอร์เนชันแนล
VPC (ระดับภูมิภาค)
เซิร์ฟเวต (ระดับโซน)
กลุ่มความปลอดภัย (Security Group)
ACL ของเครือข่าย (Network ACL)
หลักตรรกะพื้นฐาน: มีสถานะ (Stateful) vs ไม่มีสถานะ (Stateless)
นี่คือจุดที่ง่ายที่สุดสำหรับผู้มาใหม่ที่จะสะดุด:
มีสถานะ (กลุ่มความปลอดภัย/กฎไฟร์วอลล์): เมื่อคุณเข้ามาฉันจะให้คุณออกไปโดยค่าเริ่มต้นตัวอย่างเช่นหากคุณอนุญาตให้เข้าถึงพอร์ต80ภายนอกเมื่อเซิร์ฟเวอร์ตอบสนองต่อการส่งคืนพอร์ต80พอร์ตไม่จำเป็นต้องเปิดพอร์ตสูงแบบสุ่มเพิ่มเติมในกฎขาออก
ไม่มีสถานะ (Network ACL/เส้นทางเฉพาะบางเส้นทาง): ทางเข้าและทางออกที่ชัดเจนแต่ละเส้นทางคุณเปิดพอร์ตขาเข้า80หากกฎขาออกไม่เปิดพอร์ตชั่วคราว1024-65535 (Ephemeral Ports) การจราจรยังคงอยู่ระหว่างทาง
2.คำอธิบายโดยละเอียดเกี่ยวกับโรงงานในต่างประเทศรายใหญ่6แห่ง: แนวทางปฏิบัติและการหลีกเลี่ยงหลุม
1. AWS (Amazon Web Services): "การป้องกันสองชั้น" ของพี่ใหญ่
การออกแบบเครือข่ายของ AWS นั้นคลาสสิกมากและยังเป็นเป้าหมายของการเลียนแบบโดยผู้ผลิตที่มีเมฆมากความคิดหลักของมันคือ:
VPC ระดับภูมิภาคแบ่งออกเป็นซับเน็ตโซนที่มีอยู่ (AZ) ที่แตกต่างกันจากนั้นใช้ NACL ที่ไร้สัญชาติเพื่อป้องกันประตูซับเน็ตและสุดท้ายใช้กลุ่มความปลอดภัย (กลุ่มความปลอดภัย) เพื่อป้องกันประตูอินสแตนซ์
🛠เส้นทางการกำหนดค่าทอง:
สร้าง VPC ที่กำหนดเอง: อย่าใช้ Default VPC และวางแผนส่วนเครือข่ายของคุณเอง (เช่น10.0.0.0/16)
เครือข่ายย่อยแบบแบ่งส่วน: อย่างน้อยก็แบ่งออกเป็น Public Subnet (เกี่ยวข้องกับ Internet Gateway มีการกำหนดเส้นทางเครือข่ายสาธารณะ) และ Private Subnet (ไม่มีการกำหนดเส้นทางเครือข่ายสาธารณะเฉพาะเครือข่ายผ่าน NAT Gateway)
การกำหนดค่ากลุ่มความปลอดภัย: Inbound: เปิดได้อย่างแม่นยำตัวอย่างเช่นเว็บเซิร์ฟเวอร์เปิดเพียง80และ443และที่อยู่ต้นทางถูกตั้งค่าเป็น0.0.0.0/0หรือ ALB (Load Balancing) ID กลุ่มความปลอดภัย Outbound: ค่าเริ่มต้นคือ0.0.0.0/0อนุญาตทั้งหมดหากการปฏิบัติตามข้อกำหนดเข้มงวดจำเป็นต้องจำกัดเฉพาะส่วนเครือข่ายส่วนตัว
⚠ประวัติความเป็นมาของเลือดและน้ำตาของ AWS:
การอ้างอิงกลุ่มความปลอดภัย: อย่าเขียนที่อยู่ IP โง่ๆเสมอไป! ฟังก์ชันที่แข็งแกร่งที่สุดของกลุ่มความปลอดภัย AWS คือ "ที่อยู่ต้นทางสามารถกรอก ID กลุ่มความปลอดภัยอื่นได้" ซึ่งหมายความว่าคุณสามารถตั้งค่า "เฉพาะกลุ่มความปลอดภัยส่วนหลัง B เท่านั้นที่อนุญาตให้รับทราฟฟิกจากกลุ่มความปลอดภัยส่วนหน้า A" ไม่ว่า EC2ส่วนหน้าจะยืดหยุ่นเพียงใดและ IP จะเปลี่ยนไปอย่างไรตรรกะของเครือข่ายก็มั่นคง
