【純幹貨】針對《等保2.0》要求的雲上最佳實踐——網絡安全篇

名詞解釋

區域（Region）

阿裡雲上的網絡區域通常是以階層化的方式由外部向内部進行劃分的，概括來說，通常會有三個層級的網絡區域結構：

第一層級（實體區域）：地域與可用區

地域是指實體的資料中心。使用者可以根據目标使用者所在的地理位置選擇地域。而可用區是指在同一地域内，電力和網絡互相獨立的實體區域。在同一地域内可用區與可用區之間内網互通，可用區之間能做到故障隔離。

地域與可用區的配置和運維由阿裡雲負責，對于最終使用者而言，僅需要選擇合适的地域或可用區部署資源，運作雲上業務即可。

第二層級（邏輯網絡區域）：虛拟專有網絡VPC

虛拟專有網絡VPC以虛拟化網絡的方式提供給客戶，是每個客戶獨有的雲上私有網絡區域。雲租戶可以完全掌控自己的專有網絡，例如選擇IP位址範圍、配置路由表和網關等，也可以在自己定義的專有網絡中使用阿裡雲資源，如雲伺服器、雲資料庫RDS版和負載均衡等。

對于客戶而言，虛拟專有網絡VPC是雲上網絡配置的第一步，也是真正意義上的雲上組網的開始。

第三層級（VPC内部區域）：子網與資源邊界

子網類似傳統網絡中的VLAN，是通過虛拟交換機（VSwitch）提供的，用來連接配接不同的雲資源執行個體。而雲資源則是通過虛拟網卡的方式進行網絡互聯，也是目前雲上最小顆粒度的資源邊界。

——三層網絡架構參考圖

邊界

基于阿裡雲上三個層級的網絡區域，自然也就形成了雲上三道網絡邊界，也就是網絡安全中常見的“階層化防禦”的推薦架構：

第一邊界：網際網路邊界（南北向流量）

雲上業務如果對網際網路開放，或是需要主動通路網際網路，那流量必定會穿過阿裡雲與網際網路的邊界，也就是雲上網絡的第一道邊界——網際網路邊界。對于該類流量，我們通常稱之為南北向流量，針對這類流量的防護，在等保中有明确的要求。由于存在流量主動發起方的差別，防護的重點一般也會區分由外向内和由内向外的不同流量類型。

第二邊界：VPC邊界（東西向流量）

VPC是雲上最重要的網絡隔離單元，客戶可以通過劃分不同的VPC，将需要隔離的資源從網絡層面分開。但同時，由于業務的需要，部分流量又可能需要在VPC間傳輸，或是通過諸如專線，VPN，雲連接配接網等方式連接配接VPC，實作VPC間應用的互訪。是以，如何實作跨VPC邊界流量的防護，也是雲上網絡安全很重要的一環。

第三邊界：雲資源邊界（微隔離流量）

由于VPC已經提供了很強的隔離屬性，加上類似安全組的細顆粒度資源級管控能力，通常在VPC内部不建議再進行過于複雜的基于子網的隔離管控，通常會使用安全組在資源邊界進行通路控制。如果客戶需要更精細化的VPC内子網隔離，也可以使用網絡ACL功能進行管控。

——雲上三層網絡邊界示意圖

從等級保護要求看雲上網絡防護重點

以下内容基于《等保2.0》中有關網絡安全的相關要求展開，為客戶提供阿裡雲上相關最佳實踐。

等保類目：安全通信網絡——網絡架構

網絡裝置業務處理能力

• 防護要求：應保證網絡裝置的業務處理能力滿足業務高峰期需要
• 最佳實踐：

通常，對可用性要求較高的系統，網絡裝置的業務處理能力不足會導緻服務中斷，尤其對于傳統IDC的網絡架構和裝置而言，由于無法快速水準擴充（實體架構限制），或是成本等相關原因，需要企業預留大量的網絡資源，以滿足業務高峰期的需要，但在日常使用過程中則會産生大量的浪費。對于這一點，上雲就很好的解決了這個問題，無論是業務帶寬的彈性伸縮，或是阿裡雲上諸如雲防火牆等網絡安全類裝置的動态水準擴容能力，都能很好地解決傳統網絡和安全所存在的限制，并大大降低企業的日常網絡運作成本。

• 基礎網絡能力：虛拟專有網絡VPC、彈性公網位址EIP、負載均衡SLB、網絡位址轉換NAT
• 擴充防護能力：雲防火牆、雲WAF、DDoS防護

網絡區域劃分

• 防護要求：應劃分不同的網絡區域，并按照友善管理和控制的原則為各網絡區域配置設定位址

通常，對于雲上的網絡區域劃分，建議客戶以VPC為顆粒度規劃，這是因為VPC能夠根據實際需要配置IP位址段，同時又是雲上的基礎預設網絡隔離域。對于VPC的劃分，一般建議參考企業自身的組織架構，或是業務重要屬性進行網絡拆分。常見的劃分方式有：

