阿裡雲安全月專題頁連結:
https://developer.aliyun.com/topic/securityapril雲網一體的全球安全網絡
阿裡雲雲網一體的安全網絡由租戶級安全、雲服務級安全、基礎設施安全三層結構組成。
租戶級安全通過産品安全性設計,提升租戶業務安全控制能力。客戶可以通過執行個體安全組、子網通路控制清單、安全網關、VIP黑白名單等特性做多元度安全政策管理,確定業務安全運作。在服務建構層面,通過對租戶網絡通信進行了安全隔離,精細化資源管理有效控制多租戶網絡性能體驗和故障影響。對于安全攻擊威脅,阿裡雲通過安全關聯和大資料技術,建構了強勁的内外網流量和協定攻擊防護能力。在基礎設施安全層面,針對上雲網絡、雲間網絡、雲上網絡建立了完整的認證和傳輸加密體系,支援國際通用算法和國密算法,提供了金融、政務高密級業務E2E安全解決方案。
從網絡拓撲上看,雲網一體安全網絡覆寫了阿裡雲全球網絡:可用區AZ内通過網絡和資源的有效隔離提供安全可靠内網,城域和域間骨幹網通過認證和傳輸加密能力,保證使用者流量私密和完整性。通過智能接入網關和雲連接配接網之間的安全通道,門店和IDC使用者可以建構優質混合雲安全網絡。而下文介紹的雲企業網和全球加速網絡則合力為使用者提供了公網跨地區安全加速解決方案。
全球連接配接,立體防護
網絡安全的最大挑戰之一來自于不同地域的網絡之間的通路,連接配接不同地域的阿裡雲網絡産品,雲企業網(Cloud Enterprise Network)是承載在阿裡雲提供的高性能、低延遲的私有全球網絡上的一張安全網絡。雲企業網可在不同地域VPC間,VPC與本地資料中心間搭建私網通信通道,通過自動路由分發及學習,提高網絡的快速收斂和跨網絡通信的品質和安全性,實作全網資源的互通,打造一張具有企業級規模和通信能力的網際網路絡。作為企業連通的基礎元件,CEN在安全方面的建設尤為突出,通過經典的通路控制政策配合雲防火牆、Privatezone等雲服務,CEN為企業提供立體的安全防護。
私網隔離
作為雲上網絡,CEN首先打造的是私網互通。通過CEN組建而來的雲企業網是一張無需暴露公網入口的全私有網絡,大大減少了來自公網的攻擊面,極大降低了安全風險。此外,使用者可以定義嚴格的通路控制政策,自定義放行和阻斷規則,并将通路控制政策應用到執行個體上,實作可信通信。通過路由政策,不僅可以過濾路由資訊,還可以修改路由屬性,進而定義雲上網絡互通能力,編排出豐富的路由控制能力。
加密傳輸
CEN的接傳入連結路支援加密傳輸,以最大程度降低中間鍊路的風險。上雲網絡使用安全連接配接網關SAG和阿裡雲接入點之間建立私有加密信道。通過嚴密的防重播攻擊和定期更新密鑰,確定使用者流量在公網傳輸路徑上不被篡改和監聽。在需要公網互通以及跨VPC的場景下,通過雲防火牆可以進行通路控制,進行流量分析和事後審計。
防DNS劫持和域名污染
Privatezone私網域名解析:PrivateZone是基于阿裡雲專有網絡VPC環境的私有DNS域名解析和管理服務。通過CEN通路PrivateZone服務,可以避免業務DNS出現在公網上,防止DNS劫持和域名污染。
極緻加速,極緻安全
全球任意地域的客戶可以通過網際網路通路同個服務,但不同客戶的通路品質和體驗差異卻非常大,因為網際網路中的通路鍊路是不可控的:通路要經多跳節點才能到達服務端,經過的節點不可控,甚至來回路徑都可能不一緻。經過每個節點都可能會影響性能(時延、抖動),還可能會因為擁塞、丢包而影響業務品質。
為了解決上述問題,阿裡雲洛神網絡推出全球加速,依托阿裡巴巴優質BGP帶寬和全球傳輸網絡,實作全球網絡就近接入和跨地域部署,減少延遲、抖動、丢包等網絡問題對服務品質的影響,為全球使用者提供高可用和高性能的網絡加速服務。
全球加速服務集合了排程和加速能力,提供了高品質、高性能、高可用、安全可靠和易部署的網絡加速服務。安全方面,通過內建DDoS高防和WAF安全防護,為企業應用提供階層化安全防護。
關聯DDOS高防
全球加速自帶2~5G免費DDOS能力,通過關聯DDoS高防,可以實作高達幾百G DDoS防護能力。終端請求進入加速網絡前先進行DDoS流量清洗,保護網際網路應用服務持續可用,為全球移動網際網路服務商提供一套高安全的跨地域加速方案。
關聯WAF防護
對于WEB類應用,全球加速關聯Web應用防火牆:通過關聯Web應用防火牆,基于雲安全大資料能力,為全球Web應用服務商提供一套高安全的跨地域加速方案。
展望未來
未來如何賦能政府、企業使用者智能化網絡能力,将是非常關鍵的發展,也是未來網絡的突破。尤其是上了雲之後,整個網絡建構的服務和運作方式完全發生了變化,也就意味着原來很多網絡服務的工具、系統需要全部重構,但也代表着會帶來更多機會給網絡這個行業。如何透過智能化的網絡服務提升網絡服務效率,也是未來的一個重大趨勢。尤其在目前數字經濟深入發展的背景下,中國正逐漸奠定全球數字經濟中心的地位,無論是中國企業出海或是跨國企業在中國開展業務,網絡作為連通境内外各分支的基礎設施,成為影響生産力的第一要素。最終将做到讓網絡更簡單,是阿裡雲網絡的使命。