Security 构建AWS基础设施-安全问题
我正在AWS上构建云基础设施。 我有一些后端应用程序(如数据库服务器)和其他需要输入/输出流量的前端应用程序(如Web服务器) 我还需要保护一些devops/dev应用程序,如Jenkins和Airlfow(一个工作流管理系统,有一个web UI)。其中一些应用程序,如Airflow,没有安全机制(例如登录/密码)。我还需要从互联网上通过80端口访问它 我想建立一个AWS VPC,有一个私有子网和一个公共子网。在公共子网中,我将放置前端应用程序,在私有子网中,我将放置后端服务(如数据库)Security 构建AWS基础设施-安全问题,security,amazon-web-services,cloud,vpc,Security,Amazon Web Services,Cloud,Vpc,我正在AWS上构建云基础设施。 我有一些后端应用程序(如数据库服务器)和其他需要输入/输出流量的前端应用程序(如Web服务器) 我还需要保护一些devops/dev应用程序,如Jenkins和Airlfow(一个工作流管理系统,有一个web UI)。其中一些应用程序,如Airflow,没有安全机制(例如登录/密码)。我还需要从互联网上通过80端口访问它 我想建立一个AWS VPC,有一个私有子网和一个公共子网。在公共子网中,我将放置前端应用程序,在私有子网中,我将放置后端服务(如数据库) 对于后
- 正确的方法是什么李>
- 我需要暴露端口3306李>
- 我需要NAT还是堡垒主机?他们之间有什么区别
- 如果我设置了一个NAT/堡垒主机,我会设置一个港口前卫设施吗?如果我有两个mysql数据库实例,如何使用bastion相互连接?我需要在堡垒上分配不同的港口,使港口朝前
- 我应该选择哪个子网李>
- 如果我放在专用子网上,我的团队如何在80端口上访问它李>
- 此应用程序是否需要intranet/vpc
这些都是人们在AWS上面临的常见问题。你有很多选择 您可以将所有后端和dev opps服务放在私有子网中。然后,您有许多选择可以安全地连接到它们 选项1 用于限制对这些节点的访问。您可以使用安全组仅允许特定IP地址连接到您的资源 选项2 使用堡垒主机 关于你的问题“NAT和bastion主机有什么区别?” NAT只允许私有子网内的实例通过NAT实例路由所有流量,从而连接到internet。然后,NAT实例将来自internet的返回流量引导回专用子网中的正确节点。NAT本身不允许您从外部连接到私有子网内的实例,您需要将其与端口地址转换结合起来才能实现这一点 堡垒主机是您放置在VPC的公共子网中的实例。因此,您可以从internet连接到它。一旦连接到Bastion主机,就可以使用专用IP连接到VPC内的任何其他实例。一旦你确保了你的堡垒主机的最大安全性,你就成功了 因此,您可以使用堡垒主机连接到专用子网中的所有特殊节点 选项3 使用VPC中的内置功能设置到VPC的连接,或者设置一个运行类似OpenSwan的VPN实例 VPN连接非常安全,但往往有点喜怒无常(*个人经验中的个人观点) 所以,你有很多选择。我建议多做一些谷歌搜索,并深入挖掘AWS文档,因为这些都是常见的问题 祝你好运!:)