公有雲中的 Xi Frame 網路解決方案(下)
接續上一篇文章,我們討論到Xi Frame 網路解決的第一種方案:公有雲中的 Xi Frame 網路解決方案(上)
部署方案2:使用帶有安全網關設備(SGA)的專用IP的工作負載VM
從網絡的角度來看,不將您的工作負載直接暴露在Internet上,就可以抵禦Internet上的惡作劇。解決此問題的一種方法是使用Frame的專用IP工作負載功能。
部署方案2:使用帶有安全網關設備(SGA)的專用IP的工作負載VM
從網絡的角度來看,不將您的工作負載直接暴露在Internet上,就可以抵禦Internet上的惡作劇。解決此問題的一種方法是使用Frame的專用IP工作負載功能。
在這種情況下,Frame提供了一個稱為流網關設備(SGA)的設備,它充當私有IP工作負載的反向代理。Frame平台將用戶重定向到Streaming Gateway設備,並且設備將用戶定向到正確的工作負載。在這種情況下,在VPC中創建公用子網和專用子網,在公用子網中放置了IGW,並且配置NAT網關以透過公用子網路由通信。
Frame平台將啟動專用子網中的實例,並且不會將這些工作負載直接暴露給Internet。從安全角度來看,攻擊者需要知道您的VPC的專用IP CIDR塊,知道這些實例何時啟動,並具有經過驗證的會話令牌才能開始攻擊。對於10.XXX / 172.31.XX / 192.168.XX專用IP空間的任何變化,要查詢的內容很多。混淆層有助於限制Internet掃描活動並保護您的工作負載。作為額外的驗證步驟,SGA還將在允許您通過SGA並連接到工作負載本身之前驗證您的用戶身份。
選擇正確的方案
讓我們回到此文章開頭提出的問題,並評估其優缺點。
- 安全團隊是否對使用公共IP地址直接在Internet上進行工作負載感到滿意?
- 優點:互聯網上任何地方都可用,無需特殊配置,易於設置
- 缺點:互聯網上任何地方都可用,因此攻擊面可能更大
- 我是否具有要求流量才能通過本地網路運行的網絡檢查或安全工具?
- 優點:利用工具進行網絡檢查
- 缺點:可以引入延遲,從雲運行到本地再回到用戶
那麼應該選擇什麼呢?與往常一樣,這取決於您的用例以及您要交付的應用程序或桌面。在為用戶評估應用程序或桌面的新部署時,應始終考慮網路要求、安全性和最終用戶體驗。Frame的靈活性可以支持最苛刻的網絡體系結構,同時保持其盡可能的簡單,這是一個很大的差異。
