網絡安全組控制網絡交通到云實例之間的通訊線路。如何在AWS或者Azure里設置它們呢？

網絡安全組允許企業保護他們的部分公有云避開外部直接訪問——類似于防火墻。與此同時，這些組確保云實例之間的數據流只被相關的實例容納。當一些企業要求附加的公有云安全工具時，網絡安全組是一個很好的開端。

網絡安全組在公有云的配置方面能幫助云管理員建立網絡訪問控制。譬如，管理員可以設置實例的子網作為互聯網訪問的控制區（DMZ），同時確保在控制區里后臺云實例的層級只能跟彼此，以及跟特定端口或者實例交談。

設置網絡安全組的過程因云而異。以微軟Azure為例，管理員創造網絡安全組，要么通過有GUI設置的Azure資源管理程序入口，要么通過腳本。Amazon Web Services（AWS）云管理員可以使用AWS的虛擬私有云控制臺。

所有云實例需要歸屬于網絡安全組，并且還存在一個阻礙從互聯網而來的請求訪問的默認組。盡管如此，僅僅依賴默認組通常體驗很差。云服務需要跟其他應用和服務交流，但是一些實例，比如數據庫，應該決不允許被互聯網直接訪問。

為了解決這個問題，云管理員可以創建三層云安全模型，包括如下內容：

1、頂層是與互聯網直接通信的網絡服務器

2、中間層要表現的像應用層，并能跟上級或下級通信。

3、底層支持數據庫。因為只有中間層可以跟底層通信，數據庫就能被很好的隔離。

在Azure和AWS的針對公有云安全的網絡安全組里，還有其他一些相似性和不同點。它們都是規則導向系統，并且管理員可以在云實例和子網上應用規則。在AWS里，規則之間沒有優先權；這使得管理員制定規則時更容易，因為不需要考慮優先規則的例外情況。Azure則維護一個優先權制度，這更像傳統的防火墻設置，增加了復雜度。

Google采取了一種更傳統的公有云安全方法。Google云平臺有一些諸如防火墻和路由的特性，這都是擁有本地操作背景的網絡管理員所熟悉的。當經驗豐富的管理員可能感覺更適應Google云安全策略時，它也會增加更多的工作，因為有更多的內容需要管理。