Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Actualización más reciente 2023-01-11 GMT+08:00

Seguridad de la red

Huawei Cloud ofrece una amplia gama de servicios y funciones de seguridad para proteger sus recursos.

La siguiente figura muestra cómo los servicios y las funciones de seguridad protegen sus recursos.

Advanced Anti-DDoS (AAD) y Web Application Firewall (WAF)

  • AAD asegura la continuidad de importantes servicios empresariales. AAD ofrece direcciones IP de alta defensa para proporcionar servicios en lugar de las direcciones IP originales del servidor para sistemas externos. Los ataques maliciosos dirigidos a los servidores de origen se pueden desviar para su depuración para garantizar el funcionamiento estable de las cargas de trabajo de misión crítica. Este servicio se puede utilizar para proteger los servidores en Huawei Cloud, otras nubes y centros de datos locales.
  • WAF mantiene los servicios web estables y seguros. Examina todas las solicitudes de HTTP y de HTTPS para detectar y bloquear los siguientes ataques: inyección de lenguaje de consulta estructurado (SQL), secuencias de comandos entre sitios (XSS), shells web, inyecciones de comandos y código, inclusión de archivos, acceso a archivos confidenciales, vulnerabilidades de terceros, los ataques de Challenge Collapsar (CC), rastreadores maliciosos y falsificación de solicitudes entre sitios (CSRF).

ELB

ELB puede manejar las solicitudes de HTTPS y admitir los certificados de SSL e inicios de sesión de acceso en la capa 7. Además, puede configurar la lista negra y la lista blanca para gestionar los permisos de acceso.

Figura 1 Solicitudes de HTTPS

ACL de red

Una ACL de red es una capa opcional de seguridad para las subredes. Puede asociar una o más subredes a una ACL de red para controlar el tráfico de entrada y salida de las subredes.

Figura 2 ACL de red

Grupo de seguridad

Un grupo de seguridad implementa el control de acceso para ECS que tienen los mismos requisitos de protección de seguridad en una VPC. Puede definir las reglas entrantes y las salientes para controlar el tráfico hacia y desde los ECS en un grupo de seguridad, haciendo que su VPC sea más segura.

Los grupos de seguridad operan a nivel de ECS, mientras que las ACL de red operan a nivel de subred. Puede utilizar las ACL de red junto con los grupos de seguridad para implementar un control de acceso completo y detallado.

Figura 3 Grupo de seguridad

Log de flujo de VPC

Un log de flujo de VPC registra información sobre el tráfico que va hacia y desde su VPC. Los registros de flujo de VPC le ayudan a supervisar el tráfico de red, analizar los ataques de red y determinar si las reglas de ACL de red y de grupos de seguridad requieren modificaciones.

Puede crear log de flujo para registrar información de tráfico sobre VPC, subredes o NIC para identificar el tráfico de ataques o el tráfico descartado por grupos de seguridad o ACL de red. Puede ver los registros de flujo en la consola de LTS o en los bucket de OBS. Estos logs de flujo se pueden analizar mediante herramientas de análisis de logs convencionales.

El siguiente es un registro de log de flujo de ejemplo:

<version> <project-id> <interface-id>  <srcaddr>      <dstaddr>       <srcport>   <dstport>   <protocol>  <packets>  <bytes>  <start>      <end>       <action>   <log-status>
1         *            *               192.168.0.59   192.168.0.218   22          39074       6           20         3997     1588743886   1588744486  ACCEPT     OK
1         *            *               192.168.0.59   192.168.0.218   22          39082       6           20         3997     1588743886   1588744486  ACCEPT     OK
1         *            *               192.168.0.218  192.168.0.59    39074       22          6           26         4033     1588743886   1588744486  ACCEPT     OK
1         *            *               192.168.0.218  192.168.0.59    39082       22          6           24         4117     1588743886   1588744486  ACCEPT     OK

VPN

VPN establece un túnel de comunicación seguro y encriptado entre su centro de datos local y su VPC, extendiendo rápidamente los recursos desde su centro de datos a la nube.

Figura 4 Establecimiento de un túnel de comunicación encriptado

VPCEP

VPCEP proporciona los canales seguros y privados para conectar sus VPC a los servicios de conexión de VPC, incluidos los servicios en la nube o sus servicios privados, sin tener que utilizar las EIP.

El acceso es unidireccional.

Figura 5 Establecer un canal privado