概述
背景介紹
隨著企業業務規模擴大與網路升級,現代大型企業20%的流量涉及內外網之間的資料交換,而高達80%流轉於內網之間資料交換。一旦攻擊者繞過了Internet邊界防禦,便能在內網肆虐。因此,有效管控內網的東西向流量成為關鍵挑戰。
以往,傳統資料中心的主流做法是部署大量的安全裝置群組建一個安全域來實現企業系統的安全防護和存取控制,網路流量需要按照商務邏輯和安全防護等級穿過安全域內的不同裝置,這就是所謂的服務鏈結(Service Chain)。現今,這一策略需延伸至雲端環境,確保公用雲上部署的執行個體、容器或微服務之間的互訪流量延續相同的安全性原則。例如,同地區內的不同VPC、VPC與本機資料中心之間,流量均需通過安全產品實現基於規則的檢測和防護,強化內網安全,抵禦潛在威脅。
基本概念
Virtual Private Cloud:VPC是使用者基於阿里雲建立的自訂私人網路, 不同的專用網路之間邏輯隔離,使用者可以在自己建立的專用網路內建立和管理雲產品執行個體,比如ECS、SLB、RDS等。
雲企業網CEN:雲企業網可協助您在不同地區VPC之間、VPC與本機資料中心間搭建私網通訊通道,實現同地區或跨地區網路互連;同時,雲企業網支援在地區內定義靈活的互連、隔離、引流策略,協助您打造一張靈活、可靠、大規模的企業級全球互連網絡。
轉寄路由器TR:轉寄路由器TR提供串連網路執行個體、添加自訂路由表、添加路由條目、添加路由策略等豐富的網路互連和路由管理功能。
Cloud Firewall:Cloud Firewall是一款雲平台SaaS化的防火牆,可針對您雲上網路資產的互連網邊界、VPC邊界及主機邊界實現三位一體的統一安全隔離管控,是業務上雲的第一道網路防線。
設計原則
彈效能力:當發生內網東西向流量突增時(比如資料同步或者遷移情境),設計架構可以在客戶無需操作的情況下進行彈性擴容,盡量做到業務無損。
可持續架構:隨著客戶雲上業務規模的發展,需要在整體架構不變的情況下的支援更多的VPC、路由條目以及安全規則。
使用託管服務:更多地採用雲原生的產品,有助於更充分地利用資源,從而減少因自建組件導致的雲資源浪費和營運負擔。
設計關鍵點
穩定性
為了提高整體架構的穩定性,在開通TR時需要至少選擇兩個可用性區域進行部署,實現跨可用性區域容災。後端應用伺服器部署在不同可用性區域的不同交換器內,以提升整體架構的跨可用性區域容災的高可靠性。
使用Express Connect經過物理專線串連阿里雲POP點和本地IDC時,推薦採用雙專線接入雙阿里雲POP點,雙專線盡量採取不同物理路由/專線供應商,以保證業務穩定性。
Express Connect專線互聯建議採用BGP協議並開啟BFD功能,保證單根專線出現故障時可完成線路倒換和路由快速收斂。
安全
部署單獨的安全VPC作為Cloud Firewall的引流VPC,該VPC作為獨立的安全性群組件存在,注意不要部署其他業務資源。
在TR上通過可信流量/不可信流量兩張路由表將整體網路切成兩個不同的平面,通過Cloud Firewall實現整體的東西向流量存取原則的集中化控制。
效能
綜合考慮業務時延、安全容災等多方面因素,對雲資源和產品部署的可用性區域進行選擇。盡量實現ECS、RDS、TR、Cloud Firewall產品部署在相同的主備可用性區域,降低跨可用性區域繞行帶來的網路延時增加。專線存取點也應盡量靠近雲資源所在的可用性區域。
彈性
VPC、TR、Cloud Firewall均提供在一定容量範圍內的自動彈效能力,如果有大頻寬的需求(例如單TR執行個體轉寄能力超過100G),請提前聯絡阿里雲技術支援人員。
Express Connect物理連接埠不支援彈性擴容,需要根據業務頻寬規模進行提前規劃。
可觀測
網路智慧型服務NIS支援對網路流量進行健康分析、效能監控、診斷修複、流量分析和測量模擬的雲端服務,通過整合機器學習、知識圖譜等AIOps方法減少網路使用複雜性,提供自助營運能力,方便網路架構師和營運工程師更快捷地設計和使用網路。
TR和VPC均支援通過流日誌將業務流量進行記錄輸出並實現流量的詳細分析。Cloud Firewall自動記錄所有流量,並通過可視化日誌審計頁面提供便捷的攻擊事件、流量細節和動作記錄查詢功能,使得攻擊溯源和流量審查變得簡單快捷。
設計最佳實務
企業客戶可以結合使用TR和Cloud Firewall,實現雲上內網東西向流量的安全監控、存取控制、即時入侵防禦,提升內網安全。通過配置TR與VPC邊界防火牆之間的互訪路由,實現VPC邊界防火牆對雲企業網TR串連的VPC之間的所有流量進行防護。
基於TR提供的多張路由表能力,支援建立可信流量(防火牆處理後)和不可信流量(防火牆處理前)等不同路由表隔離網路流量。
設定業務VPC1和業務VPC2,綁定TR的不可信路由表,內網流量到達TR後會通過該路由表發送到安全VPC。
設定安全VPC,部署Cloud Firewall進行內網流量異常檢測和安全防護,綁定TR的可信路由表。
當業務VPC1需要訪問業務VPC2或者通過VBR訪問本地IDC時,流量會先經過TR的不可信路由錶轉發到安全VPC,由Cloud Firewall處理後將流量送回到TR,通過TR的可信路由錶轉發到正確的目的地。
應用情境介紹
企業等保合規情境:滿足國家法律法規及行業監管要求,避免將重要網路地區部署在邊界處,重要網路地區與其他網路地區之間應採取可靠的技術隔離手段。部署TR和Cloud Firewall架構實現東西向訪問的網路流量分析、全網流量可視化、對主動外聯行為的分析和阻斷、開通或變更白名單策略。
混合雲安全防護情境:通過在雲上構建安全網路架構,檢測通過專線流入/流出雲的流量,形成體系化的混合雲邊界防護架構,通過流量的入雲/出雲檢測,降低雲上VPC和本地IDC的內網安全風險。
雲上業務間安全情境:統一管理雲上不同業務之間的東西向微隔離策略,達到協議、連接埠、地區、應用級存取控制粒度,防止雲上資源發生安全事件後在內網橫向蔓延,減小因安全事件所帶來的業務影響面。
Terraform參考
雲上東西向流量安全設計
專案 | 說明 |
Terraform Module官網地址 | |
Github 地址 | |
樣本地址 |
代碼流程:
建立2個業務VPC和1個安全VPC及其交換器。
建立CEN和TR,通過TR-attachment把VPC加入CEN中。
配置TR多路由表實現向安全VPC的引流和流量防護後的回注。
需要建立的執行個體如下:
3個VPC
7個交換器
1個CEN
1個TR