阿里雲致力於為您提供穩定、可靠、安全、合規的雲端運算服務,協助您保護您系統及資料的機密性、完整性、可用性。本文介紹了Virtual Private Cloud(Virtual Private Cloud)的安全體系、提供的安全能力和安全管控運作機制。
安全體系
專用網路原理
Virtual Private Cloud是一個隔離的網路環境,專用網路之間邏輯上徹底隔離。基於目前主流的隧道技術,專用網路隔離了虛擬網路。每個VPC都有一個獨立的隧道號,一個隧道號對應著一個虛擬化網路。
一個VPC內的ECS(Elastic Compute Service)執行個體之間的傳輸資料包都會加上隧道封裝,帶有唯一的隧道號標識,然後通過物理網路進行傳輸。
不同VPC內的ECS執行個體由於所在的隧道號不同,本身處於兩個不同的路由平面,因此不同VPC內的ECS執行個體無法進行通訊,天然地進行了隔離。
安全防護功能
Virtual Private Cloud可以通過以下功能保障雲端服務的安全性和可靠性。
功能 | 描述 |
ECS安全性群組 | 安全性群組是一種虛擬防火牆,具備狀態檢測和資料包過濾能力,用於在雲端劃分安全域。通過配置安全性群組規則,您可以控制安全性群組內一台或多台ECS執行個體的入流量和出流量。詳細資料,請參見安全性群組概述。 |
網路ACL | 網路ACL是VPC中的網路存取控制功能。您可以自訂設定網路ACL規則,並將網路ACL與交換器綁定,實現對交換器中ECS執行個體的流量的存取控制。詳細資料,請參見網路ACL概述。 |
流日誌 | Virtual Private Cloud提供流日誌功能,可以記錄VPC網路中彈性網卡ENI(Elastic Network Interface)傳入和傳出的流量資訊,協助您檢查存取控制規則、監控網路流量和排查網路故障。詳細資料,請參見流日誌概述。 |
流量鏡像 | VPC流量鏡像功能可以鏡像經過彈性網卡ENI且符合篩選條件的報文。通過流量鏡像功能,您可以複製VPC中ECS執行個體的網路流量,然後將複製後的網路流量轉寄給指定的彈性網卡或私網傳統型負載平衡CLB(Classic Load Balancer)執行個體,用於內容檢查、威脅監控和問題排查等情境。詳細資料,請參見流量鏡像概述。 |
使用RAM權限原則
您可以通過RAM存取控制策略,對Virtual Private Cloud的存取權限進行控制。
許可權用來描述使用者、使用者組、角色對具體資源的訪問能力,策略是具體授權的方法。您可以通過RAM權限原則,決定哪些使用者或角色可以訪問哪些資源,或執行哪些操作。
權限原則配置
您可以通過以下常用的權限原則對VPC的存取權限進行控制。關於VPC的許可權定義,請參見授權資訊(VPC)和授權資訊(VPC對等串連)。
權限原則 | 描述 |
AliyunVPCFullAccess | 為RAM使用者授予VPC的完全系統管理權限。 |
AliyunVPCReadOnlyAccess | 為RAM使用者授予VPC的唯讀存取權限。 |
您可以為使用者建立系統權限原則,當系統權限原則不能滿足您的要求時,您可以建立自訂權限原則。關於如何建立自訂權限原則,請參見通過RAM對VPC進行許可權管理。