對於雲混合雲、企業用雲情境,推薦通過CEN(包括物理專線、SAG、VPN接入方式)串連企業內網與VPC,經內網訪問和使用雲端服務或雲上自建(非互連網)服務。對於個人裝置,推薦使用SSL-VPN接入VPC,經VPN訪問和使用雲端服務或雲上自建服務。
安全風險
阿里雲的服務都提供了公網訪問方式,保證從網路任何位置都可以訪問和使用雲,自建服務也非常容易開放公網訪問。然而公網訪問雖然方便,但也意味著可能遭受來自公網的攻擊,如DDoS、遠程漏洞利用、使用泄露憑據非法訪問等。為滿足企業對資料安全、網路統一管理和成本控制的核心需求,許多情境要求通過私網而非公網訪問雲端服務:
混合雲協同: 將本機資料中心與雲上資源(如OSS、ECS)通過專線或VPN串連,形成統一的私網環境,便於資料備份、業務容災和統一地址規劃。
企業內部訪問: 員工在公司內網即可訪問部署在雲上的ERP、OA等內部系統,以及使用OSS等雲端服務,確保核心業務和資料不暴露於公網。
遠程安全辦公: 隨處工作的員工需先通過VPN接入企業內網,再訪問雲上資源,統一安全性原則,避免直接通過公網帳號密碼登入帶來的風險。
雲上服務互訪: VPC內的ECS執行個體調用雲端服務API(如實現自動擴縮容)時,通過內網訪問可提升安全性、降低延遲並節省公網流量成本。
阿里雲提供全面的私網串連方案,支援企業和個人終端安全、高效地接入雲端,讓幾乎所有雲端服務都能在私人化網路環境中使用。
最佳實務
ECS執行個體使用VPC Endpoint訪問雲端服務
阿里雲的服務幾乎都提供了公網Endpoint和VPC Endpoint,在VPC中的ECS執行個體應使用VPC Endpoint訪問雲端服務,詳細資料,請參見如何通過內網調用API。
樣本: 在杭州Region的ECS上使用Aliyun CLI訪問ECS服務,應指定VPC Endpoint。
# --endpoint 參數指定了杭州Region的VPC Endpoint
aliyun ecs DescribeZones --RegionId cn-hangzhou --endpoint ecs-vpc.cn-hangzhou.aliyuncs.com注意: 雲端服務在每個Region都有獨立的VPC Endpoint,且不支援跨Region私網訪問。如需跨Region私網通訊,需要跨地區打通VPC並配置好路由。
說明:如果接卸VPC Endpoint網域名稱會發現返回的可能是一個公網地址,這隻是阿里雲使用的VIP,並不會繞經公網,也不能從公網通過這些VIP訪問到服務。
使用CEN打通企業網與雲VPC
混合雲或企業私網用雲情境需要打通企業內網和公用雲端VPC,CEN是最佳方式。CEN支援物理專線、SAG(只能接入網關)、VPN(虛擬私人網路)多種接入方式,分別提供了不同的安全、可靠性、頻寬水平。
如下圖,企業本地IDC就近接入阿里雲·杭州Region,VPC與本地IDC私網地之間實現互訪,參見雲上雲下網路互連。只要配置好路由,企業內網也可以訪問雲端服務的VPC Endpoint,從而避免經公網使用雲端服務。
個人裝置使用VPN接入雲VPC
個人裝置可以使用SSL-VPN接入雲VPC,再通過私網地址或VPC Endpoint訪問自建服務或雲端服務(如下圖)。詳細資料,請參見用戶端通過SSL-VPN遠程加密訪問VPC。
目前阿里雲的控制台暫不支援VPC Endpoint,只能從公網訪問。