- 关注
本系列文章适用于云租户在IAAS模式下的完全上云的情况—整个系统完全部署在阿里云上(以下简称“云上”)
1、网络架构
a) 应保证网络设备的业务处理能力满足业务高峰期需要;
应核查网络设备的CPU和内存使用率峰值不大于70%
标准解读:对于完全上云的业务系统,通信网络设备由阿里云提供,云租户无权限进行管理,
在等保1.0主机安全控制-资源控制部分中,需查看服务器使用资源的情况,但是在等保2.0中删除了,可能是默认了该项是需要查看的,建议在测评时,也要检查服务器的资源使用情况。
等保1.0中的条款
登录阿里云控制台-产品与服务-云服务器ECS,点击涉及被测系统的ECS服务器进入【监控】
云上查看服务器的CPU使用率
但实际给不适用也可以的,因为网络设备由阿里云管控,此处建议给不适用或者检查服务器的CPU。
查看服务器在最近两三个小时内的使用情况,若有超载情况,可建议客户升级CPU配置。
个人理解:若服务器的CPU长时间处于高负载状态,这一点其实也是个风险点。(看各位等保人的“服务”了)
b) 应保证网络各个部分的带宽满足业务高峰期需要;
要先了解被测系统的服务方式,询问客户是使用哪种方式提供公网服务的,若向外提供了公网服务,一般有以下四种:负载均衡SLB、NAT网关、弹性公网IP和云服务器ECS。
下面详细说明这四种方式:
- 负载均衡SLB(Server Load Balancer)
SLB是一种对流量进行按需分发的服务,通过将流量分发到不同的后端服务器来扩展应用系统的吞吐能力,并且可以消除系统中的单点故障,提升应用系统的可用性。
说明:在云上购买SLB的时候会有带宽数购买界面,若被测系统使用的是SLB提供公网服务,那么如果SLB的带宽数很小的话,即使服务器购买的带宽很大,那也是没用。
云监控下有一个内网带宽率(如图2),但是该内网带宽是无法调节的,在购买服务器规格的时候定下来了,如图3,私网带宽显示0.50Gpbs,是指500M的带宽,一般来说足够的了,即可给符合。
内网带宽
- NAT网关(NAT Gateway)
NAT网关是一种网络地址转换服务,提供NAT代理(SNAT和DNAT)能力。阿里云NAT网关分为公网NAT网关和VPC NAT网关,公网NAT网关提供公网地址转换服务,而VPC NAT网关提供私网地址转换服务。
NAT现在卖的不是带宽了,是按连接数的吞吐量了,一般来说,购买了NAT,吞吐量的默认规格有5Gpbs,即可给符合。
内网带宽
- NAT网关(NAT Gateway)
NAT网关是一种网络地址转换服务,提供NAT代理(SNAT和DNAT)能力。阿里云NAT网关分为公网NAT网关和VPC NAT网关,公网NAT网关提供公网地址转换服务,而VPC NAT网关提供私网地址转换服务。
NAT现在卖的不是带宽了,是按连接数的吞吐量了,一般来说,购买了NAT,吞吐量的默认规格有5Gpbs,即可给符合。
NAT的默认规格
- 弹性公网IP(Elastic IP Address,简称EIP)
EIP是可以独立购买和持有的公网IP地址资源。目前,EIP支持绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例、专有网络类型的辅助弹性网卡、NAT网关和高可用虚拟IP上。
EIP是一种NAT IP,它实际位于阿里云的公网网关上,通过NAT方式映射到被绑定的云资源上。当EIP和云资源绑定后,云资源可以通过EIP与公网通信。
说明:EIP也是按照带宽购买的,最小的有1Mpbs,但可能是不太够的,实际测评时,可结合客户需求整合考虑是否给符合。
PS:下图5为EIP与ECS固定公网IP的区别
EIP与ECS固定公网IP的区别
- 云服务器ECS(Elastic Compute Service)
这是二级系统常见的提供公网服务的方式,ECS自带公网IP,对外提供应用服务,直接去ECS实例查看它的配置即可,如图2,一般符合。
总结:若了解了被测系统是使用以上四种中的哪种服务,就去云产品监控中查看相应的使用情况。
云产品监控
c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
在此之前,值得说明的是,目前存在两种网络模式,经典网络和专有网络VPC。
经典网络:IP地址由阿里云统一分配,配置简便,使用方便,适合对操作易用性要求比较高、需要快速使用 ECS 的用户。(已于2017年下线,但已购买用户仍保留)。
专有网络VPC:是指逻辑隔离的私有网络,可以自定义网络拓扑和 IP 地址,支持通过专线连接。适合于熟悉网络管理的用户
区别:一般服务器都会有一个公网IP地址和私网IP地址,在经典模式下,私有IP地址由阿里云分配的,云租户不能改动,所以云租户不能自己的服务器划分内网IP,故该项给不适用。
目前大多数云租户使用的是专有网络VPC,一般去云控制平台查看VPC的名称即可给符合。(查看名称是因为写结果记录的时候需要体现出来)
专有网络VPC名称
专有网络VPC分配私有IP地址
d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;
这里提出一个思考问题:如何定义一个云上的网络边界,怎么样是一个网络边界,VPC与VPC之间也是边界吗?