• • 按業務部門劃分（例如To B業務、To C業務等）
  • 按傳統網絡分區劃分（DMZ區域、内網區域等）
  • 按使用屬性劃分（例如生産環境、開發測試環境等）

等保中有明确指出需要企業根據重要程度進行網絡區域劃分，同時，在同一VPC内的子網間預設路由互通，是以一般建議客戶以VPC為顆粒度實作網絡分區。同時，由于部分業務的通信互聯需要，VPC間能夠通過雲企業網（CEN）進行連通，在此基礎上也建議客戶使用阿裡雲防火牆的VPC隔離能力來實作VPC間的有效隔離。

• 基礎防護能力：虛拟專有網絡VPC、雲企業網CEN、雲防火牆
• 擴充網絡能力：高速通道、虛拟邊界路由器VBR

網絡通路控制裝置不可控

• 防護要求：應避免将重要網絡區域部署在邊界處，重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段

雲上網絡的常見通路控制裝置有雲防火牆、安全組、以及子網ACL。

雲防火牆覆寫網際網路邊界和VPC邊界，主要管控網際網路出和入向的南北向流量，以及跨VPC通路（包括專線）的流量控制；

安全組作用于主機邊界，主要負責雲資源邊界的通路控制；

子網ACL主要實作對一個或多個VPC内部子網流量的通路控制，在有精細化通路管控要求時可以使用。

上述服務均提供給雲上客戶管理權限，能夠根據實際業務需要靈活進行ACL配置。

• 推薦防護能力：雲防火牆、安全組、網絡ACL

網際網路邊界通路控制

• 防護要求：應避免将重要網絡區域部署在邊界處，重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段。

在傳統IDC的網絡規劃中，通常會配置DMZ區用以隔離網際網路和内網區域。在雲端，同樣可以通過設定DMZ VPC，來實作更高安全等級的網絡分區，并結合雲企業網的聯通性搭配雲防火牆的隔離能力，将重要的生産或内網區與網際網路區分隔開，避免高風險區域内的潛在網絡入侵影響企業的重要網絡區域。

同時，對于網際網路邊界，企業需要重點關注南北向的流量防護，對于暴露在網際網路上的網絡資産，包括IP、端口、協定等資訊，需要定期進行盤點，并配置針對性的通路控制規則，來實作網際網路出入口的安全管控。

• 推薦防護能力：虛拟專有網絡VPC、雲企業網CEN、雲防火牆

不同區域邊界通路控制

客戶在上雲初期，一般都會基于VPC進行網絡區域的規劃，對于不同區域的隔離與通路控制，阿裡雲提供了非常靈活的方式。通常，VPC之間預設無法通信，不同的VPC如果需要互相通路，可以通過高速通道實作點對點的通信，或是将多個VPC加入同一個雲企業網（CEN）實作互通，後者對于客戶的配置和使用更為友好，也是更推薦的方式。在此基礎上，客戶能夠通過雲防火牆提供的VPC邊界通路控制，來對跨VPC的流量進行通路管控，過程中不需要客戶手動更改路由，既簡化了路由的配置，又能通過統一的方式實作安全隔離管控。

同時，對于通過專線（虛拟邊界路由VBR）或VPN方式組建的混合雲場景，或是管控來自辦公網的雲上通路，也能通過雲防火牆在VPC邊界，通過分布式的方式實作統一通路控制，保障核心區域内的資源通路可管可控。

• 推薦防護能力：虛拟專有網絡VPC、雲防火牆、安全組

關鍵線路、裝置備援

• 防護要求：應提供通信線路、關鍵網絡裝置和關鍵計算裝置的硬體備援，保證系統的可用性。

阿裡雲提供的各類網絡和安全服務，在設計初期，首要考慮的就是如何實作高可用架構。無論是虛拟網絡服務，諸如虛拟網絡VPC、負載均衡SLB或NAT網關，還是安全類服務，如雲防火牆、雲WAF或DDoS防護，都在硬體層面實作了備援，并通過叢集的方式提供服務，滿足客戶雲上關鍵業務對于網絡安全可用性的要求。

