VPC 中的安全性
通过使用安全组控制网络流量、使用网络访问控制列表 (ACL) 或同时使用这两种控制类型,可以确保IBM Cloud® Virtual Private Cloud和工作负载的安全。
安全性概述
安全组和访问控制列表(ACL)提供了使用您指定的规则控制IBM Cloud® Virtual Private Cloud中子网和实例间流量的方法。 安全组和 ACL 向子网和实例添加安全性:
- 可以通过访问控制列表(ACL)控制进出子网的流量。
- 安全组可以控制虚拟服务器实例级别的流量。
- 允许您设置子网访问互联网的公共网关,并由 ACL 保护。
- 允许您实现由 SGs 保护的虚拟服务器实例访问因特网的浮动 IP。
如果要使用 IBM Cloud Internet Services(CIS) 配置 VPC,那么可以通过仅允许通过 VPC 中的 CIS (允许列表) 进行流量来防止 DDoS 攻击。 将 Network ACL 和安全组设置为允许列表 CIS 流量。
定义
接下来的章节将介绍 ACL 和安全组的基本功能,以及 VPC 支持端到端加密的方式。
访问控制表
访问控制表 (ACL) 可以管理(即,可以允许或拒绝)子网的入站和出站流量。 ACL 是无状态的,这意味着必须分别显式指定入站和出站规则。 每个 ACL 都由基于源 IP、源端口、目标 IP、目标端口和协议的规则组成。
每个 VPC 都有一个允许所有入站和出站流量的缺省 ACL。 您可以编辑缺省 ACL 规则,或者创建定制 ACL 并将其附加到子网。 一个子网在任何时候只能有一个 ACL 连接到它,但一个 ACL 可以连接到多个子网。 有关如何使用 ACL 的更多信息,请参阅 设置网络 ACL。
安全组
安全组可充当虚拟防火墙,控制一个或多个虚拟服务器实例的流量。 安全组是一组规则,用于指定是允许还是拒绝关联实例的流量。您可以将一个实例与一个或多个安全组相关联,并编辑安全组规则。 有关更多信息,请参阅使用安全组。
比较安全组与访问控制表
表 1 总结了安全组和 ACL 之间的一些主要区别。
| 安全组 | ACL | |
|---|---|---|
| 控制级别 | 虚拟服务器实例 | 子网 |
| 州/省 | 有状态 - 当一个入站连接被允许时,它被允许回复 | 无状态 - 必须显式允许入站和出站连接 |
| 支持的规则 | 仅使用允许规则 | 使用允许和拒绝规则 |
| 规则应用方式 | 考虑所有规则 | 规则按顺序处理 |
| 与关联资源的关系 | 一个实例可以与多个安全组相关联 | 多个子网可以与同一 ACL 相关联 |
端到端加密 (End-to-end encryption)
虽然 IBM Cloud VPC 未提供端到端加密,但支持此功能。 例如,如果在虚拟服务器实例上有安全端点(例如,端口 443 上的 HTTPS 服务器),那么可以将浮动 IP 连接到该实例,然后端口 443 上从客户机到服务器的连接会进行端到端加密。 路径中的任何内容都不会导致解密。 但是,如果使用不安全的协议(例如,端口 80 上的 HTTP),那么数据不会进行端到端加密。
如果应用程序需要端到端加密,那么 您 负责确保连接是端到端加密的。