從虛擬私有云(VPC)網(wǎng)絡(luò),論云的安全性
2021-11-09閱讀 510

很多企業(yè)在是否上云的決策過(guò)程中,首當(dāng)其沖考慮的就是業(yè)務(wù)上云的安全問(wèn)題。因?yàn)楹芏嗳嘶蚨嗷蛏俣加幸环N思維的慣性,即只有看見的東西才會(huì)選擇相信,看不到的都是虛無(wú)的。當(dāng)每每談到是否上云時(shí),客戶會(huì)感受到他/她的業(yè)務(wù)或數(shù)據(jù)如果上云后,是否會(huì)如天上的浮云那樣飄來(lái)飄去,導(dǎo)致敏感數(shù)據(jù)泄露的隱患和諸多不確定性的因素產(chǎn)生等諸多顧慮。

當(dāng)然,最大的顧慮是來(lái)自那些有特殊安全性要求的行業(yè)或企業(yè),他們出于行業(yè)合規(guī)性的要求或現(xiàn)有IT基礎(chǔ)設(shè)施投入保護(hù)想法,在是否上云的決策面前往往表現(xiàn)為裹足不前。那么,云真有如我們想象的那樣不安全嗎?

我們且從最關(guān)鍵的云網(wǎng)絡(luò)產(chǎn)品虛擬私有云(Virtual Private Cloud-VPC)來(lái)討論一下云的安全性。目前主流云廠商針對(duì)云上的網(wǎng)絡(luò)安全隔離的解決方案趨于一致。一般都是通過(guò)VxLan等隧道封裝技術(shù)來(lái)實(shí)現(xiàn)基于物理網(wǎng)絡(luò)上的二層邏輯隔離。而傳統(tǒng)的網(wǎng)絡(luò)隔離技術(shù)通常是基于三層的vLan技術(shù)。vLan技術(shù)一般只能實(shí)現(xiàn)2的12次方,即上限為4096個(gè)的隔離空間,這無(wú)法適應(yīng)于公有云動(dòng)輒上百萬(wàn)用戶的隔離訴求。而VxLan的隧道封裝技術(shù)可以實(shí)現(xiàn)高達(dá)2的24次方的隔離,這一點(diǎn)可充分滿足公有云擁有海量用戶體量的特點(diǎn)。

很多企業(yè)用戶可能會(huì)覺得,滿足海量用戶體量的彼此隔離是云廠商如阿里或華為需要考慮的,他們更多的要保障自身業(yè)務(wù)的安全性。那么VPC在這方便會(huì)有什么建樹呢?我們且從VPC的如下特點(diǎn)來(lái)品讀云安全的實(shí)現(xiàn)原理,VPC的具體特點(diǎn)如下:

 

  1、VPC是用戶在云上申請(qǐng)的彼此隔離的和私密的虛擬網(wǎng)絡(luò)空間;

  2、默認(rèn)不同VPC之間是彼此隔離的,VPC內(nèi)是網(wǎng)絡(luò)互通的;

  3、如果需要實(shí)現(xiàn)VPC之間的連接也是有可能的。比如,通過(guò)設(shè)置VPC對(duì)等連接、VPN連接、應(yīng)用云廠商所提供的高速通道、云聯(lián)網(wǎng)或云鏈接服務(wù)等來(lái)實(shí)現(xiàn);

  4、用戶可以基于自己的業(yè)務(wù)需要,把需要彼此隔離的業(yè)務(wù)應(yīng)用或環(huán)境分別設(shè)置在不同的VPC內(nèi)。比如生產(chǎn)環(huán)境、預(yù)生產(chǎn)環(huán)境、開發(fā)環(huán)境和測(cè)試環(huán)境各設(shè)一個(gè)VPC;

  5、用戶可以自由配置VPC內(nèi)的IP地址段、子網(wǎng)、安全組等子服務(wù),也可以申請(qǐng)彈性帶寬和彈性公網(wǎng)IP搭建可以被公網(wǎng)訪問(wèn)的業(yè)務(wù)系統(tǒng);

  6、需要彼此互相訪問(wèn)的云產(chǎn)品(如云服務(wù)器和云數(shù)據(jù)庫(kù))可以放入一個(gè)安全組,不同安全組內(nèi)的云產(chǎn)品實(shí)例彼此內(nèi)網(wǎng)隔離;

