带你读《从基础到应用云上安全航行指南》——来上课！一文掌握守住ECS网络安全的最佳方法（1）

引言：本文整理自【弹性计算技术公开课——ECS安全季】系列课程中，阿里云弹性计算技术专家刘明带来了《如何守住ECS的第一道防线——网络安全》一节。

 

一、网络安全中常见问题概览

我们在网络环境中常见的安全问题非常多，在此挑选了几个与网络安全高度相关的场景，带大家简单了解一下。

 

 

 

首先是网络系统安全，举几个例子：

 

第一：路由器、交换机等网络设备存在配置错误，极可能导致恶意入侵，这种是网络设备安全。

第二：Web服务器设计缺陷或者配置不当导致数据泄露，这种是服务器和应用安全、网络信息安全。我们常听说/电影情节中见到黑客对网络请求进行拦截的行为，甚至是直接篡改信息，给用户带来损失。还有一种是在同一个公司中，大家在同一个局域网内部，由于没有细分权限，发生敏感信息的泄露，比如财务部门的数据被泄露，给用户给公司带来损失。

第三：云安全，云环境中的应用没有正确配置安全组、防火墙规则等。

第四：服务器被攻击，由恶意用户发起的DDOS攻击，导致整个服务不可用，以上是网络安全问题的一些常见场景，这些都会给用户带来难以估量的损失。网络安全是一个非常重要的课题，做好防护是阿里云和用户共同的责任。

 

 

 

上图是解决网络安全问题的一个整体思路：

 

∙        首先做好网络隔离，如果您的服务不能被外部访问，甚至是不能够被内部访问，它一定是安全的。

∙        第二是做好阻断，通过使用云上提供的防火墙能力阻断不安全的访问，或者是仅允许指定端口IP访问。

∙        第三个是对流量进行监控和分析，如果发现了非预期的流量或者是访问，可以第一时间介入，进行相应的处置。

∙        第四个是做好安全防护，可能您的服务是面向公网用户的，攻击没办法完全避免，做好安全防护可以有效的降低安全问题带来的损失。

二、做好网络隔离

按照刚才提到的，讨论一下如何做好网络隔离，把“坏人”挡在门外，就不用担心他会伤害到您。

 

 

那么我们如何做好网络隔离？

 

∙        第一：阿里云提供的云上虚拟的局域网专有网络，专有网络相互之间在逻辑上是完全隔离，无法通信的，利用这个特性，可以构建自己的局域网，在每一个专有网络里，用户可以根据自己的需求创建多个交换机，交换机可以绑定网络ACL进行流量的控制。

∙        第二：建议用户把自己的网络设备按照重要程度、部署服务类型、安全等级等进行划分，根据他们的不同把相应的服务部署到不同的交换机下。

∙        第三：尽量使用内网通信，非必要情况下不要使用公网。例如当想进行跨专有网络的通信时，优先使用阿里云提供的终端节点进行服务，终端节点是通过内网进行通信的，以上就是阿里云网络隔离的三大建议，下面会详细的介绍相关的产品。

 

 

首先，学习一下专有网络。

 

专有网络是专有的云上私有网络，用户可以根据自己的需求在云上创建多个专有网络，在专有网络中，用户可以完全掌控自己的网络，例如可以选择地址IP的范围，阿里云提供ABC三个网段的地址段，例如10.0.0.0掩码是8的A类地址段和192.16 8.0.0掩码是16是B类地址段。用户可以在专有网络中配置路由表和网关，可以在自己定义的专有网络中使用阿里云的一些资源，如云服务器ECS，云数据库RDS和负载均衡SLB等等，专有网络还有非常多其他高级的功能，在此不再详细介绍，大家可以根据官网文档进行了解。

 

重点介绍安全相关的内容，专有网络提供了丰富的隔离能力：

 

∙        在专有网络之间在逻辑上是彻底隔离的，相互之间默认无法通信。

∙        专有网络内的ECS可以通过内网进行通信减少，这样就可以减少公网的暴露。

∙        每个专业网络内它可以建立多个交换机，可以有利于这种网络的网络和网段的划分，不同交换之间也可以设置一些隔离。

 

这是对专有网络的一些介绍，下面一起了解一下虚拟交换机。

 

 

接下来，了解虚拟交换机的概念。

 

交换机是组成专有网络的基础网络设备，用来连接不同的语音资源实例，每个专有网络下，用户可以很方便的管理多个虚拟交换机，根据自己的需求进行创建、删除、配置虚拟交换机。

 

左边图中交换机的一些概念，第一，当前的专有网络中有三个交换机，其中的两个位于可用区A，另外一个位于可用区B。每一个交换机都必须会有一个可用区中。

 

专有网络交换机提供的安全能力主要有两点：

 

∙        第一，服务隔离，可以根据服务的安全等级、服务的类型进行网站的划分。

∙        第二是流量控制，专业网络，提供了网络ACL的功能，网络ACL可以绑定到交换机上，对流经交换机的流量进行访问的控制。

这就是交换机的整体概念，继续看一下关于网络隔离的一些其他建议。

 

 

第一个建议是用户权限分级，设置一个网络的管理员统一来管理网安全组，网络ACL以及流量日志这些高危的权限，避免高危权限的泄露，同时出现问题时也更容易排查；普通用户无法变更网络ACL和安全组的ACL。

 

第二个建议是隐藏私密的内容，通过阿里云提供了网络ACL，安全组和云防火墙，限制不易公开的内容访问权限，避免数据泄露。

 

第三个建议是要做服务隔离。

 

图中可以看到，有两个集群，第一个是Mysql服务集群，第二个是web服务集群。把Mysql的服务集群，都放在安全组A里，Web的服务集群都放在安全组B里。在大多数的应用场景下，只需要为安全组A配置一条允许内网进10.0.0.0掩码是8访问3306端口的规则，而安全组B配置一条允许公网及0.0.0.0且掩码是零的访问八零端口的规则，这样不同的服务它有不同的隔离级别。并且每一个服务的访问权限都是最小的。

 

第四个建议是优先使用内网而不是公网进行通信，一个典型的场景是跨VPC的通信，第一种方案，两个VPC都引入公网。第二个方案是为每一个VPC建立一个终端节点，通过终端节点使用内网进行通信，推荐第二种方案，这样可以减少公网暴露，降低安全的风险，这就是讲解的网络隔离的内容。下一个章节会讲解如何通过网络ACL和安全组进行流量的控制。

带你读《从基础到应用云上安全航行指南》——来上课！一文掌握守住ECS网络安全的最佳方法（2）：

https://developer.aliyun.com/article/1441582