云架构中心-SEC04-01 对网络划分区域
SEC04-01 对网络划分区域
网络的分区是将网络划分为多个部分,以隔离不同敏感性要求的网络流量和资源,从而增加网络的安全性。
- 风险等级
高
- 关键策略
通过网络分区,可以实现以下目的:
- 隔离敏感数据:将敏感数据和应用程序隔离在独立的网络分区中,以减少未经授权访问的风险。
- 可扩展性:分区和分层可以帮助管理和扩展复杂的网络架构,使其更易于维护和扩展。
- 限制网络流量:控制不同网络分区之间的通信流量,以确保只有经过授权的流量可以流动。
- 提高性能和可用性:通过分区网络,可以优化网络性能和可用性,避免网络拥塞和单点故障的影响。
定义每个分区的边界,并按照方便管理和控制的原则为各网络区域分配地址。例如,对于一个Web工作负载,划分Web区、App区、Data区等。最重要的边界是公共网络(互联网)与应用程序之间的边界,这个边界是您的工作负载的第一道防线。华为云的VPC和子网都可以作为每个网络分区的边界。
- VPC划分:为VPC指定合适的CIDR范围,以确定VPC的IP地址空间。
- 子网划分:在VPC中,创建多个子网,并将不同的资源部署在不同的子网中。
- 相关云服务和工具
虚拟私有云 VPC