Virtual Private Cloud (VPC) adalah jaringan yang secara logis terisolasi dalam lingkungan komputasi awan. VPC memungkinkan Anda membuat jaringan pribadi yang sepenuhnya terisolasi di cloud publik. Hal ini berguna untuk skenario yang memerlukan isolasi ketat antar domain jaringan. Sebagai contoh, Anda dapat membagi jaringan menjadi domain keamanan berbeda berdasarkan persyaratan bisnis atau wilayah. Anda juga dapat membuat zona merah, kuning, dan hijau, memisahkan jaringan kantor, pengujian, dan produksi, atau membuat bidang jaringan yang berbeda untuk layanan serta operasi dan pemeliharaan (O&M).
Risiko keamanan
Domain jaringan yang berbeda sering kali memiliki tingkat keamanan dan persyaratan kontrol akses jaringan yang berbeda. Jika jaringan tidak diisolasi dengan benar, risiko keamanan dapat menyebar, menyebabkan pergerakan lateral serangan dan akses tidak sah.
Sebagai contoh, jaringan kantor perlu mengakses Internet dan lebih rentan terhadap virus. Namun, jaringan produksi harus memberikan layanan ke Internet secara terkendali. Mesin pada jaringan produksi hanya boleh dimodifikasi atau diakses melalui sistem penerbitan atau O&M yang berwenang. Tanpa isolasi jaringan, sulit untuk mengelola kebijakan kontrol akses jaringan untuk lalu lintas internet. Virus pada komputer kantor dapat dengan mudah menyebar secara lateral ke mesin pada jaringan produksi. Komputer kantor mungkin juga melewati sistem yang berwenang untuk langsung mengakses mesin pada jaringan produksi.
Grup keamanan tidak cocok untuk mengisolasi domain jaringan atau domain keamanan karena VPC secara alami terisolasi satu sama lain dan memiliki ruang alamat yang independen. Ini menghilangkan kebutuhan untuk perencanaan ruang alamat yang kompleks. Untuk mengizinkan akses layanan terbatas antar-VPC, Anda dapat menggunakan layanan seperti PrivateLink. Sebaliknya, membagi satu VPC menjadi domain jaringan yang berbeda memerlukan perencanaan ruang alamat yang hati-hati. Secara default, sumber daya dalam ruang alamat yang berbeda di dalam VPC yang sama dapat berkomunikasi sepenuhnya satu sama lain. Anda harus dengan hati-hati mengonfigurasi aturan grup keamanan untuk memblokir atau mengizinkan lalu lintas berdasarkan kelompok alamat. Kesalahan konfigurasi dapat dengan mudah menyebabkan izin jaringan yang tidak disengaja dan risiko keamanan.
Praktik terbaik
Isolasi VPC dan gunakan PrivateLink untuk akses layanan lintas-VPC
Ketika Anda perlu mengontrol komunikasi antar-VPC, Anda dapat menggunakan PrivateLink atau Firewall VPC. PrivateLink memungkinkan akses layanan lintas-VPC melalui alamat IP virtual (VIP) layanan. Gambar berikut menunjukkan skenario di mana VPC digunakan untuk isolasi jaringan. Dalam skenario ini, PrivateLink digunakan untuk memungkinkan layanan di VPC1 mengakses layanan di VPC2. Untuk informasi lebih lanjut, lihat Akses instans CLB di VPC lain menggunakan PrivateLink.
Anda dapat menggunakan kebijakan endpoint PrivateLink untuk mengontrol entitas Alibaba Cloud mana, seperti Pengguna Manajemen Akses Sumber Daya (RAM) atau peran, yang dapat mengakses layanan Alibaba Cloud melalui sebuah endpoint. Untuk informasi lebih lanjut, lihat Kebijakan Endpoint.
Setelah Anda menyambungkan grup keamanan ke endpoint PrivateLink, Anda dapat menggunakan grup keamanan tersebut untuk hanya mengizinkan alamat IP tertentu atau grup keamanan mengakses alamat IP pribadi dari endpoint. Untuk informasi lebih lanjut, lihat Tambah dan Kelola Grup Keamanan.
Metode ini cocok untuk skenario yang melibatkan pihak-pihak yang tidak tepercaya. Sebagai contoh, VPC1 dan VPC2 pada gambar sebelumnya dapat dimiliki oleh dua perusahaan yang berbeda.
Isolasi VPC, sambungkan dengan CEN, dan gunakan firewall VPC untuk kontrol akses jaringan
Cloud Enterprise Network (CEN) menghubungkan beberapa VPC lintas wilayah dan akun dalam topologi hub-spoke menggunakan pengalihan rute, seperti yang ditunjukkan pada gambar berikut. Untuk langkah-langkah konfigurasi, lihat Jaringan Berbasis Skenario untuk Koneksi VPC.
CEN memungkinkan Anda mengonfigurasi kebijakan perutean. Ini cocok untuk kontrol akses granular kasar antar-VPC. Pada gambar sebelumnya, Anda dapat mengonfigurasi aturan untuk mengizinkan komunikasi antara VPC1 dan VPC3, serta antara VPC1 dan VPC2, tetapi tidak antara VPC2 dan VPC3.
Untuk kontrol akses jaringan di lapisan bisnis, Anda dapat mengonfigurasi Firewall VPC untuk router transit Edisi Dasar. Sebagai contoh, pertimbangkan router transit CEN Edisi Dasar, seperti yang ditunjukkan pada gambar berikut. Firewall VPC secara otomatis mengalihkan lalu lintas di perbatasan VPC. Ini menggunakan analisis lalu lintas Deep Packet Inspection (DPI), aturan sistem pencegahan intrusi (IPS), intelijen ancaman, pembenahan virtual, dan kebijakan kontrol akses. Ini menyaring lalu lintas antar-VPC untuk menentukan apakah lalu lintas tersebut diizinkan. Ini secara efektif memblokir lalu lintas akses tidak sah dan mengamankan lalu lintas antara aset jaringan pribadi.