网络安全组控制网络交通到云实例之间的通讯线路。如何在AWS或者Azure里设置它们呢？

网络安全组允许企业保护他们的部分公有云避开外部直接访问——类似于防火墙。与此同时，这些组确保云实例之间的数据流只被相关的实例容纳。当一些企业要求附加的公有云安全工具时，网络安全组是一个很好的开端。

网络安全组在公有云的配置方面能帮助云管理员建立网络访问控制。譬如，管理员可以设置实例的子网作为互联网访问的控制区（DMZ），同时确保在控制区里后台云实例的层级只能跟彼此，以及跟特定端口或者实例交谈。

设置网络安全组的过程因云而异。以微软Azure为例，管理员创造网络安全组，要么通过有GUI设置的Azure资源管理程序入口，要么通过脚本。Amazon Web Services（AWS）云管理员可以使用AWS的虚拟私有云控制台。

所有云实例需要归属于网络安全组，并且还存在一个阻碍从互联网而来的请求访问的默认组。尽管如此，仅仅依赖默认组通常体验很差。云服务需要跟其他应用和服务交流，但是一些实例，比如数据库，应该决不允许被互联网直接访问。

为了解决这个问题，云管理员可以创建三层云安全模型，包括如下内容：

1、顶层是与互联网直接通信的网络服务器

2、中间层要表现的像应用层，并能跟上级或下级通信。

3、底层支持数据库。因为只有中间层可以跟底层通信，数据库就能被很好的隔离。

在Azure和AWS的针对公有云安全的网络安全组里，还有其他一些相似性和不同点。它们都是规则导向系统，并且管理员可以在云实例和子网上应用规则。在AWS里，规则之间没有优先权；这使得管理员制定规则时更容易，因为不需要考虑优先规则的例外情况。Azure则维护一个优先权制度，这更像传统的防火墙设置，增加了复杂度。

Google采取了一种更传统的公有云安全方法。Google云平台有一些诸如防火墙和路由的特性，这都是拥有本地操作背景的网络管理员所熟悉的。当经验丰富的管理员可能感觉更适应Google云安全策略时，它也会增加更多的工作，因为有更多的内容需要管理。