NACL กฎเริ่มต้น: กำหนดเอง NACL เริ่มต้นคือ Deny All 。ถ้าคุณสร้าง NACL ที่กำหนดเอง
ฉันลืมเพิ่มกฎและซับเน็ตทั้งหมดก็กลายเป็นเกาะเครือข่ายทันที
2. Microsoft Azure: "หัวหน้าทีมรักษาความปลอดภัย" ที่มีความสำคัญสูงสุด
Azure ของ Microsoft เรียกเครือข่ายส่วนตัวว่า
VNet
。ตรรกะของการควบคุมความปลอดภัยของ Azure แตกต่างจาก AWS โดยพื้นฐาน:
NSG(Network Security Group)
สามารถผูกกับการ์ดเครือข่าย (NIC) หรือเครือข่ายย่อย (Subnet) นอกจากนี้ Azure ยังแนะนำแนวคิดเรื่องลำดับความสำคัญ (Priority,100-4096)
🛠เส้นทางการจัดพอร์ตทองคำ:
สร้าง VNet และ Subnet:Azure Subnet ไม่ผูกมัดพื้นที่ว่างเป็นระดับภูมิภาคซึ่งทำให้การปรับใช้ที่มีความพร้อมใช้งานสูงมีความยืดหยุ่นมากขึ้น
การกำหนดค่ากฎ NSG: ยิ่งตัวเลขกฎมีขนาดเล็กเท่าใดลำดับความสำคัญก็จะยิ่งสูงขึ้นเท่านั้น Inbound: อนุญาตให้ผู้ดูแลระบบเข้าถึง22/3389จาก IP เฉพาะลำดับความสำคัญถูกตั้งค่าเป็น100 HTTP/HTTPS ได้รับอนุญาตลำดับความสำคัญถูกตั้งค่าเป็น200ส่วนที่เหลือเป็นค่าเริ่มต้น
⚠ประวัติความเป็นมาของเลือดและน้ำตาของ Azure:
กฎที่ซ่อนอยู่สามข้อเริ่มต้น: ด้านล่าง NSG ของ Azure มาพร้อมกับกฎเริ่มต้นสามข้อ (คุณไม่สามารถลบได้คุณสามารถเขียนทับด้วยลำดับความสำคัญที่สูงกว่าเท่านั้น):AllowVnetInBound: เครือข่ายย่อยทั้งหมดภายใน VNet ทำงานร่วมกันได้โดยค่าเริ่มต้น! AllowAzureLoadBalancerInBound: ช่วยให้ Azure โพรบ DenyAllInBound: บล็อกส่วนที่เหลือทั้งหมด Xiaobai หลายคนคิดว่าเครือข่ายย่อยที่แตกต่างกันถูกแยกออกและพบว่าสภาพแวดล้อมการพัฒนาสัมผัสโดยตรงกับฐานข้อมูลของสภาพแวดล้อมการผลิตเนื่องจากไม่มีการเขียนกฎ Deny ที่มีลำดับความสำคัญสูงอย่างชัดเจนเพื่อปิดกั้นการสื่อสารข้ามเครือข่ายย่อย
3. GCP (Google Cloud Platform): "Global Network" และ "Tag Master" ที่ทำลายสามัญสำนึก
สถาปัตยกรรมเครือข่ายของ Google Cloud (GCP) เป็นสถาปัตยกรรมที่ไม่ฝักใฝ่ฝ่ายใดมากที่สุดในหกโรงงาน
VPC ของมันคือ Global (Global) และไม่ได้อยู่ในภูมิภาคใดภูมิภาคหนึ่ง
ตราบใดที่คุณอยู่ใน VPC เครือข่ายย่อยทั่วโลกจะทำงานร่วมกันผ่านเครือข่ายกระดูกสันหลังอินทราเน็ตของ Google ตามค่าเริ่มต้น
