VPC(Virtual Private Cloud,虛擬私人雲端)是雲端運算環境中提供的邏輯隔離網路服務,允許使用者在公用雲端中構建一個完全隔離的私人網路空間,適用於嚴格隔離網路域的情況,如根據業務、地區等劃分不同的安全域,劃分紅/黃/綠區,劃分辦公/測試/生產網路,劃分服務/營運不同網路平面等情境。
安全風險
不同的網路域通常有不同的安全等級和網路存取控制要求,網路間不隔離可能導致安全風險擴散、攻擊橫向移動、非法訪問等多種風險。
如辦公網需要准許訪問公網且中病毒機率較高,而生產網需要受控提供面向公網的服務,生產網的機器必須通過發布或營運系統進行合法的變更、訪問。如果不進行網路隔離,那麼很難管控與Internet間的網路存取控制策略,辦公電腦中病毒也很容易向生產網路機器橫向擴散,也容易發生辦公電腦繞過合法系統直接存取生產網機器的情況。
網路域/安全域並不適合用安全性群組隔離,主要原因是VPC間網路是天然隔離的且地址空間獨立,不需要複雜的地址空間規劃,有需要在VPC間有限的放通服務,可以使用privateLink等提供訪問能力。而同一個VPC內劃分不同的網路域,需要仔細規劃地址空間,不同地址空間預設是網路全互連的,需要仔細根據地址組劃分來配置安全性群組定義阻止或放通的規則,容易因配置失誤導致意外的網路許可權放通,易發生安全風險。
最佳實務
VPC隔離,通過PrivateLink提供跨VPC服務訪問
當需要VPC間受控通訊時,可以使用PrivateLink或VPC邊界防火牆實現。PrivateLink是通過服務VIP(virtual IP,虛擬IP地址)方式實現跨VPC服務訪問。如下圖所示情境,使用VPC隔離網路,並用PrivateLink實現VPC1到VPC2某服務的訪問。請參見通過PrivateLink跨VPC私網訪問CLB。
使用PrivateLink終端節點策略可以控制哪些阿里雲主體(RAM使用者/角色)可通過終端節點訪問阿里雲服務。請參見終端節點策略。
將PrivateLink節點綁定安全性群組後,可以通過安全性群組限制僅允許特定IP或安全性群組訪問終端節點的私人IP。請參見加入和管理安全性群組。
該方式適用於不信任的通訊關係,如圖VPC1和VPC2可以分屬兩個不同的公司。
VPC隔離,通過CEN互聯,使用VPC邊界防火牆進行網路存取控制
CEN是通過路由轉寄方式實現多VPC、跨地區/跨帳號的Hub-spoke方式網路互聯,如下圖。具體配置步驟,請參見情境化組網實現多VPC互聯。
CEN允許配置路由策略,適用於對VPC間網路做大顆粒存取控制。如上圖,可以配置允許VPC1與VPC3通訊,VPC1與VPC2通訊,不允許VPC2與VPC3通訊。
對於業務層面的網路存取控制,建議配置基礎版轉寄路由器的VPC邊界防火牆。以CEN基礎版轉寄路由器為例(如下圖),VPC邊界防火牆會自動引流VPC邊界流量,基於DPI流量分析、IPS入侵防禦規則、威脅情報、虛擬補丁、存取控制策略等,對VPC互訪的流量進行過濾,判斷流量是否滿足允許存取條件,有效攔截非法的訪問流量,保障私網資產之間的流量安全。