與此同時，當客戶在進行網絡規劃和配置的過程中，還是需要對高可用架構進行必要的設計，例如多可用區架構、專線的主備備援等，實作更高等級的通信鍊路保障。

• 基礎網絡能力：參考各阿裡雲網絡與安全産品高可用特性

等保類目：安全通信網絡——通信傳輸

傳輸完整性保護

• 防護要求：應采用密碼技術保證通信過程中資料的完整性。

對于資料傳輸完整性要求較高的系統，阿裡雲建議在資料傳輸完成後，進行必要的校驗，實作方式可采用消息驗證碼（MAC）或數字簽名，確定資料在傳輸過程中未被惡意篡改。

• 推薦防護能力：客戶業務實作

傳輸保密性保護

• 防護要求：應采用密碼技術保證通信過程中資料的保密性。

資料傳輸過程中的保密性保護，根據業務類型通常會分為通道類連接配接和網站類通路。

對于通道類連接配接，阿裡雲提供了VPN網關服務，幫助客戶快速搭建加密通信鍊路，實作跨區域的互聯。對于網站類的通路，阿裡雲聯合了中國及中國以外地域的多家數字證書頒發機構，在阿裡雲平台上直接提供數字證書申請和部署服務，幫助客戶以最小的成本将服務從HTTP轉換成HTTPS，保護終端使用者在網站通路過程中的通信安全。

• 推薦防護能力：VPN網關、SSL/TLS證書

等保類目：安全區域邊界——邊界防護

• 防護要求：應保證跨越邊界的通路和資料流通過邊界裝置提供的受控接口進行通信

對于由網際網路側主動發起的通路，如果是網站類的業務，一般建議企業配置雲WAF來進行有針對性的網站應用防護，并搭配雲防火牆，實作全鍊路的通路控制；對于非網站類的入雲業務流量，包括遠端連接配接、檔案共享、開放式資料庫等，客戶能夠通過雲防火牆在公網EIP次元進行有針對性的開放接口統計與防護。

對于由雲内部主動發起的向網際網路的外聯，建議企業基于雲防火牆提供的出雲方向ACL，同樣在EIP次元進行基于白名單的通路控制，将外聯風險降到最低。

• 推薦防護能力：雲防火牆、雲WAF

• 防護要求：應保證跨越邊界的通路和資料流通過邊界裝置提供的受控接口進行通信；

參考【安全通信網絡——網絡架構】章節中的最佳實踐，同時，部分雲上PaaS服務也提供了類似的通路控制能力，如負載均衡SLB、對象存儲OSS、資料庫服務RDS，客戶能夠根據實際使用情況進行配置。

• 基礎網絡能力：參考各阿裡雲網絡産品
• 推薦防護能力：雲防火牆、安全組、雲WAF、網絡ACL

違規内聯檢查措施

• 防護要求：應能夠對非授權裝置私自連接配接到内部網絡的行為進行檢查或限制；

客戶在雲上的内部網絡，通常會部署内部應用伺服器或資料庫等重要資料資産。對于向内部網絡發起連接配接的行為，一般會經由網際網路（南北向）通道或專線及VPC（東西向）通道。

對于來自網際網路的網絡連接配接，一般建議客戶在邊界EIP上進行網絡流量的檢查。客戶能夠通過雲防火牆提供的深度包檢測（DPI）能力，分析來源IP和通路端口等資訊，識别出潛在的異常連接配接行為，并通過配置有針對性的通路控制政策，實作違規流量的阻斷。

對于東西向的流量，通常是由企業IDC或辦公網發起的，尤其是辦公網，除了能夠在雲下邊界部署上網行為管理等服務外，也能夠利用雲防火牆提供的VPC邊界管控能力，識别異常通路流量，并針對性的進行特定IP或端口的封禁。

• 推薦防護能力：雲防火牆

違規外聯檢查措施

• 防護要求：應能夠對内部使用者非授權連接配接到外部網絡的行為進行檢查或限制；

對于由内部網絡主動向外部發起通路的行為，能夠通過雲防火牆提供的主動外連識别能力進行檢測。對于所有跨邊界的出雲方向網絡流量，雲防火牆會分析流量的通路目标，結合阿裡雲威脅情報能力，一旦發現連接配接目的是惡意IP或域名，會立刻觸發告警，提醒客戶檢查網絡通路行為是否存在異常，并建議客戶對确認為惡意的流量通過配置ACL的方式進行阻斷。

