云平台安全组及网络ACL对比

安全组和网络ACL是云平台中常见的安全控制功能。


其中安全组工作于虚拟机层面,可用于对某一特定虚拟机的出入流量进行控制,通常是有状态的。

网络ACL工作于子网层面,可以用作防火墙控制进出子网的数据流,通常无状态。


有些云平台同时提供了这两种数据安全控制功能,也有些云平台只提供了其中的一种。


1. 安全组使用流程

对于提供了VPC功能的云平台来说,用户在创建VPC时,系统通常会自动为VPC创建一个默认安全组。

用户不能删除默认安全组,但可以创建和删除自定义安全组。

用户删除VPC时,默认安全组同时被删除。

 

例如AWS:

云平台安全组及网络ACL对比_第1张图片


腾讯云:

为用户提供了3个默认安全组,分别设置成了不同的使用场景。

云平台安全组及网络ACL对比_第2张图片


华为云:

VPC默认安全组可以被删除。

云平台安全组及网络ACL对比_第3张图片



不提供VPC功能的云平台也通常会为每个租户设置一个默认安全组,不可被删除。

 

例如Unitedstack:

云平台安全组及网络ACL对比_第4张图片


青云:

也提供了相似的功能,但命名为防火墙,除了可以对出入主机的流量进行控制以外,还可以与路由器进行关联,进行流量控制。

云平台安全组及网络ACL对比_第5张图片


安全组通过安全组规则来对出入流量进行控制。

默认安全组包含一组默认规则,常见的情况是使用白名单方式,对入方向流量拒绝,出方向流量放行。

 

有些云平台的默认安全组允许用户添加、编辑、删除规则,放行某些特定的流量。

 

例如AWS:

云平台安全组及网络ACL对比_第6张图片

有些云平台的默认安全组不允许用户对规则进行修改。

 

例如腾讯云:

云平台安全组及网络ACL对比_第7张图片


用户也可以自己创建安全组,并编辑规则。

 

阿里云:

云平台安全组及网络ACL对比_第8张图片

云平台安全组及网络ACL对比_第9张图片


Unitedstack:

云平台安全组及网络ACL对比_第10张图片

云平台安全组及网络ACL对比_第11张图片


用户在创建云主机时,可以为其选择所属的安全组,不做选择的则与默认安全组关联。

云主机与安全组的关联关系为N:N,具体数值各云平台有所不同。

 

有些云平台还提供了查看与某一安全组关联的云主机列表的功能。

 

腾讯云:

云平台安全组及网络ACL对比_第12张图片


2. 网络ACL使用流程

网络访问控制列表(ACL)是一个可选安全层,可用作防火墙来控制进出一个或多个子网的流量。

网络ACL是无状态的,用户需要单独设定入站和出站规则。


有些云平台在创建VPC时提供了默认的网络ACL,新建的子网自动与默认ACL关联。

 

例如AWS:

云平台安全组及网络ACL对比_第13张图片


用户也可以自行创建网络ACL。

 

例如AWS:

云平台安全组及网络ACL对比_第14张图片


腾讯云:

云平台安全组及网络ACL对比_第15张图片


与安全组类似,网络ACL也通过规则来对出入流量进行控制。用户可以自己创建规则。

 

AWS:

云平台安全组及网络ACL对比_第16张图片


腾讯云:

云平台安全组及网络ACL对比_第17张图片


网络ACL需要与子网关联才能生效。子网与网络ACL的关联关系为N:1。

 

AWS:

AWS的VPC中的每个子网都必须与一个网络ACL相关联。如果没有明确地将子网与网络ACL相关联,则子网将自动与默认网络ACL关联。用户可以使用新的自定义网络ACL来与子网关联,关联新的网络ACL将自动解除子网与之前的网络ACL的关联。

云平台安全组及网络ACL对比_第18张图片


腾讯云:

云平台安全组及网络ACL对比_第19张图片


3. 云平台安全组及网络ACL对比

云平台安全组及网络ACL对比_第20张图片

你可能感兴趣的:(云计算)