从虚拟私有云(VPC)网络,论云的安全性
2021-11-09阅读 6

很多企业在是否上云的决策过程中,首当其冲考虑的就是业务上云的安全问题。因为很多人或多或少都有一种思维的惯性,即只有看见的东西才会选择相信,看不到的都是虚无的。当每每谈到是否上云时,客户会感受到他/她的业务或数据如果上云后,是否会如天上的浮云那样飘来飘去,导致敏感数据泄露的隐患和诸多不确定性的因素产生等诸多顾虑。

当然,最大的顾虑是来自那些有特殊安全性要求的行业或企业,他们出于行业合规性的要求或现有IT基础设施投入保护想法,在是否上云的决策面前往往表现为裹足不前。那么,云真有如我们想象的那样不安全吗?

我们且从最关键的云网络产品虚拟私有云(Virtual Private Cloud-VPC)来讨论一下云的安全性。目前主流云厂商针对云上的网络安全隔离的解决方案趋于一致。一般都是通过VxLan等隧道封装技术来实现基于物理网络上的二层逻辑隔离。而传统的网络隔离技术通常是基于三层的vLan技术。vLan技术一般只能实现2的12次方,即上限为4096个的隔离空间,这无法适应于公有云动辄上百万用户的隔离诉求。而VxLan的隧道封装技术可以实现高达2的24次方的隔离,这一点可充分满足公有云拥有海量用户体量的特点。

很多企业用户可能会觉得,满足海量用户体量的彼此隔离是云厂商如阿里或华为需要考虑的,他们更多的要保障自身业务的安全性。那么VPC在这方便会有什么建树呢?我们且从VPC的如下特点来品读云安全的实现原理,VPC的具体特点如下:

 

  1、VPC是用户在云上申请的彼此隔离的和私密的虚拟网络空间;

  2、默认不同VPC之间是彼此隔离的,VPC内是网络互通的;

  3、如果需要实现VPC之间的连接也是有可能的。比如,通过设置VPC对等连接、VPN连接、应用云厂商所提供的高速通道、云联网或云链接服务等来实现;

  4、用户可以基于自己的业务需要,把需要彼此隔离的业务应用或环境分别设置在不同的VPC内。比如生产环境、预生产环境、开发环境和测试环境各设一个VPC;

  5、用户可以自由配置VPC内的IP地址段、子网、安全组等子服务,也可以申请弹性带宽和弹性公网IP搭建可以被公网访问的业务系统;

  6、需要彼此互相访问的云产品(如云服务器和云数据库)可以放入一个安全组,不同安全组内的云产品实例彼此内网隔离;

  7、安全组是一种有状态的虚拟防火墙,用于控制安全组内云产品如云服务器(虚拟机)实例的入流量和出流量,从而提高云产品的安全性;

  8、一个云产品至少需要加入一个安全组,也可以同时隶属于多个安全组。基于业务的需要针对安全组开发入流量和出流量的网络访问端口。当然,安全组的入流量和出流量的网络访问端口默认是关闭的,需要针对每个端口是否开通进行单独设置,比如SSH 22端口,HTTP 80端口,HTTPs 443端口和Windows远程登陆 3389端口;

  9、安全组具备有状态的数据包检测和数据包过滤能力。所谓有状态,即会记录入流量包的情况,凡是经过入流量进入的包不用在出流量单独放行,即默认可以允许流出。我们换一种说法,安全组会默认放行同一会话中的通信。例如,在会话连接期内,如果连接的数据包在入方向是允许的,则在出方向也是允许的。

  10、弹性带宽和弹性公网IP通常设置为VPC内的云产品,比如云服务器(虚拟机)或云负载均衡器。被设置弹性公网IP的云产品可以具备访问公网和被公网访问的能力;

 11、VPC的设置相对于传统物理网络的设置更简单,但是也基本具备传统网络的属性,比如虚拟路由器(vRouter)和虚拟交换机(vSwitch)。虚拟路由器连接VPC网络内的各个虚拟交换机,通过虚拟交换机为VPC网络划分一个或多个子网。同一VPC网络内的不同虚拟交换机之间内网互通。您可以将业务应用所在的云服务器部署在不同的虚拟交换机内。

 12、VPC使用网络虚拟化技术,通过链路冗余,分布式网关集群,多可用区(AZ)部署等多种技术,保障网络的安全、稳定和高可用。

 

  以下是一个典型的云上VPC的网络拓扑图,

总之,通过以上关于VPC及相关云产品的描述,我们可以切身感知云在安全管理上是狠下了一番功夫的。通常只要云用户合理的利用VPC、安全组和子网访问策略(ACL)进行完备的云上安全规划,就能达到比线下传统IDC更加专业的安全性体验。比如由于云上的二层网络隔离,每个在云上的用户都可以使用如下网段的IP地址,即允许不同的云用户在其业务上使用相同的IP地址或子网网段,他们的IP地址不冲突,业务也不受干扰,彼此网络隔离。

子网网段:192.168.0.0/16,可用私网IP数量达65,532个;

子网网段:172.16.0.0/12,可用私网IP数量达1,048,572个;

子网网段:10.0.0.0/8,可用私网IP数量达16,777,212个。