安全是一个系统的工程防火墙策略,就是最重要的第一道大门。经验表明,超过五成的安全事件和防火墙策略配置不当有关。服务器ECS安全组等价于上的防火墙,不同网络类型的云服务器需要做好对应的安全组策略配置,才能更好的保障业务的安全性。
云服务器ECS的网络类型分为经典网络和专有网络VPC两种。
经典网络
经典网络采用单纯隔离,是一个共享的基础网络。网络里的一些实例都在一个共同的生态环境里。如果将经典网络比喻为城市,那么网络里的实例就相当于城市里一条街道上的房屋或楼宇。房屋配套的围墙和门锁用于提供安全防护,其中围墙相当于安全组门锁,相当于安全组规则。
为避免骇客侵入,我们需要时常关注安全组状况,切忌漏设并防止权限控制漏洞,一旦马虎骇客,便会伺机攻击ECS实例。所以,经典网络的安全防护高度依赖安全组的权限控制。我们最好不要将安全组授权对象设置为0.0.0.0/0,这相当于对外不设防风险非常大。
VPC专有网络
VPC专有网络采用二层隔离式安全增强型网络,更是阿里云首推的云上私有网络。网络里的实例都高度隔离,相对于今年网络而言,VPC具有更高的安全性和灵活性。每组VPC网络都类似于不同维度里的平行空间,空间之间既不会相交,也不会重合。即使单个空间出现了问题,也无法影响到其他空间。即使我们不小心忘记设置安全组,外人也无法轻易踏足你的网络领域。
要实现两组VPC网络之间的通信,我们需要建立“高能量的时空隧道”——高速通道,才能通信。使用VPC还能帮我们建立起精细的网络管理能力,通过建立虚拟交换机划分子网,灵活的配置网络隔离机制。
VPC专有网络和经典网络的差异
无论是VPC网络还是经典网络,都需要通过安全组来管理云服务器的访问权限。阿里云提供了稳定的经典网络迁移到VPC的辅助功能,帮助我们零影响实现在线网络迁移。
相比于经典网络,VPC专有网络之间以及与经典网络之间完全隔离,经典网络与专有网络及不同的VPC专有网络之前不能相互访问,具有更高的安全性。
原文地址:https://aliyunnew.com/a/Why-is-Aliyun-VPC-proprietary-network-safer-than-classical-network.html
