Alibaba Cloud berkomitmen untuk menyediakan layanan komputasi awan yang stabil, andal, aman, dan sesuai dengan peraturan guna memastikan kerahasiaan, integritas, dan ketersediaan sistem serta data Anda. Topik ini menjelaskan sistem keamanan dari virtual private cloud (VPC) dan cara mekanisme kontrol keamanan bekerja.
Sistem Keamanan
Cara Kerja VPC
VPC adalah jaringan pribadi di awan yang secara logis terisolasi satu sama lain menggunakan teknologi tunneling. Setiap VPC diidentifikasi oleh ID tunnel unik yang sesuai dengan jaringan virtual.
Paket data dienkapsulasi dengan ID tunnel unik dan ditransmisikan melalui jaringan fisik antara instance Elastic Compute Service (ECS) dalam VPC.
Paket data yang ditransmisikan melalui instance ECS di VPC yang berbeda memiliki ID tunnel yang berbeda, sehingga instance ECS di VPC yang berbeda tidak dapat berkomunikasi satu sama lain.
Fitur Perlindungan Keamanan
VPC mendukung fitur-fitur berikut untuk memastikan keamanan dan keandalan layanan awan:
Fitur | Deskripsi |
ECS security group | Security groups bertindak sebagai firewall virtual dan menyediakan kemampuan Stateful Packet Inspection (SPI) dan penyaringan paket. Anda dapat menggunakan security groups untuk menentukan domain keamanan di awan. Anda dapat mengonfigurasi aturan security group untuk mengontrol lalu lintas arah masuk dan arah keluar dari satu atau lebih instance ECS dalam grup. Untuk informasi lebih lanjut, lihat Ikhtisar Security Groups. |
Daftar Kontrol Akses Jaringan (ACL) | Anda dapat menggunakan daftar ACL jaringan untuk mengatur kontrol akses untuk VPC. Anda dapat membuat aturan ACL jaringan dan mengaitkan ACL jaringan dengan vSwitch. Ini memungkinkan Anda mengontrol lalu lintas arah masuk dan arah keluar instance ECS di vSwitch. Untuk informasi lebih lanjut, lihat Ikhtisar Daftar ACL Jaringan. |
Log aliran | VPC menyediakan fitur log aliran. Fitur ini mencatat informasi tentang lalu lintas arah masuk dan arah keluar dari antarmuka jaringan elastis (ENI). Anda dapat memeriksa aturan kontrol akses, memantau lalu lintas jaringan, dan menyelesaikan kesalahan jaringan berdasarkan log aliran. Untuk informasi lebih lanjut, lihat Ikhtisar Log Aliran. |
Mirroring Trafik | Fitur mirroring trafik dapat mencerminkan paket yang melewati ENI dan memenuhi kondisi filter tertentu. Fitur mirroring trafik mencerminkan lalu lintas jaringan dari instance Elastic Compute Service (ECS) dalam VPC dan meneruskan lalu lintas ke ENI tertentu atau instance Classic Load Balancer (CLB) akses internal. Anda dapat menggunakan fitur ini dalam skenario seperti inspeksi konten, pemantauan ancaman, dan pemecahan masalah. Untuk informasi lebih lanjut, lihat Ikhtisar Mirroring Trafik. |
Gunakan Kebijakan Resource Access Management (RAM)
Anda dapat menggunakan kebijakan RAM untuk mengatur kontrol akses pada VPC.
Kebijakan RAM memungkinkan Anda menentukan izin untuk pengguna RAM, grup pengguna, atau peran RAM. Anda juga dapat menentukan ruang lingkup sumber daya yang dapat diakses atau dikelola oleh pengguna RAM dan peran RAM.
Konfigurasi Kebijakan
Anda dapat menggunakan kebijakan RAM umum berikut untuk mengatur kontrol akses pada VPC. Untuk informasi lebih lanjut, lihat Otorisasi RAM (VPC) dan Otorisasi RAM (Koneksi Peering VPC).
Kebijakan Izin | Deskripsi |
AliyunVPCFullAccess | Memberikan pengguna RAM izin untuk mengelola VPC. |
AliyunVPCReadOnlyAccess | Memberikan pengguna RAM izin baca-saja pada VPC. |
Anda dapat melampirkan kebijakan RAM sistem ke pengguna RAM. Jika kebijakan RAM sistem tidak memenuhi persyaratan Anda, Anda dapat membuat kebijakan RAM kustom. Untuk informasi lebih lanjut tentang cara membuat kebijakan RAM kustom, lihat Gunakan Peran RAM untuk Mengelola Izin VPC.