Seguridad de la red
Huawei Cloud ofrece una amplia gama de servicios y funciones de seguridad para proteger sus recursos.
La siguiente figura muestra cómo los servicios y las funciones de seguridad protegen sus recursos.
Advanced Anti-DDoS (AAD) y Web Application Firewall (WAF)
- AAD asegura la continuidad de importantes servicios empresariales. AAD ofrece direcciones IP de alta defensa para proporcionar servicios en lugar de las direcciones IP originales del servidor para sistemas externos. Los ataques maliciosos dirigidos a los servidores de origen se pueden desviar para su depuración para garantizar el funcionamiento estable de las cargas de trabajo de misión crítica. Este servicio se puede utilizar para proteger los servidores en Huawei Cloud, otras nubes y centros de datos locales.
- WAF mantiene los servicios web estables y seguros. Examina todas las solicitudes de HTTP y de HTTPS para detectar y bloquear los siguientes ataques: inyección de lenguaje de consulta estructurado (SQL), secuencias de comandos entre sitios (XSS), shells web, inyecciones de comandos y código, inclusión de archivos, acceso a archivos confidenciales, vulnerabilidades de terceros, los ataques de Challenge Collapsar (CC), rastreadores maliciosos y falsificación de solicitudes entre sitios (CSRF).
ELB
ELB puede manejar las solicitudes de HTTPS y admitir los certificados de SSL e inicios de sesión de acceso en la capa 7. Además, puede configurar la lista negra y la lista blanca para gestionar los permisos de acceso.
ACL de red
Una ACL de red es una capa opcional de seguridad para las subredes. Puede asociar una o más subredes a una ACL de red para controlar el tráfico de entrada y salida de las subredes.
Grupo de seguridad
Un grupo de seguridad implementa el control de acceso para ECS que tienen los mismos requisitos de protección de seguridad en una VPC. Puede definir las reglas entrantes y las salientes para controlar el tráfico hacia y desde los ECS en un grupo de seguridad, haciendo que su VPC sea más segura.
Los grupos de seguridad operan a nivel de ECS, mientras que las ACL de red operan a nivel de subred. Puede utilizar las ACL de red junto con los grupos de seguridad para implementar un control de acceso completo y detallado.
Log de flujo de VPC
Un log de flujo de VPC registra información sobre el tráfico que va hacia y desde su VPC. Los registros de flujo de VPC le ayudan a supervisar el tráfico de red, analizar los ataques de red y determinar si las reglas de ACL de red y de grupos de seguridad requieren modificaciones.
Puede crear log de flujo para registrar información de tráfico sobre VPC, subredes o NIC para identificar el tráfico de ataques o el tráfico descartado por grupos de seguridad o ACL de red. Puede ver los registros de flujo en la consola de LTS o en los bucket de OBS. Estos logs de flujo se pueden analizar mediante herramientas de análisis de logs convencionales.
El siguiente es un registro de log de flujo de ejemplo:
<version> <project-id> <interface-id> <srcaddr> <dstaddr> <srcport> <dstport> <protocol> <packets> <bytes> <start> <end> <action> <log-status> 1 * * 192.168.0.59 192.168.0.218 22 39074 6 20 3997 1588743886 1588744486 ACCEPT OK 1 * * 192.168.0.59 192.168.0.218 22 39082 6 20 3997 1588743886 1588744486 ACCEPT OK 1 * * 192.168.0.218 192.168.0.59 39074 22 6 26 4033 1588743886 1588744486 ACCEPT OK 1 * * 192.168.0.218 192.168.0.59 39082 22 6 24 4117 1588743886 1588744486 ACCEPT OK
VPN
VPN establece un túnel de comunicación seguro y encriptado entre su centro de datos local y su VPC, extendiendo rápidamente los recursos desde su centro de datos a la nube.
VPCEP
VPCEP proporciona los canales seguros y privados para conectar sus VPC a los servicios de conexión de VPC, incluidos los servicios en la nube o sus servicios privados, sin tener que utilizar las EIP.
El acceso es unidireccional.