ยิ่งไปกว่านั้น GCP
ไม่มีกลุ่มความปลอดภัยที่ผูกการ์ดเครือข่ายหรือซับเน็ตในความหมายดั้งเดิม
。มันใช้
กฎไฟร์วอลล์ (Firewall Rules) แท็กเครือข่าย (Network Tags) หรือบัญชีบริการ (Service Accounts)
。
🛠เส้นทางการจัดพอร์ตทองคำ:
กำหนดแท็กเครือข่าย: เช่นแท็ก http-server หรือ backend-db บนเครื่องเสมือนของคุณ
เขียนกฎไฟร์วอลล์: สร้างกฎ: "อนุญาตให้มีทราฟฟิกเข้ามาพอร์ตเป้าหมาย80,443" เป้าหมาย (Targ
Et): เลือก "แท็กเครือข่ายที่ระบุ (แท็กเป้าหมายพิเศษ)" และกรอก http-server แหล่งที่มา: กรอก0.0.0.0/0
⚠️ ประวัติของ GCP เพื่อหลีกเลี่ยงเลือดและน้ำตา:
แท็กสะกดผิด: แท็กเป็นสตริงข้อความธรรมดาหากคุณติดป้ายกำกับบนเครื่องเสมือนเป็นเว็บเซิร์ฟเวอร์แต่ในกฎไฟร์วอลล์คุณสามารถใช้เว็บเซิร์ฟเวอร์ (ขีดเส้นใต้เป็นยัติภังค์) Google ไม่มีข้อความแจ้งการแก้ไขข้อผิดพลาดและบริการของคุณจะหายไปบนเครือข่ายสาธารณะเสมอ
การปฏิเสธเริ่มต้น vs อนุญาตโดยค่าเริ่มต้น: GCP จะสร้างกฎ default-allow-internal โดยค่าเริ่มต้นหากคุณใช้เครือข่ายเริ่มต้นเครื่องจักรในทุกภูมิภาคของโลกสามารถสื่อสารกันได้โดยค่าเริ่มต้นอย่าลืมปรับปรุงกฎเหล่านี้ในสภาพแวดล้อมการผลิต
4. OCI (Oracle Cloud Infrastructure): "การปฏิเสธเริ่มต้น" ที่รุนแรงที่สุด
Oracle Cloud (OCI) ได้เกิดขึ้นในช่วงไม่กี่ปีที่ผ่านมาเนื่องจากแพ็คเกจฟรีที่คุ้มค่าและฮาร์ดแวร์ที่ทรงพลังมากมายเครือข่ายของ OCI เรียกว่า
VCN(Virtual Cloud Network)
。ตรรกะด้านความปลอดภัยรวมคุณสมบัติของ AWS และ Azure และมี
Security List (รายการความปลอดภัยระดับเครือข่ายย่อย)
และ
Network Security Group(NSG, ระดับการ์ดเครือข่าย)
。
🛠เส้นทางการจัดพอร์ตทองคำ:
สร้าง VCN: ขอแนะนำให้ใช้ "VCN Wizard" ซึ่งจะช่วยให้คุณติดตั้ง Internet Gateway, NAT Gateway และตารางเส้นทางโดยอัตโนมัติช่วยลดความเจ็บปวดจากการเชื่อมโยงด้วยตนเอง
เลือก NSG แทนรายการความปลอดภัย: ขณะนี้เจ้าหน้าที่ OCI แนะนำให้ใช้ NSG เนื่องจากรายการความปลอดภัยถูกนำไปใช้กับซับเน็ตทั้งหมดและขนาดอนุภาคหนาเกินไป
เพิ่มกฎการเข้า: อินเทอร์เฟซกฎของ OCI นั้นใช้งานง่ายมากเลือก Stateless (ไม่มีสถานะ) หรือมีสถานะระบุโปรโตคอล TCP และพอร์ต
⚠ประวัติความเป็นมาของเลือดและน้ำตาของ OCI:
