安全組和網絡ACL是雲平臺中常見的安全控制功能。
其中安全組工作於虛擬機層面,可用於對某一特定虛擬機的出入流量進行控制,通常是有狀態的。
網絡ACL工作於子網層面,可以用作防火牆控制進出子網的數據流,通常無狀態。
有些雲平臺同時提供了這兩種數據安全控制功能,也有些雲平臺只提供了其中的一種。
1. 安全組使用流程
對於提供了VPC功能的雲平臺來說,用戶在創建VPC時,系統通常會自動爲VPC創建一個默認安全組。
用戶不能刪除默認安全組,但可以創建和刪除自定義安全組。
用戶刪除VPC時,默認安全組同時被刪除。
例如AWS:
騰訊雲:
爲用戶提供了3個默認安全組,分別設置成了不同的使用場景。
華爲雲:
VPC默認安全組可以被刪除。
不提供VPC功能的雲平臺也通常會爲每個租戶設置一個默認安全組,不可被刪除。
例如Unitedstack:
青雲:
也提供了相似的功能,但命名爲防火牆,除了可以對出入主機的流量進行控制以外,還可以與路由器進行關聯,進行流量控制。
安全組通過安全組規則來對出入流量進行控制。
默認安全組包含一組默認規則,常見的情況是使用白名單方式,對入方向流量拒絕,出方向流量放行。
有些雲平臺的默認安全組允許用戶添加、編輯、刪除規則,放行某些特定的流量。
例如AWS:
有些雲平臺的默認安全組不允許用戶對規則進行修改。
例如騰訊雲:
用戶也可以自己創建安全組,並編輯規則。
阿里雲:
Unitedstack:
用戶在創建雲主機時,可以爲其選擇所屬的安全組,不做選擇的則與默認安全組關聯。
雲主機與安全組的關聯關係爲N:N,具體數值各雲平臺有所不同。
有些雲平臺還提供了查看與某一安全組關聯的雲主機列表的功能。
騰訊雲:
2. 網絡ACL使用流程
網絡訪問控制列表(ACL)是一個可選安全層,可用作防火牆來控制進出一個或多個子網的流量。
網絡ACL是無狀態的,用戶需要單獨設定入站和出站規則。
有些雲平臺在創建VPC時提供了默認的網絡ACL,新建的子網自動與默認ACL關聯。
例如AWS:
用戶也可以自行創建網絡ACL。
例如AWS:
騰訊雲:
與安全組類似,網絡ACL也通過規則來對出入流量進行控制。用戶可以自己創建規則。
AWS:
騰訊雲:
網絡ACL需要與子網關聯才能生效。子網與網絡ACL的關聯關係爲N:1。
AWS:
AWS的VPC中的每個子網都必須與一個網絡ACL相關聯。如果沒有明確地將子網與網絡ACL相關聯,則子網將自動與默認網絡ACL關聯。用戶可以使用新的自定義網絡ACL來與子網關聯,關聯新的網絡ACL將自動解除子網與之前的網絡ACL的關聯。