阿里雲安全月專題頁鏈接:
https://developer.aliyun.com/topic/securityapril
雲網一體的全球安全網絡
阿里云云網一體的安全網絡由租戶級安全、雲服務級安全、基礎設施安全三層結構組成。
租戶級安全通過產品安全性設計,提升租戶業務安全控制能力。客戶可以通過實例安全組、子網訪問控制列表、安全網關、VIP黑白名單等特性做多維度安全策略管理,確保業務安全運行。在服務構建層面,通過對租戶網絡通信進行了安全隔離,精細化資源管理有效控制多租戶網絡性能體驗和故障影響。對於安全攻擊威脅,阿里雲通過安全聯動和大數據技術,構建了強勁的內外網流量和協議攻擊防護能力。在基礎設施安全層面,針對上雲網絡、雲間網絡、雲上網絡建立了完整的認證和傳輸加密體系,支持國際通用算法和國密算法,提供了金融、政務高密級業務E2E安全解決方案。
從網絡拓撲上看,雲網一體安全網絡覆蓋了阿里雲全球網絡:可用區AZ內通過網絡和資源的有效隔離提供安全可靠內網,城域和域間骨幹網通過認證和傳輸加密能力,保證用戶流量私密和完整性。通過智能接入網關和雲連接網之間的安全通道,門店和IDC用戶可以構建優質混合雲安全網絡。而下文介紹的雲企業網和全球加速網絡則合力為用戶提供了公網跨地區安全加速解決方案。
全球連接,立體防護
網絡安全的最大挑戰之一來自於不同地域的網絡之間的訪問,連接不同地域的阿里雲網絡產品,雲企業網(Cloud Enterprise Network)是承載在阿里雲提供的高性能、低延遲的私有全球網絡上的一張安全網絡。雲企業網可在不同地域VPC間,VPC與本地數據中心間搭建私網通信通道,通過自動路由分發及學習,提高網絡的快速收斂和跨網絡通信的質量和安全性,實現全網資源的互通,打造一張具有企業級規模和通信能力的互聯網絡。作為企業連通的基礎組件,CEN在安全方面的建設尤為突出,通過經典的訪問控制策略配合雲防火牆、Privatezone等雲服務,CEN為企業提供立體的安全防護。
私網隔離
作為雲上網絡,CEN首先打造的是私網互通。通過CEN組建而來的雲企業網是一張無需暴露公網入口的全私有網絡,大大減少了來自公網的攻擊面,極大降低了安全風險。此外,用戶可以定義嚴格的訪問控制策略,自定義放行和阻斷規則,並將訪問控制策略應用到實例上,實現可信通信。通過路由策略,不僅可以過濾路由信息,還可以修改路由屬性,從而定義雲上網絡互通能力,編排出豐富的路由控制能力。
加密傳輸
CEN的接入鏈路支持加密傳輸,以最大程度降低中間鏈路的風險。上雲網絡使用安全連接網關SAG和阿里雲接入點之間建立私有加密信道。通過嚴密的防重放攻擊和定期更新密鑰,確保用戶流量在公網傳輸路徑上不被篡改和監聽。在需要公網互通以及跨VPC的場景下,通過雲防火牆可以進行訪問控制,進行流量分析和事後審計。
防DNS劫持和域名汙染
Privatezone私網域名解析:PrivateZone是基於阿里雲專有網絡VPC環境的私有DNS域名解析和管理服務。通過CEN訪問PrivateZone服務,可以避免業務DNS出現在公網上,防止DNS劫持和域名汙染。
極致加速,極致安全
全球任意地域的客戶可以通過互聯網訪問同個服務,但不同客戶的訪問質量和體驗差異卻非常大,因為互聯網中的訪問鏈路是不可控的:訪問要經多跳節點才能到達服務端,經過的節點不可控,甚至來回路徑都可能不一致。經過每個節點都可能會影響性能(時延、抖動),還可能會因為擁塞、丟包而影響業務質量。
為了解決上述問題,阿里雲洛神網絡推出全球加速,依託阿里巴巴優質BGP帶寬和全球傳輸網絡,實現全球網絡就近接入和跨地域部署,減少延遲、抖動、丟包等網絡問題對服務質量的影響,為全球用戶提供高可用和高性能的網絡加速服務。
全球加速服務集合了調度和加速能力,提供了高質量、高性能、高可用、安全可靠和易部署的網絡加速服務。安全方面,通過集成DDoS高防和WAF安全防護,為企業應用提供層次化安全防護。
聯動DDOS高防
全球加速自帶2~5G免費DDOS能力,通過聯動DDoS高防,可以實現高達幾百G DDoS防護能力。終端請求進入加速網絡前先進行DDoS流量清洗,保護互聯網應用服務持續可用,為全球移動互聯網服務商提供一套高安全的跨地域加速方案。
聯動WAF防護
對於WEB類應用,全球加速聯動Web應用防火牆:通過聯動Web應用防火牆,基於雲安全大數據能力,為全球Web應用服務商提供一套高安全的跨地域加速方案。
展望未來
未來如何賦能政府、企業用戶智能化網絡能力,將是非常關鍵的發展,也是未來網絡的突破。尤其是上了雲之後,整個網絡構建的服務和運作方式完全發生了變化,也就意味著原來很多網絡服務的工具、系統需要全部重構,但也代表著會帶來更多機會給網絡這個行業。如何透過智能化的網絡服務提升網絡服務效率,也是未來的一個重大趨勢。尤其在當前數字經濟深入發展的背景下,中國正逐步奠定全球數字經濟中心的地位,無論是中國企業出海或是跨國企業在中國開展業務,網絡作為連通境內外各分支的基礎設施,成為影響生產力的第一要素。最終將做到讓網絡更簡單,是阿里雲網絡的使命。