Tiebi Jiangshan ค่าเริ่มต้นคือระดับความรุนแรงเริ่มต้นของ OCI นั้นสูงที่สุดในบรรดาผู้ผลิตระบบคลาวด์รายใหญ่แม้ว่าคุณจะจัดสรร IP เครือข่ายสาธารณะเมื่อคุณสร้างเครื่องเสมือนและเปิด NSG สูงสุดในคอนโซล (0.0.0.0/0อนุญาตทั้งหมด) คุณก็ยังไม่สามารถเชื่อมต่อกับเครื่องได้
ไฟร์วอลล์ภายในระบบ (Ubuntu/Oracle Linux): นี่คือหลุมยักษ์ที่มีชื่อเสียงที่สุดของ OCI! ภายในมิเรอร์อย่างเป็นทางการ (iptables หรือ ufw ของระบบปฏิบัติการ) จะปิดกั้นการรับส่งข้อมูลขาเข้าทั้งหมดโดยค่าเริ่มต้นคุณต้องป้อน SSH (ถ้าคุณสามารถป้อนได้) หรือล้าง iptables ในสคริปต์การเริ่มต้น (Cloud-init)
คำสั่งการจราจรภายนอกสามารถเข้ามาได้จริงๆ
5.Alibaba Cloud International: การรวบรวมการรับส่งข้อมูลจำนวนมากและการทำงานพร้อมกันสูงอย่างมีประสิทธิภาพ
การออกแบบเครือข่าย (VPC) และกลุ่มความปลอดภัยของ Alibaba Cloud International Edition มีความคล้ายคลึงกับ AWS อย่างมีเหตุผลแต่ได้ทำการแปลเป็นภาษาท้องถิ่นและการเพิ่มประสิทธิภาพนิสัยของนักพัฒนาชาวเอเชียในแง่ของความซับซ้อนในการจัดการส่วนประกอบด้านความปลอดภัยคือ
กลุ่มความปลอดภัยทั่วไป
และ
กลุ่มรักษาความปลอดภัยระดับองค์กร
。
🛠เส้นทางการจัดพอร์ตทองคำ:
สร้างเครือข่ายที่เป็นกรรมสิทธิ์ VPC และ Switch (VSwitch): โปรดทราบว่าเครือข่ายย่อยของ Alibaba Cloud เรียกว่า VSwitch
เลือกประเภทกลุ่มความปลอดภัย: กลุ่มความปลอดภัยทั่วไป: อินสแตนซ์ในกลุ่มทำงานร่วมกันโดยค่าเริ่มต้นและกลุ่มเดียวรองรับอินสแตนซ์มากขึ้นกลุ่มความปลอดภัยระดับองค์กร: อินสแตนซ์ภายในกลุ่มจะถูกแยกออกโดยค่าเริ่มต้นซึ่งมีความปลอดภัยสูงและเหมาะสำหรับสภาพแวดล้อมการผลิตเช่นการเงินและอีคอมเมิร์ซ
การอนุญาตกฎ: รองรับ "การเข้าถึงส่วนที่อยู่" และ "การเยี่ยมชมร่วมกันของกลุ่มกลุ่มความปลอดภัย"
⚠️ Alibaba Cloud International Edition ประวัติการหลีกเลี่ยงเลือดและน้ำตา:
ICMP(Ping) ถูกบล็อกโดยค่าเริ่มต้น: หลังจากมือใหม่สร้างอินสแตนซ์ ECS เสร็จแล้วพวกเขามักจะคลิกที่ IP เครือข่ายสาธารณะใน Ping ในพื้นที่และคิดว่าเครือข่ายถูกบล็อกในความเป็นจริงกฎกลุ่มความปลอดภัยเริ่มต้นของ Alibaba Cloud International มักไม่ปล่อยโปรโตคอล ICMP ไปที่กลุ่มความปลอดภัยและเพิ่ม "ประเภทโปรโตคอล: ICMP" เพื่อแก้ปัญหา