  7、安全組是一種有狀態(tài)的虛擬防火墻,用于控制安全組內(nèi)云產(chǎn)品如云服務(wù)器(虛擬機(jī))實(shí)例的入流量和出流量,從而提高云產(chǎn)品的安全性;

  8、一個(gè)云產(chǎn)品至少需要加入一個(gè)安全組,也可以同時(shí)隸屬于多個(gè)安全組?;跇I(yè)務(wù)的需要針對(duì)安全組開發(fā)入流量和出流量的網(wǎng)絡(luò)訪問(wèn)端口。當(dāng)然,安全組的入流量和出流量的網(wǎng)絡(luò)訪問(wèn)端口默認(rèn)是關(guān)閉的,需要針對(duì)每個(gè)端口是否開通進(jìn)行單獨(dú)設(shè)置,比如SSH 22端口,HTTP 80端口,HTTPs 443端口和Windows遠(yuǎn)程登陸 3389端口;

  9、安全組具備有狀態(tài)的數(shù)據(jù)包檢測(cè)和數(shù)據(jù)包過(guò)濾能力。所謂有狀態(tài),即會(huì)記錄入流量包的情況,凡是經(jīng)過(guò)入流量進(jìn)入的包不用在出流量單獨(dú)放行,即默認(rèn)可以允許流出。我們換一種說(shuō)法,安全組會(huì)默認(rèn)放行同一會(huì)話中的通信。例如,在會(huì)話連接期內(nèi),如果連接的數(shù)據(jù)包在入方向是允許的,則在出方向也是允許的。

  10、彈性帶寬和彈性公網(wǎng)IP通常設(shè)置為VPC內(nèi)的云產(chǎn)品,比如云服務(wù)器(虛擬機(jī))或云負(fù)載均衡器。被設(shè)置彈性公網(wǎng)IP的云產(chǎn)品可以具備訪問(wèn)公網(wǎng)和被公網(wǎng)訪問(wèn)的能力;

 11、VPC的設(shè)置相對(duì)于傳統(tǒng)物理網(wǎng)絡(luò)的設(shè)置更簡(jiǎn)單,但是也基本具備傳統(tǒng)網(wǎng)絡(luò)的屬性,比如虛擬路由器(vRouter)和虛擬交換機(jī)(vSwitch)。虛擬路由器連接VPC網(wǎng)絡(luò)內(nèi)的各個(gè)虛擬交換機(jī),通過(guò)虛擬交換機(jī)為VPC網(wǎng)絡(luò)劃分一個(gè)或多個(gè)子網(wǎng)。同一VPC網(wǎng)絡(luò)內(nèi)的不同虛擬交換機(jī)之間內(nèi)網(wǎng)互通。您可以將業(yè)務(wù)應(yīng)用所在的云服務(wù)器部署在不同的虛擬交換機(jī)內(nèi)。

 12、VPC使用網(wǎng)絡(luò)虛擬化技術(shù),通過(guò)鏈路冗余,分布式網(wǎng)關(guān)集群,多可用區(qū)(AZ)部署等多種技術(shù),保障網(wǎng)絡(luò)的安全、穩(wěn)定和高可用。

 

  以下是一個(gè)典型的云上VPC的網(wǎng)絡(luò)拓?fù)鋱D,

總之,通過(guò)以上關(guān)于VPC及相關(guān)云產(chǎn)品的描述,我們可以切身感知云在安全管理上是狠下了一番功夫的。通常只要云用戶合理的利用VPC、安全組和子網(wǎng)訪問(wèn)策略(ACL)進(jìn)行完備的云上安全規(guī)劃,就能達(dá)到比線下傳統(tǒng)IDC更加專業(yè)的安全性體驗(yàn)。比如由于云上的二層網(wǎng)絡(luò)隔離,每個(gè)在云上的用戶都可以使用如下網(wǎng)段的IP地址,即允許不同的云用戶在其業(yè)務(wù)上使用相同的IP地址或子網(wǎng)網(wǎng)段,他們的IP地址不沖突,業(yè)務(wù)也不受干擾,彼此網(wǎng)絡(luò)隔離。

子網(wǎng)網(wǎng)段:192.168.0.0/16,可用私網(wǎng)IP數(shù)量達(dá)65,532個(gè);

子網(wǎng)網(wǎng)段:172.16.0.0/12,可用私網(wǎng)IP數(shù)量達(dá)1,048,572個(gè);

子網(wǎng)網(wǎng)段:10.0.0.0/8,可用私網(wǎng)IP數(shù)量達(dá)16,777,212個(gè)。