在云上,安全组、云防火墙和网络ACL这三种均能提供边界隔离功能,现对这三种方式详细说明。
- 安全组
称为虚拟防火墙,位于云服务器ECS中。一般来说,安全组和专有网络VPC是绑定一起的(因为在阿里云产品文档中,安全组的产品文档位于专有网络VPC中)
安全组分为普通安全组和企业安全组,在云上,默认的隔离策略为:
普通安全组:
- 同一普通安全组内的实例之间内网互通
- 不同普通安全组内的实例之间内网隔离
- 默认拒绝所有入方向的访问请求(底层是全拒绝的策略,云租户看不到,实际是存在的)
企业安全组(比较少看到):
- 同一企业安全组内的实例之间内网隔离
- 不同企业安全组内的实例之间内网隔离
- 默认拒绝所有入方向和出方向的访问请求(底层是全拒绝的,云租户看不到,实际是存在的)
普通安全组和企业安全组
安全组概述-产品文档:
- 云防火墙
云防火墙处于在网络边界处
关于云防火墙的版本,基础版基本什么功能都没有,个人理解,高级版和企业版的区别在于企业版的云防火墙可以做专有网络VPC间防护隔离(即可以限制不同专有网络VPC之间的互连互通)
云防火墙包含互联网边界防火墙、VPC边界防火墙以及主机防火墙这三种类型,高级版云防火墙只有互联网边界防火墙,在企业版和旗舰版中均包含这三种类型。
云防火墙类型
不同版本的云防火墙比较
本文介绍了云防火墙不同版本的功能差异链接:
再说回到安全组,在安全组中,有入方向和出方向的安全组规则,但是现场测评时,客户一般很少在安全组中写出方向安全策略(注意:安全组存在默认安全策略)
安全组入方向默认策略
安全组出方向默认策略
所以查看入方向的访问控制时,看安全组中的入方向规则即可,安全组比云防火墙的安全策略优先级高,后文会提及优先级问题。
- 网络ACL
网络ACL是专有网络VPC中的网络访问控制功能。您可以在专有网络VPC中创建网络ACL并添加入方向和出方向规则。创建网络ACL后,您可以将网络ACL与交换机绑定,实现对交换机中ECS实例流量的访问控制。
说明:一般通过网络ACL做安全策略的人比较少
网络ACL
限制不同交换机下的ECS间的互通链接:https://help.aliyun.com/document_detail/162709.html
- 一个优先级问题
云防火墙、安全组、网络ACL哪个优先级高?
一个拓扑图
结论:
从外往内安全策略的优先级:云防火墙>网络ACL>安全组
从内往外安全策略的优先级:云防火墙<网络ACL<安全组
一个简单验证过程,在云防火墙设置出方向设置所有均可允许,在安全组出方向中设置所有均拒绝,那么服务器本身无法连接外部,ping 223.6.6.6是不通的(223.6.6.6是阿里公共DNS)。
但可惜,安全组的安全策略无论是否命中,在控制台中都是没有显示的,但云防火墙的访问控制有命中次数查看,如下图
云防火墙的访问控制
但是大家都喜欢在服务器上的安全组做入方向的安全策略,很少人在云防火墙设置。
需要提一下的是,防火墙的策略下发到生效需要5~10分钟(特别长)。
e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
冗余的方式包括主备或双活等,一般只考虑关键计算设备的硬件冗余,对于完全上云的系统,一般看服务器和数据库就够了,因为其他设备是由阿里负责的。
一般来说,对于云上系统,要做到高可用一般会用到SLB(如果没有SLB,得问客户是怎么实现冗余的)。
冗余结构
单示例是完全没有冗余,但可用区高可用架构可通过SLB实现服务器和数据的冗余,多可用区高可用架构就是异地备份(一般客户有这个架构就是符合异地实时备份数据的测评项了)
- 0 文章数
- 0 评论数
- 0 关注者
请登录/注册后在FreeBuf发布内容哦