การสกัดกั้นทิศทางขาออก: Alibaba Cloud ได้ทำการแบนพอร์ตเฉพาะบางพอร์ตทั่วโลก (เช่นพอร์ต25ที่ใช้กันทั่วไปสำหรับอีเมล) ที่ด้านล่างของเครือข่ายหากคุณต้องการสร้างเซิร์ฟเวอร์อีเมลที่สร้างขึ้นเองบนระบบคลาวด์คุณต้องส่งใบสั่งงานเพื่อสมัครแยกต่างหากสำหรับการยกเลิกการปิดกั้นการเปิดใช้งานในกลุ่มความปลอดภัยไม่มีประโยชน์
6.Tencent Cloud International (Tencent Cloud International): การจัดการที่คล่องตัวและละเอียดอ่อน
สถาปัตยกรรมเครือข่ายของ Tencent Cloud International (Tencent Cloud) ยังใช้ VPC การออกแบบกลุ่มความปลอดภัยเน้น "ความสามารถในการอ่าน"
และ
"แม่แบบ". คุณสามารถสร้างเทมเพลตกลุ่มความปลอดภัยมาตรฐานได้หลายแบบ (เช่น "เทมเพลตเว็บเซิร์ฟเวอร์ทั่วไป" "ฐานข้อมูลอนุญาตเฉพาะเทมเพลตอินทราเน็ต") จากนั้นผูกเข้ากับอินสแตนซ์ต่างๆได้ด้วยคลิกเดียว
🛠เส้นทางการจัดพอร์ตทองคำ:
สร้าง VPC กับเครือข่ายย่อย
ใช้การเชื่อมโยงอินสแตนซ์กลุ่มความปลอดภัย: Tencent Cloud รองรับการ์ดเครือข่ายเดียวเพื่อผูกกลุ่มความปลอดภัยหลายกลุ่ม
ลำดับที่มีประสิทธิภาพของกฎ: จากบนลงล่างเมื่อการจับคู่สำเร็จจะไม่มีการจับคู่อีกต่อไป (คล้ายกับตรรกะของ Azure และไฟร์วอลล์แบบเดิมซึ่งแตกต่างจากการรวมกฎทั้งหมดของ AWS)
⚠️ ประวัติการหลีกเลี่ยงเลือดและน้ำตาของ Tencent Cloud International Edition:
"เอฟเฟกต์ความครอบคลุม" เมื่อการซ้อนทับของกลุ่มความปลอดภัยหลายกลุ่ม: เนื่องจากอินสแตนซ์ CVM ของ Tencent Cloud สามารถผูกกลุ่มความปลอดภัยหลายกลุ่มได้และกฎของมันคือการจับคู่ตามลำดับและมีการปฏิเสธ/อนุญาตในกลุ่มเดียวหากคุณย้ายกลุ่มความปลอดภัยที่มี "Deny All" ไปที่ด้านบนโดยไม่ได้ตั้งใจกฎ "Allow" ที่กำหนดค่าไว้อย่างรอบคอบด้านล่างจะไม่ถูกต้องทันที
สามระดับสูง
การหลีกเลี่ยงสถาปัตยกรรม: ปัญหาทั่วไปและวิธีแก้ปัญหาของการกำหนดค่าเครือข่ายแบบคลาวด์
เมื่อคุณเป็นสถาปนิกและคุณต้องกำหนดเวลาผู้ผลิตดังกล่าวข้างต้นในโครงการในเวลาเดียวกันความท้าทายที่แท้จริงเพิ่งเริ่มต้นขึ้น
1.การเชื่อมต่อข้ามเมฆ "MTU Cliff"
เมื่อคุณเชื่อมต่อ AWS VPC และ Azure VNet ด้วย VPN หรือสายเฉพาะคุณมักจะพบกับปรากฏการณ์แปลกๆ:
Ping และ SSH ที่มีการรับส่งข้อมูลขนาดเล็กนั้นราบรื่นมากแต่เมื่อคุณถ่ายโอนไฟล์ขนาดใหญ่หรือเรียกใช้ SQL ขนาดใหญ่การเชื่อมต่อจะถูกตัดการเชื่อมต่อโดยไม่มีเหตุผล (Timeout)
เหตุผล: บรรจุภัณฑ์เครือข่ายด้านล่างของผู้ผลิตรายใหญ่แตกต่างกันส่งผลให้ MTU (หน่วยส่งข้อมูลสูงสุด) ไม่สอดคล้องกันค่าเริ่มต้นของ AWS อาจเป็น9001 (เฟรมยักษ์) หรือ1500ในขณะที่ MTU ของ VPN คลาสสิกต้องเป็น1420หรือ1350。
