概述
背景介绍
随着企业业务规模扩大与网络升级,现代大型企业20%的流量涉及内外网之间的数据交换,而高达80%流转于内网之间数据交换。一旦攻击者绕过了Internet边界防御,便能在内网肆虐。因此,有效管控内网的东西向流量成为关键挑战。
以往,传统数据中心的主流做法是部署大量的安全设备组建一个安全域来实现企业系统的安全防护和访问控制,网络流量需要按照业务逻辑和安全防护等级穿过安全域内的不同设备,这就是所谓的服务链(Service Chain)。现今,这一策略需延伸至云端环境,确保公共云上部署的实例、容器或微服务之间的互访流量延续相同的安全策略。例如,同地域内的不同VPC、VPC与本地数据中心之间,流量均需通过安全产品实现基于规则的检测和防护,强化内网安全,抵御潜在威胁。
基本概念
专有网络VPC:VPC是用户基于阿里云创建的自定义私有网络, 不同的专有网络之间逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS、SLB、RDS等。
云企业网CEN:云企业网可帮助您在不同地域VPC之间、VPC与本地数据中心间搭建私网通信通道,实现同地域或跨地域网络互通;同时,云企业网支持在地域内定义灵活的互通、隔离、引流策略,帮助您打造一张灵活、可靠、大规模的企业级全球互联网络。
转发路由器TR:转发路由器TR提供连接网络实例、添加自定义路由表、添加路由条目、添加路由策略等丰富的网络互通和路由管理功能。
云防火墙:云防火墙是一款云平台SaaS化的防火墙,可针对您云上网络资产的互联网边界、VPC边界及主机边界实现三位一体的统一安全隔离管控,是业务上云的第一道网络防线。
设计原则
弹性能力:当发生内网东西向流量突增时(比如数据同步或者迁移场景),设计架构可以在客户无需操作的情况下进行弹性扩容,尽量做到业务无损。
可持续架构:随着客户云上业务规模的发展,需要在整体架构不变的情况下的支持更多的VPC、路由条目以及安全规则。
使用托管服务:更多地采用云原生的产品,有助于更充分地利用资源,从而减少因自建组件导致的云资源浪费和运维负担。
设计关键点
稳定性
为了提高整体架构的稳定性,在开通TR时需要至少选择两个可用区进行部署,实现跨可用区容灾。后端应用服务器部署在不同可用区的不同交换机内,以提升整体架构的跨可用区容灾的高可靠性。
使用高速通道经过物理专线连接阿里云POP点和本地IDC时,推荐采用双专线接入双阿里云POP点,双专线尽量采取不同物理路由/专线供应商,以保证业务稳定性。
高速通道专线互联建议采用BGP协议并开启BFD功能,保证单根专线出现故障时可完成线路倒换和路由快速收敛。
安全
部署单独的安全VPC作为云防火墙的引流VPC,该VPC作为独立的安全组件存在,注意不要部署其他业务资源。
在TR上通过可信流量/不可信流量两张路由表将整体网络切成两个不同的平面,通过云防火墙实现整体的东西向流量访问策略的集中化控制。
性能
综合考虑业务时延、安全容灾等多方面因素,对云资源和产品部署的可用区进行选择。尽量实现ECS、RDS、TR、云防火墙产品部署在相同的主备可用区,降低跨可用区绕行带来的网络延时增加。专线接入点也应尽量靠近云资源所在的可用区。
弹性
VPC、TR、云防火墙均提供在一定容量范围内的自动弹性能力,如果有大带宽的需求(例如单TR实例转发能力超过100G),请提前联系阿里云技术支持人员。
高速通道物理端口不支持弹性扩容,需要根据业务带宽规模进行提前规划。
可观测
网络智能服务NIS支持对网络流量进行健康分析、性能监控、诊断修复、流量分析和测量仿真的云服务,通过集成机器学习、知识图谱等AIOps方法减少网络使用复杂性,提供自助运维能力,方便网络架构师和运维工程师更快捷地设计和使用网络。
TR和VPC均支持通过流日志将业务流量进行记录输出并实现流量的详细分析。云防火墙自动记录所有流量,并通过可视化日志审计页面提供便捷的攻击事件、流量细节和操作日志查询功能,使得攻击溯源和流量审查变得简单快捷。
设计最佳实践
企业客户可以结合使用TR和云防火墙,实现云上内网东西向流量的安全监控、访问控制、实时入侵防御,提升内网安全。通过配置TR与VPC边界防火墙之间的互访路由,实现VPC边界防火墙对云企业网TR连接的VPC之间的所有流量进行防护。
基于TR提供的多张路由表能力,支持建立可信流量(防火墙处理后)和不可信流量(防火墙处理前)等不同路由表隔离网络流量。
设置业务VPC1和业务VPC2,绑定TR的不可信路由表,内网流量到达TR后会通过该路由表发送到安全VPC。
设置安全VPC,部署云防火墙进行内网流量异常检测和安全防护,绑定TR的可信路由表。
当业务VPC1需要访问业务VPC2或者通过VBR访问本地IDC时,流量会先经过TR的不可信路由表转发到安全VPC,由云防火墙处理后将流量送回到TR,通过TR的可信路由表转发到正确的目的地。
应用场景介绍
企业等保合规场景:满足国家法律法规及行业监管要求,避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。部署TR和云防火墙架构实现东西向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。
混合云安全防护场景:通过在云上构建安全网络架构,检测通过专线流入/流出云的流量,形成体系化的混合云边界防护架构,通过流量的入云/出云检测,降低云上VPC和本地IDC的内网安全风险。
云上业务间安全场景:统一管理云上不同业务之间的东西向微隔离策略,达到协议、端口、地域、应用级访问控制粒度,防止云上资源发生安全事件后在内网横向蔓延,减小因安全事件所带来的业务影响面。
Terraform参考
云上东西向流量安全设计
项目 | 说明 |
Terraform Module官网地址 | |
Github 地址 | |
示例地址 |
代码流程:
创建2个业务VPC和1个安全VPC及其交换机。
创建CEN和TR,通过TR-attachment把VPC加入CEN中。
配置TR多路由表实现向安全VPC的引流和流量防护后的回注。
需要创建的实例如下:
3个VPC
7个交换机
1个CEN
1个TR