云安全技术与应用手册.docxVIP

云安全技术与应用手册

第1章云安全基础架构与合规管理

1.1云原生安全域划分与边界防护

云原生安全域划分首先基于“最小权限原则”和“默认拒绝”策略，将云环境划分为基础设施层、平台层、数据层及应用层四个核心安全域，以此构建纵深防御体系。在基础设施层，需明确物理机、虚拟机、容器集群及网络节点之间的隔离边界，确保每一台服务器或容器实例拥有独立的网络接口和独立的计算资源池，防止横向渗透。例如，在AWS架构中，EKS集群应部署在独立的VPC子网中，通过安全组（SecurityGroup）将非业务流量限制在/0之外，仅允许特定的内部CIDR段访问，从而在物理网络层面实现逻