網(wǎng)絡(luò)安全組控制網(wǎng)絡(luò)交通到云實(shí)例之間的通訊線(xiàn)路。如何在A(yíng)WS或者Azure里設(shè)置它們呢?

　　網(wǎng)絡(luò)安全組允許企業(yè)保護(hù)他們的部分公有云避開(kāi)外部直接訪(fǎng)問(wèn)——類(lèi)似于防火墻。與此同時(shí)，這些組確保云實(shí)例之間的數(shù)據(jù)流只被相關(guān)的實(shí)例容納。當(dāng)一些企業(yè)要求附加的公有云安全工具時(shí)，網(wǎng)絡(luò)安全組是一個(gè)很好的開(kāi)端。

　　網(wǎng)絡(luò)安全組在公有云的配置方面能幫助云管理員建立網(wǎng)絡(luò)訪(fǎng)問(wèn)控制。譬如，管理員可以設(shè)置實(shí)例的子網(wǎng)作為互聯(lián)網(wǎng)訪(fǎng)問(wèn)的控制區(qū)(DMZ)，同時(shí)確保在控制區(qū)里后臺(tái)云實(shí)例的層級(jí)只能跟彼此，以及跟特定端口或者實(shí)例交談。

　　設(shè)置網(wǎng)絡(luò)安全組的過(guò)程因云而異。以微軟Azure為例，管理員創(chuàng)造網(wǎng)絡(luò)安全組，要么通過(guò)有GUI設(shè)置的Azure資源管理程序入口，要么通過(guò)腳本。 Amazon Web Services(AWS)云管理員可以使用AWS的虛擬私有云控制臺(tái)。

　　所有云實(shí)例需要?dú)w屬于網(wǎng)絡(luò)安全組，并且還存在一個(gè)阻礙從互聯(lián)網(wǎng)而來(lái)的請(qǐng)求訪(fǎng)問(wèn)的默認(rèn)組。盡管如此，僅僅依賴(lài)默認(rèn)組通常體驗(yàn)很差。云服務(wù)需要跟其他應(yīng)用和服務(wù)交流，但是一些實(shí)例，比如數(shù)據(jù)庫(kù)，應(yīng)該決不允許被互聯(lián)網(wǎng)直接訪(fǎng)問(wèn)。

[[167509]]

　　為了解決這個(gè)問(wèn)題，云管理員可以創(chuàng)建三層云安全模型，包括如下內(nèi)容：

　　1、頂層是與互聯(lián)網(wǎng)直接通信的網(wǎng)絡(luò)服務(wù)器

　　2、中間層要表現(xiàn)的像應(yīng)用層，并能跟上級(jí)或下級(jí)通信。

　　3、底層支持?jǐn)?shù)據(jù)庫(kù)。因?yàn)橹挥兄虚g層可以跟底層通信，數(shù)據(jù)庫(kù)就能被很好的隔離。

　　在A(yíng)zure和AWS的針對(duì)公有云安全的網(wǎng)絡(luò)安全組里，還有其他一些相似性和不同點(diǎn)。它們都是規(guī)則導(dǎo)向系統(tǒng)，并且管理員可以在云實(shí)例和子網(wǎng)上應(yīng)用規(guī)則。在 AWS里，規(guī)則之間沒(méi)有優(yōu)先權(quán);這使得管理員制定規(guī)則時(shí)更容易，因?yàn)椴恍枰紤]優(yōu)先規(guī)則的例外情況。Azure則維護(hù)一個(gè)優(yōu)先權(quán)制度，這更像傳統(tǒng)的防火墻設(shè)置，增加了復(fù)雜度。

　　Google采取了一種更傳統(tǒng)的公有云安全方法。Google云平臺(tái)有一些諸如防火墻和路由的特性，這都是擁有本地操作背景的網(wǎng)絡(luò)管理員所熟悉的。當(dāng)經(jīng)驗(yàn)豐富的管理員可能感覺(jué)更適應(yīng)Google云安全策略時(shí)，它也會(huì)增加更多的工作，因?yàn)橛懈嗟膬?nèi)容需要管理。