很多企业在是否上云的决策过程中，首当其冲考虑的就是业务上云的安全问题。因为很多人或多或少都有一种思维的惯性，即只有看见的东西才会选择相信，看不到的都是虚无的。当每每谈到是否上云时，客户会感受到他/她的业务或数据如果上云后，是否会如天上的浮云那样飘来飘去，导致敏感数据泄露的隐患和诸多不确定性的因素产生等诸多顾虑。

当然，最大的顾虑是来自那些有特殊安全性要求的行业或企业，他们出于行业合规性的要求或现有IT基础设施投入保护想法，在是否上云的决策面前往往表现为裹足不前。那么，云真有如我们想象的那样不安全吗？

我们且从最关键的云网络产品虚拟私有云（Virtual Private Cloud-VPC）来讨论一下云的安全性。目前主流云厂商针对云上的网络安全隔离的解决方案趋于一致。一般都是通过VxLan等隧道封装技术来实现基于物理网络上的二层逻辑隔离。而传统的网络隔离技术通常是基于三层的vLan技术。vLan技术一般只能实现2的12次方，即上限为4096个的隔离空间，这无法适应于公有云动辄上百万用户的隔离诉求。而VxLan的隧道封装技术可以实现高达2的24次方的隔离，这一点可充分满足公有云拥有海量用户体量的特点。

很多企业用户可能会觉得，满足海量用户体量的彼此隔离是云厂商如阿里或华为需要考虑的，他们更多的要保障自身业务的安全性。那么VPC在这方便会有什么建树呢？我们且从VPC的如下特点来品读云安全的实现原理，VPC的具体特点如下：

  1、VPC是用户在云上申请的彼此隔离的和私密的虚拟网络空间；

  2、默认不同VPC之间是彼此隔离的，VPC内是网络互通的；

  3、如果需要实现VPC之间的连接也是有可能的。比如，通过设置VPC对等连接、VPN连接、应用云厂商所提供的高速通道、云联网或云链接服务等来实现；

  4、用户可以基于自己的业务需要，把需要彼此隔离的业务应用或环境分别设置在不同的VPC内。比如生产环境、预生产环境、开发环境和测试环境各设一个VPC；

  5、用户可以自由配置VPC内的IP地址段、子网、安全组等子服务，也可以申请弹性带宽和弹性公网IP搭建可以被公网访问的业务系统；

  6、需要彼此互相访问的云产品（如云服务器和云数据库）可以放入一个安全组，不同安全组内的云产品实例彼此内网隔离；

  7、安全组是一种有状态的虚拟防火墙，用于控制安全组内云产品如云服务器（虚拟机）实例的入流量和出流量，从而提高云产品的安全性；

  8、一个云产品至少需要加入一个安全组，也可以同时隶属于多个安全组。基于业务的需要针对安全组开发入流量和出流量的网络访问端口。当然，安全组的入流量和出流量的网络访问端口默认是关闭的，需要针对每个端口是否开通进行单独设置，比如SSH 22端口，HTTP 80端口，HTTPs 443端口和Windows远程登陆 3389端口；

  9、安全组具备有状态的数据包检测和数据包过滤能力。所谓有状态，即会记录入流量包的情况，凡是经过入流量进入的包不用在出流量单独放行，即默认可以允许流出。我们换一种说法，安全组会默认放行同一会话中的通信。例如，在会话连接期内，如果连接的数据包在入方向是允许的，则在出方向也是允许的。

  10、弹性带宽和弹性公网IP通常设置为VPC内的云产品，比如云服务器（虚拟机）或云负载均衡器。被设置弹性公网IP的云产品可以具备访问公网和被公网访问的能力；

 11、VPC的设置相对于传统物理网络的设置更简单，但是也基本具备传统网络的属性，比如虚拟路由器（vRouter）和虚拟交换机（vSwitch）。虚拟路由器连接VPC网络内的各个虚拟交换机，通过虚拟交换机为VPC网络划分一个或多个子网。同一VPC网络内的不同虚拟交换机之间内网互通。您可以将业务应用所在的云服务器部署在不同的虚拟交换机内。

 12、VPC使用网络虚拟化技术，通过链路冗余，分布式网关集群，多可用区（AZ）部署等多种技术，保障网络的安全、稳定和高可用。

  以下是一个典型的云上VPC的网络拓扑图，

总之，通过以上关于VPC及相关云产品的描述，我们可以切身感知云在安全管理上是狠下了一番功夫的。通常只要云用户合理的利用VPC、安全组和子网访问策略（ACL）进行完备的云上安全规划，就能达到比线下传统IDC更加专业的安全性体验。比如由于云上的二层网络隔离，每个在云上的用户都可以使用如下网段的IP地址，即允许不同的云用户在其业务上使用相同的IP地址或子网网段，他们的IP地址不冲突，业务也不受干扰，彼此网络隔离。

子网网段：192.168.0.0/16，可用私网IP数量达65,532个；

子网网段：172.16.0.0/12，可用私网IP数量达1,048,572个；

子网网段：10.0.0.0/8，可用私网IP数量达16,777,212个。