以下最小权限网络策略构建流程由云枢国际撰写。

1. 网络架构规划
   分层网络设计是构建安全基础的起点：
   核心原则：
   子网划分：创建公有子网（承载负载均衡器）、私有子网（放置GPU实例）和管理子网（部署堡垒机）
   GPU实例放置：将GPU实例部署在私有子网，不分配公网IP
   入口收敛：通过应用型负载均衡（ALB）​ 对外提供服务，不直接暴露GPU实例
2. 安全组策略配置
   安全组是实施最小权限策略的核心工具，需为不同层次的资源创建独立的安全组。
   堡垒机安全组（管理访问入口）：

   入站规则

   0.0.0.0/0 端口22 协议TCP # 仅允许特定管理IP段
   0.0.0.0/0 端口3389 协议TCP # 仅允许特定管理IP段

   出站规则

   GPU实例安全组 端口22 协议TCP # 仅可访问GPU实例的SSH端口
   GPU实例安全组 端口3389 协议TCP # 仅可访问GPU实例的RDP端口
   GPU实例安全组（计算资源隔离）：

   入站规则

   堡垒机安全组 端口22 协议TCP # 仅允许来自堡垒机的SSH
   堡垒机安全组 端口3389 协议TCP # 仅允许来自堡垒机的RDP
   应用安全组 端口5000 协议TCP # 允许应用层访问API端口

   出站规则

   0.0.0.0/0 端口80 协议TCP # 允许访问yum/apt更新源
   0.0.0.0/0 端口443 协议TCP # 允许访问OSS、容器镜像等HTTPS服务
   应用安全组（业务流量入口）：

   入站规则

   0.0.0.0/0 端口443 协议TCP # 允许互联网HTTPS访问
   ALB安全组 端口5000 协议TCP # 允许ALB转发流量至GPU实例

   出站规则

   GPU实例安全组 端口5000 协议TCP # 允许访问GPU实例的推理API
3. 网络ACL加固
   网络ACL提供子网级别的额外防护层：私有子网网络ACL规则：

   入站规则（优先级升序）

   规则10：允许 堡垒机IP段 端口22
   规则20：允许 应用子网网段 端口5000
   规则100：拒绝 0.0.0.0/0 所有端口

   出站规则

   规则10：允许 数据存储子网 端口443
   规则20：允许 管理子网 端口22
   规则100：拒绝 0.0.0.0/0 所有端口
4. 堡垒机部署与管理
   堡垒机配置要点：
   专有实例：创建独立的ECS实例作为堡垒机，放置于管理子网
   多因子认证：为堡垒机启用多因子认证（MFA）
   会话审计：启用云盾记录所有运维会话，便于审计追溯
   访问流程：互联网 → VPN/专线 → 堡垒机 → GPU实例（私有子网）
5. 负载均衡器安全配置
   ALB安全加固：

   监听器配置

   协议：HTTPS（443端口）
   证书：使用SSL证书服务管理域名证书
   安全策略：启用TLS 1.2及以上

   访问控制

   白名单：配置仅允许业务IP段访问
   WAF集成：启用Web应用防火墙防护注入攻击
6. 监控与审计体系
   安全监控配置：
   流日志：启用VPC流日志，记录所有网络流量
   操作审计：启用操作审计（ActionTrail），记录所有管控API调用
   安全告警：配置云监控告警规则，检测异常网络流量模式
   安全中心：使用云安全中心检测恶意网络扫描和攻击行为