同時阿裡雲安全中心通過在主機層面進行入侵檢測，也能夠發現違規的外聯程序，并進行有針對性的阻斷和告警提示，幫助客戶進行惡意風險的溯源。

• 推薦防護能力：雲防火牆、雲安全中心

等保類目：安全區域邊界——通路控制

• 防護要求：應在網絡邊界或區域之間根據通路控制政策設定通路控制規則，預設情況下除允許通信外受控接口拒絕所有通信；

“除允許通信外受控接口拒絕所有通信”，即網絡安全中的“白名單”概念，需要客戶配置類似如下的通路控制政策，實作網絡暴露面的最小化：

優先級	通路源	通路目的	端口	協定	行為
高	特定IP（段）		指定端口	指定協定	拒絕
中					允許
預設	所有（ANY）

無論是網際網路邊界，或是VPC區域邊界，都可以通過阿裡雲防火牆實作上述通路控制的配置和管理。阿裡雲防火牆作為雲原生SaaS化防火牆，與傳統防火牆不同，在客戶開啟過程中，不需要客戶進行任何網絡架構的調整，并且通路政策會優先保障客戶線上業務的正常運作。在日常使用過程中，建議客戶根據實際業務流量，通過配置“觀察”行為類型的規則，在不中斷業務的前提下進行流量分析，逐漸完善并添加相應的“允許”類通路控制規則，最終完成預設“拒絕”規則的上線，在業務平滑過渡的過程中實作邊界通路的收口；而對于新上雲的客戶，則建議在初期就配置通路控制“白名單”規則，加強網絡安全管控。

等保類目：安全區域邊界——入侵防範

外部網絡攻擊防禦

• 防護要求：應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為；

雲上常見的網絡攻擊，根據攻擊類型和所需防護的資産，一般分為網絡入侵行為、針對網站的攻擊和海量分布式攻擊（DDoS攻擊）。

對于雲上暴露資産的入侵檢測和防禦，阿裡雲防火牆通過提供網絡入侵檢測和防禦（IDPS）能力，幫助客戶在網際網路邊界和VPC邊界防範惡意外部入侵行為，并通過提供虛拟更新檔的方式，為雲上客戶在網絡邊界實作針對遠端可利用漏洞的虛拟化防禦，幫助客戶提升整體網絡安全防禦水準和應急響應能力。

而對于在雲上開展網站類業務的客戶，阿裡雲提供了Web應用防火牆的防護能力，對網站或者APP的業務流量進行惡意特征識别及防護，避免網站伺服器被惡意入侵，保障業務的核心資料安全，解決因惡意攻擊導緻的伺服器性能異常問題。

針對DDoS攻擊，阿裡雲為雲上客戶提供了DDoS防護的能力，在企業遭受DDoS攻擊導緻服務不可用的情況下，使用阿裡雲全球DDoS清洗網絡，通過秒級檢測與AI系統，幫助雲上客戶緩解攻擊，保障業務穩定運作。

• 推薦防護能力：雲防火牆、雲WAF、DDoS防護

内部網絡攻擊防禦

• 防護要求：應在關鍵網絡節點處檢測、防止或限制從内部發起的網絡攻擊行為；

對于内部發起的網絡攻擊行為，如果發生在雲端，一般是由于雲資源已經被成功入侵導緻。此時，除了使用阿裡雲安全中心進行資源（例如主機或容器）次元的應急響應和防禦外，同時能夠使用雲防火牆，加強不同VPC區域之間的安全隔離，并在允許的通信鍊路上對網絡流量進行持續的網絡入侵檢測防禦（IPS），将網絡攻擊的影響範圍降到最小，限制網絡攻擊行為，同時便于後期進行調查驗證和攻擊分析。

等保類目：安全區域邊界——惡意代碼和垃圾郵件防範

惡意代碼防範措施

• 防護要求：應在關鍵網絡節點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的更新和更新

對于阿裡雲上的惡意代碼防護，通常建議客戶在資源層面通過雲安全中心實作防護，同時利用雲防火牆在網絡層面進行協同防禦，并在網站資源上利用雲WAF進行防護。

雲安全中心目前支援蠕蟲病毒、勒索病毒、木馬、網站後門等惡意代碼的檢測和隔離清除，并定期更新相關惡意代碼規則庫;

針對挖礦蠕蟲（例如對SSH/RDP等進行暴力破解）攻擊，雲防火牆通過提供入侵檢測和防禦能力，對惡意代碼和相關行為進行檢測并告警；針對高危可遠端利用漏洞，雲防火牆利用阿裡雲安全在雲上攻防對抗中積累的大量惡意攻擊樣本，針對性地生成精準的防禦規則，并在背景實作自動化的規則更新和更新，幫助客戶以無感的方式不斷提升整體安全防護能力。

雲上網站在接入Web應用防火牆後，防護引擎會自動為網站防禦SQL注入、XSS跨站、Webshell上傳、指令注入、後門隔離、非法檔案請求、路徑穿越、常見應用漏洞攻擊等Web攻擊，實作對雲上網站的惡意行為檢測和防護。

