很多企業(yè)在是否上云的決策過程中，首當其沖考慮的就是業(yè)務上云的安全問題。因為很多人或多或少都有一種思維的慣性，即只有看見的東西才會選擇相信，看不到的都是虛無的。當每每談到是否上云時，客戶會感受到他/她的業(yè)務或數(shù)據(jù)如果上云后，是否會如天上的浮云那樣飄來飄去，導致敏感數(shù)據(jù)泄露的隱患和諸多不確定性的因素產(chǎn)生等諸多顧慮。

當然，最大的顧慮是來自那些有特殊安全性要求的行業(yè)或企業(yè)，他們出于行業(yè)合規(guī)性的要求或現(xiàn)有IT基礎設施投入保護想法，在是否上云的決策面前往往表現(xiàn)為裹足不前。那么，云真有如我們想象的那樣不安全嗎？

我們且從最關鍵的云網(wǎng)絡產(chǎn)品虛擬私有云（Virtual Private Cloud-VPC）來討論一下云的安全性。目前主流云廠商針對云上的網(wǎng)絡安全隔離的解決方案趨于一致。一般都是通過VxLan等隧道封裝技術(shù)來實現(xiàn)基于物理網(wǎng)絡上的二層邏輯隔離。而傳統(tǒng)的網(wǎng)絡隔離技術(shù)通常是基于三層的vLan技術(shù)。vLan技術(shù)一般只能實現(xiàn)2的12次方，即上限為4096個的隔離空間，這無法適應于公有云動輒上百萬用戶的隔離訴求。而VxLan的隧道封裝技術(shù)可以實現(xiàn)高達2的24次方的隔離，這一點可充分滿足公有云擁有海量用戶體量的特點。

很多企業(yè)用戶可能會覺得，滿足海量用戶體量的彼此隔離是云廠商如阿里或華為需要考慮的，他們更多的要保障自身業(yè)務的安全性。那么VPC在這方便會有什么建樹呢？我們且從VPC的如下特點來品讀云安全的實現(xiàn)原理，VPC的具體特點如下：

  1、VPC是用戶在云上申請的彼此隔離的和私密的虛擬網(wǎng)絡空間；

  2、默認不同VPC之間是彼此隔離的，VPC內(nèi)是網(wǎng)絡互通的；

  3、如果需要實現(xiàn)VPC之間的連接也是有可能的。比如，通過設置VPC對等連接、VPN連接、應用云廠商所提供的高速通道、云聯(lián)網(wǎng)或云鏈接服務等來實現(xiàn)；

  4、用戶可以基于自己的業(yè)務需要，把需要彼此隔離的業(yè)務應用或環(huán)境分別設置在不同的VPC內(nèi)。比如生產(chǎn)環(huán)境、預生產(chǎn)環(huán)境、開發(fā)環(huán)境和測試環(huán)境各設一個VPC；

  5、用戶可以自由配置VPC內(nèi)的IP地址段、子網(wǎng)、安全組等子服務，也可以申請彈性帶寬和彈性公網(wǎng)IP搭建可以被公網(wǎng)訪問的業(yè)務系統(tǒng)；

  6、需要彼此互相訪問的云產(chǎn)品（如云服務器和云數(shù)據(jù)庫）可以放入一個安全組，不同安全組內(nèi)的云產(chǎn)品實例彼此內(nèi)網(wǎng)隔離；

  7、安全組是一種有狀態(tài)的虛擬防火墻，用于控制安全組內(nèi)云產(chǎn)品如云服務器（虛擬機）實例的入流量和出流量，從而提高云產(chǎn)品的安全性；

  8、一個云產(chǎn)品至少需要加入一個安全組，也可以同時隸屬于多個安全組。基于業(yè)務的需要針對安全組開發(fā)入流量和出流量的網(wǎng)絡訪問端口。當然，安全組的入流量和出流量的網(wǎng)絡訪問端口默認是關閉的，需要針對每個端口是否開通進行單獨設置，比如SSH 22端口，HTTP 80端口，HTTPs 443端口和Windows遠程登陸 3389端口；

  9、安全組具備有狀態(tài)的數(shù)據(jù)包檢測和數(shù)據(jù)包過濾能力。所謂有狀態(tài)，即會記錄入流量包的情況，凡是經(jīng)過入流量進入的包不用在出流量單獨放行，即默認可以允許流出。我們換一種說法，安全組會默認放行同一會話中的通信。例如，在會話連接期內(nèi)，如果連接的數(shù)據(jù)包在入方向是允許的，則在出方向也是允許的。

  10、彈性帶寬和彈性公網(wǎng)IP通常設置為VPC內(nèi)的云產(chǎn)品，比如云服務器（虛擬機）或云負載均衡器。被設置彈性公網(wǎng)IP的云產(chǎn)品可以具備訪問公網(wǎng)和被公網(wǎng)訪問的能力；

 11、VPC的設置相對于傳統(tǒng)物理網(wǎng)絡的設置更簡單，但是也基本具備傳統(tǒng)網(wǎng)絡的屬性，比如虛擬路由器（vRouter）和虛擬交換機（vSwitch）。虛擬路由器連接VPC網(wǎng)絡內(nèi)的各個虛擬交換機，通過虛擬交換機為VPC網(wǎng)絡劃分一個或多個子網(wǎng)。同一VPC網(wǎng)絡內(nèi)的不同虛擬交換機之間內(nèi)網(wǎng)互通。您可以將業(yè)務應用所在的云服務器部署在不同的虛擬交換機內(nèi)。

 12、VPC使用網(wǎng)絡虛擬化技術(shù)，通過鏈路冗余，分布式網(wǎng)關集群，多可用區(qū)（AZ）部署等多種技術(shù)，保障網(wǎng)絡的安全、穩(wěn)定和高可用。

  以下是一個典型的云上VPC的網(wǎng)絡拓撲圖，

總之，通過以上關于VPC及相關云產(chǎn)品的描述，我們可以切身感知云在安全管理上是狠下了一番功夫的。通常只要云用戶合理的利用VPC、安全組和子網(wǎng)訪問策略（ACL）進行完備的云上安全規(guī)劃，就能達到比線下傳統(tǒng)IDC更加專業(yè)的安全性體驗。比如由于云上的二層網(wǎng)絡隔離，每個在云上的用戶都可以使用如下網(wǎng)段的IP地址，即允許不同的云用戶在其業(yè)務上使用相同的IP地址或子網(wǎng)網(wǎng)段，他們的IP地址不沖突，業(yè)務也不受干擾，彼此網(wǎng)絡隔離。

子網(wǎng)網(wǎng)段：192.168.0.0/16，可用私網(wǎng)IP數(shù)量達65,532個；

子網(wǎng)網(wǎng)段：172.16.0.0/12，可用私網(wǎng)IP數(shù)量達1,048,572個；

子網(wǎng)網(wǎng)段：10.0.0.0/8，可用私網(wǎng)IP數(shù)量達16,777,212個。