很多企業(yè)在是否上云的決策過程中，首當其沖考慮的就是業(yè)務上云的安全問題。因為很多人或多或少都有一種思維的慣性，即只有看見的東西才會選擇相信，看不到的都是虛無的。當每每談到是否上云時，客戶會感受到他/她的業(yè)務或數據如果上云后，是否會如天上的浮云那樣飄來飄去，導致敏感數據泄露的隱患和諸多不確定性的因素產生等諸多顧慮。

當然，最大的顧慮是來自那些有特殊安全性要求的行業(yè)或企業(yè)，他們出于行業(yè)合規(guī)性的要求或現有IT基礎設施投入保護想法，在是否上云的決策面前往往表現為裹足不前。那么，云真有如我們想象的那樣不安全嗎？

我們且從最關鍵的云網絡產品虛擬私有云（Virtual Private Cloud-VPC）來討論一下云的安全性。目前主流云廠商針對云上的網絡安全隔離的解決方案趨于一致。一般都是通過VxLan等隧道封裝技術來實現基于物理網絡上的二層邏輯隔離。而傳統(tǒng)的網絡隔離技術通常是基于三層的vLan技術。vLan技術一般只能實現2的12次方，即上限為4096個的隔離空間，這無法適應于公有云動輒上百萬用戶的隔離訴求。而VxLan的隧道封裝技術可以實現高達2的24次方的隔離，這一點可充分滿足公有云擁有海量用戶體量的特點。

很多企業(yè)用戶可能會覺得，滿足海量用戶體量的彼此隔離是云廠商如阿里或華為需要考慮的，他們更多的要保障自身業(yè)務的安全性。那么VPC在這方便會有什么建樹呢？我們且從VPC的如下特點來品讀云安全的實現原理，VPC的具體特點如下：

  1、VPC是用戶在云上申請的彼此隔離的和私密的虛擬網絡空間；

  2、默認不同VPC之間是彼此隔離的，VPC內是網絡互通的；

  3、如果需要實現VPC之間的連接也是有可能的。比如，通過設置VPC對等連接、VPN連接、應用云廠商所提供的高速通道、云聯網或云鏈接服務等來實現；

  4、用戶可以基于自己的業(yè)務需要，把需要彼此隔離的業(yè)務應用或環(huán)境分別設置在不同的VPC內。比如生產環(huán)境、預生產環(huán)境、開發(fā)環(huán)境和測試環(huán)境各設一個VPC；

  5、用戶可以自由配置VPC內的IP地址段、子網、安全組等子服務，也可以申請彈性帶寬和彈性公網IP搭建可以被公網訪問的業(yè)務系統(tǒng)；

  6、需要彼此互相訪問的云產品（如云服務器和云數據庫）可以放入一個安全組，不同安全組內的云產品實例彼此內網隔離；

  7、安全組是一種有狀態(tài)的虛擬防火墻，用于控制安全組內云產品如云服務器（虛擬機）實例的入流量和出流量，從而提高云產品的安全性；

  8、一個云產品至少需要加入一個安全組，也可以同時隸屬于多個安全組?；跇I(yè)務的需要針對安全組開發(fā)入流量和出流量的網絡訪問端口。當然，安全組的入流量和出流量的網絡訪問端口默認是關閉的，需要針對每個端口是否開通進行單獨設置，比如SSH 22端口，HTTP 80端口，HTTPs 443端口和Windows遠程登陸 3389端口；

  9、安全組具備有狀態(tài)的數據包檢測和數據包過濾能力。所謂有狀態(tài)，即會記錄入流量包的情況，凡是經過入流量進入的包不用在出流量單獨放行，即默認可以允許流出。我們換一種說法，安全組會默認放行同一會話中的通信。例如，在會話連接期內，如果連接的數據包在入方向是允許的，則在出方向也是允許的。

  10、彈性帶寬和彈性公網IP通常設置為VPC內的云產品，比如云服務器（虛擬機）或云負載均衡器。被設置彈性公網IP的云產品可以具備訪問公網和被公網訪問的能力；

 11、VPC的設置相對于傳統(tǒng)物理網絡的設置更簡單，但是也基本具備傳統(tǒng)網絡的屬性，比如虛擬路由器（vRouter）和虛擬交換機（vSwitch）。虛擬路由器連接VPC網絡內的各個虛擬交換機，通過虛擬交換機為VPC網絡劃分一個或多個子網。同一VPC網絡內的不同虛擬交換機之間內網互通。您可以將業(yè)務應用所在的云服務器部署在不同的虛擬交換機內。

 12、VPC使用網絡虛擬化技術，通過鏈路冗余，分布式網關集群，多可用區(qū)（AZ）部署等多種技術，保障網絡的安全、穩(wěn)定和高可用。

  以下是一個典型的云上VPC的網絡拓撲圖，

總之，通過以上關于VPC及相關云產品的描述，我們可以切身感知云在安全管理上是狠下了一番功夫的。通常只要云用戶合理的利用VPC、安全組和子網訪問策略（ACL）進行完備的云上安全規(guī)劃，就能達到比線下傳統(tǒng)IDC更加專業(yè)的安全性體驗。比如由于云上的二層網絡隔離，每個在云上的用戶都可以使用如下網段的IP地址，即允許不同的云用戶在其業(yè)務上使用相同的IP地址或子網網段，他們的IP地址不沖突，業(yè)務也不受干擾，彼此網絡隔離。

子網網段：192.168.0.0/16，可用私網IP數量達65,532個；

子網網段：172.16.0.0/12，可用私網IP數量達1,048,572個；

子網網段：10.0.0.0/8，可用私網IP數量達16,777,212個。