• 推薦防護能力：雲安全中心、雲防火牆、雲WAF

等保類目：安全區域邊界——安全審計

網絡安全審計措施

• 防護要求：應在網絡邊界、重要網絡節點進行安全審計，審計覆寫到每個使用者，對重要的使用者行為和重要安全事件進行審計；

通常建議客戶在網際網路邊界和VPC區域邊界通過啟用阿裡雲防火牆，實作對全網絡邊界的流量安全審計，并在發生安全事件時，能夠通過網絡日志快速定位異常流量和進行網絡溯源。目前雲防火牆提供了三類審計日志：

• • 流量日志：經過網際網路邊界和VPC邊界的流量日志記錄，包括通路流量開始和結束的時間、源IP和目的IP、應用類型、源端口、應用、支援的協定、動作狀态、位元組數以及封包數等資訊；
  • 事件日志：經過網際網路邊界和VPC邊界且命中了安全檢測規則的流量記錄，是流量日志的子集，包括事件的時間、威脅類型、源IP和目的IP、應用類型、嚴重性等級以及動作狀态等資訊；
  • 記錄檔：記錄雲防火牆中的所有使用者操作行為，包括操作的使用者賬号、執行的時間、操作類型、嚴重性以及具體操作資訊。

同時阿裡雲針對網絡日志提供了強大的分析能力，幫助客戶不僅在安全次元發現異常流量，還能夠在運維層面提供強大的資料支撐，統計網絡流量行為，分析并優化網絡使用和成本，提升整體網絡運作效率。

對于網站類業務，阿裡雲WAF也提供了日志服務，能夠近實時地收集并存儲網站通路日志和攻擊防護日志，協助客戶進行深入分析、以可視化的方式進行展示、并根據所設定的門檻值實作監控報警。

雲防火牆和雲WAF的日志留存均基于日志服務SLS，能夠提供6個月的留存時長，并通過SLS提供的能力進行分析、統計報表、對接下遊計算與提供日志投遞等能力，實作靈活的日志分析和管理。

等保類别：安全區域邊界——集中管控

安全事件發現處置措施

• 防護要求：應能對網絡中發生的各類安全事件進行識别、報警和分析；

對于雲上常見的内外部網絡攻擊，可以參考【安全區域邊界——入侵防範】章節中的相關内容。目前針對不同類型的網絡攻擊，阿裡雲都提供了對應的防護能力，從DDoS類的攻擊，網絡入侵行為的檢測和告警，到針對網站的惡意行為識别和分析，都可以通過阿裡雲相關安全産品，實作有針對性的防護。

等保類目：安全運維管理——網絡和系統運維管理

運維外聯的管控

• 防護要求：應保證所有與外部的連接配接均得到授權和準許，應定期檢查違反規定無線上網及其他違反網絡安全政策的行為

對于辦公環境的外聯行為，建議客戶根據實際情況選擇針對性的防護手段。當客戶使用阿裡雲上資源開展日常運維工作時（例如使用堡壘機進行雲上環境運維），對于雲上資源的外訪，建議客戶通過雲防火牆進行主動外連行為的檢測，及時發現惡意的外連行為，進行針對性的封禁。具體最佳實踐可以參考【安全區域邊界——邊界防護】中的違規外聯檢查措施部分，實作針對性的管控。

總結

網絡安全等級保護在2019年已經從1.0更新為2.0，是我國網絡安全領域的基本國策。針對雲上網絡安全，等保2.0在完善網絡架構和通路控制的基礎上，也對網絡入侵防禦和安全審計提出了更高的要求。通過本最佳實踐，希望能夠在企業建設雲上網絡安全防禦體系的過程中，供企業參考，以更全面的視角看待網絡安全，實作更有效的防護。

附錄

《等保2.0》網絡安全高危風險與應對建議彙總

防護層面	控制點	标準要求	推薦防護能力
安全通信網絡	網絡架構		VPC、EIP、SLB、NAT
	VPC、雲防火牆、CEN
	雲防火牆、安全組、網絡ACL
	VPC、雲防火牆、安全組
	各阿裡雲網絡與安全産品
通信傳輸		客戶業務實作
	VPN、SSL證書
安全區域邊界	邊界防護		雲防火牆、雲WAF
	雲防火牆
	雲防火牆、雲安全中心
通路控制
入侵防範		雲防火牆、雲WAF、DDoS防護
惡意代碼和 垃圾郵件防範		雲防火牆、雲安全中心、雲WAF
安全審計
集中管控
安全運維管理	網絡和系統 運維管理