วิธีแก้ปัญหา: อย่าลืมเปิด MSS Clamping(MSS Clamping) บนเครื่องเสมือนหรือเราเตอร์ที่ปลายทั้งสองข้างหรือลด MTU ของการ์ดเครือข่ายอินสแตนซ์เป็น1420ด้วยตนเอง
2.ส่วนเครือข่ายที่เชื่อมต่อกันมีเมฆมากทับซ้อนกัน (Overlap)
ในช่วงเริ่มต้นของการวางแผนเครือข่ายเราต้องจำไว้ว่า:
อย่าใช้ส่วนเครือข่ายท้องถิ่นที่ซ้ำกันทุกที่
หากคุณตั้งค่า AWS เป็น10.0.0.0/16และ Azure ยังตั้งค่าเป็น10.0.0.0/16เมื่อการพัฒนาธุรกิจต้องการการเชื่อมต่อแบบเพียร์ทูเพียร์ (VPC Peering/Transit Gateway) คุณสามารถล้มล้างและเริ่มต้นใหม่ได้เท่านั้นแนวทางปฏิบัติที่ดีที่สุดคือแบ่งตามผู้ผลิตและสายธุรกิจอย่างเคร่งครัด:
AWS การผลิต: 10.1.0.0/16
การผลิต Azure: 10.2.0.0/16
การผลิต GCP: 10.3.0.0/16
4.สรุป: "กฎข้อบังคับทางทหารสี่ประการ" ของเครือข่ายคลาวด์
ไม่ว่าคุณจะใช้ระบบคลาวด์ใดมีกฎทางทหารสี่ข้อบนเส้นทางสู่สถาปนิกเครือข่ายที่ยอดเยี่ยม:
หลักการอนุญาตขั้นต่ำ: สามารถเปิด/32 (IP เดียว) ไม่เคยเปิด/24 (ส่วนเครือข่าย) สามารถเปิด/24ไม่เคยเปิด0.0.0.0/0การจัดการการเข้าออกอย่างเข้มงวดและการออกที่ดี: จำกัดการอนุญาตขาออกของฐานข้อมูลหลักของอินทราเน็ตและมิดเดิลแวร์แม้ว่าแฮกเกอร์จะได้รับ Webshell ของเซิร์ฟเวอร์ผ่านช่องโหว่ของเว็บแต่เขาก็ไม่สามารถดาวน์โหลดม้าโทรจันได้เนื่องจากการปิดกั้นขาออกนับประสาอะไรกับการส่งข้อมูล (การเชื่อมต่อ C2ล้มเหลว) การใช้โครงสร้างพื้นฐานเป็นรหัส (IaC): เมื่อมีกฎกลุ่มความปลอดภัยมากกว่า10ข้อตาเปล่าและความจำของมนุษย์จะไม่น่าเชื่อถืออีกต่อไปใช้ Terraform หรือ Pulumi เพื่อจัดการเครือข่ายของคุณเพื่อให้ทุกการเปลี่ยนแปลงในกลุ่มความปลอดภัยสามารถติดตามและตรวจสอบรหัสได้อย่าลืมเลเยอร์ระบบ: เมื่อเครือข่ายถูกบล็อกลำดับการแก้ไขปัญหาจะเป็นเสมอ: สถานะการตรวจสอบบริการภายใน-> ไฟร์วอลล์เคอร์เนลของระบบปฏิบัติการ (iptables/ufw/Windows Firewall) -> กลุ่มความปลอดภัยของผู้ขายระบบคลาวด์-> เครือข่ายย่อยของผู้ขายระบบคลาวด์ ACL/Routing
ตาราง
หากคุณควบคุมฐานการกำหนดค่าเครือข่ายของผู้ผลิตรายใหญ่ทั้งหกรายนี้คุณจะได้รับตั๋วเข้าชมสำหรับวิวัฒนาการของสถาปัตยกรรมคลาวด์เมื่อเผชิญกับธุรกิจข้ามชาติที่ซับซ้อนในต่างประเทศคุณยังสามารถพิมพ์บนแป้นพิมพ์ได้อย่างใจเย็น: Connection Allowed
