本文為您介紹Virtual Private Cloud基礎設施安全的相關內容。
網路隔離
Virtual Private Cloud是阿里雲上使用者自己的雲上私人網路,是一個隔離的網路環境,專用網路之間邏輯上徹底隔離。
在Virtual Private Cloud中,交換器(vSwitch)是組成專用網路的基礎網路裝置,用來串連不同的雲資源執行個體。您可以建立多個交換器來劃分VPC的網路空間,並可以將不同的ECS執行個體部署在不同的交換器中,不同交換器之間可以進行網路隔離。每個交換器都有自己的IP位址區段和路由表,可以通過路由表進行存取控制。
控制網路流量
您可以使用以下方法來控制VPC中資源的網路流量:
建立VPC類型的ECS執行個體時,可以使用系統提供的預設安全性群組規則,也可以選擇VPC中已有的其他安全性群組來控制ECS執行個體的出站和入站流量。安全性群組是VPC內的虛擬防火牆,能夠控制進出ECS執行個體的流量。通過將具有相同安全需求並相互信任的ECS執行個體放入相同的安全性群組,可以劃分安全域,保障雲上資源的安全。此外,網路ACL能夠控制進出交換器的流量,通過將多個交換器綁定相同的網路ACL,可統一控制進出多個交換器的流量。結合使用安全性群組和網路ACL,可以有效地保護VPC內的資源安全。
IPv4網關是VPC邊界上的公網IPv4流量控制組件。結合路由表配置,可以實現控制公網訪問流量統一經過IPv4網關,降低分散接入帶來的安全風險。
IPv6網關是VPC的公網IPv6流量網關,通過配置IPv6公網頻寬和僅主動出規則,可以靈活定義IPv6的出流量和入流量。
建立自訂路由表並綁定交換器,添加自訂路由條目來控制該交換器的流量,便於更靈活地進行網路管理。
通過建立VPC對等串連,並為兩端VPC分別配置路由,可以實現VPC私網互連。對等串連功能支援同帳號/跨帳號、同地區/跨地區VPC互連,配置前需確保兩端VPC的網段不重疊。
雲企業網作為多VPC互連的解決方案,可以實現企業內部多個VPC之間的網路互連,打造靈活、可靠、大規模的企業級雲上網路。
使用Express Connect、VPN網關,可以實現阿里雲VPC與使用者本機資料中心、辦公終端或其他雲廠商網路互連。
網關終端節點是虛擬網關裝置,在VPC中建立雲端服務的網關終端節點並指定關聯的路由表,系統自動將增加下一跳指向網關終端節點的路由條目,實現對雲端服務的私網訪問。
使用VPC的流日誌功能捕獲VPC網路中彈性網卡ENI的傳入和傳出流量資訊,可以檢查存取控制規則、監控網路流量和排查網路故障。
網路ACL與安全性群組
阿里雲提供安全性群組和網路ACL兩種存取控制方式,可實現VPC內執行個體層級或交換器層級的網路隔離。
對比項 | 安全性群組 | 網路ACL |
示意圖 | ||
作用範圍 | 執行個體層級 您可以將安全性群組綁定一個或多個ECS。 | 交換器層級 您可以將網路ACL綁定一個或多個交換器。 |
工作方式 | 有狀態,自動允許回包。 例如允許入方向訪問80連接埠的流量時,您只需為 | 無狀態,回包需單獨允許存取。 例如允許入方向訪問80連接埠的流量時,您既要為 |
組內控制策略 | 普通安全性群組:可選組內互連或隔離。 企業級安全性群組:預設組內隔離。 | 不控制同一個交換器內的ECS執行個體間的流量。 |
應用情境 | 執行個體間互訪、對外開放連接埠 | 交換器層級的隔離、跨交換器存取控制 |