阿里云：构建全球企业内外安全网络最佳实践

阿里云安全月专题页链接：https://developer.aliyun.com/topic/securityapril

云网一体的全球安全网络

阿里云云网一体的安全网络由租户级安全、云服务级安全、基础设施安全三层结构组成。

租户级安全通过产品安全性设计，提升租户业务安全控制能力。客户可以通过实例安全组、子网访问控制列表、安全网关、VIP黑白名单等特性做多维度安全策略管理，确保业务安全运行。在服务构建层面，通过对租户网络通信进行了安全隔离，精细化资源管理有效控制多租户网络性能体验和故障影响。对于安全攻击威胁，阿里云通过安全联动和大数据技术，构建了强劲的内外网流量和协议攻击防护能力。在基础设施安全层面，针对上云网络、云间网络、云上网络建立了完整的认证和传输加密体系，支持国际通用算法和国密算法，提供了金融、政务高密级业务E2E安全解决方案。

从网络拓扑上看，云网一体安全网络覆盖了阿里云全球网络：可用区AZ内通过网络和资源的有效隔离提供安全可靠内网，城域和域间骨干网通过认证和传输加密能力，保证用户流量私密和完整性。通过智能接入网关和云连接网之间的安全通道，门店和IDC用户可以构建优质混合云安全网络。而下文介绍的云企业网和全球加速网络则合力为用户提供了公网跨地区安全加速解决方案。

全球连接，立体防护

网络安全的最大挑战之一来自于不同地域的网络之间的访问，连接不同地域的阿里云网络产品，云企业网（Cloud Enterprise Network）是承载在阿里云提供的高性能、低延迟的私有全球网络上的一张安全网络。云企业网可在不同地域VPC间，VPC与本地数据中心间搭建私网通信通道，通过自动路由分发及学习，提高网络的快速收敛和跨网络通信的质量和安全性，实现全网资源的互通，打造一张具有企业级规模和通信能力的互联网络。作为企业连通的基础组件，CEN在安全方面的建设尤为突出，通过经典的访问控制策略配合云防火墙、Privatezone等云服务，CEN为企业提供立体的安全防护。

私网隔离

作为云上网络，CEN首先打造的是私网互通。通过CEN组建而来的云企业网是一张无需暴露公网入口的全私有网络，大大减少了来自公网的攻击面，极大降低了安全风险。此外，用户可以定义严格的访问控制策略，自定义放行和阻断规则，并将访问控制策略应用到实例上，实现可信通信。通过路由策略，不仅可以过滤路由信息，还可以修改路由属性，从而定义云上网络互通能力，编排出丰富的路由控制能力。

加密传输

CEN的接入链路支持加密传输，以最大程度降低中间链路的风险。上云网络使用安全连接网关SAG和阿里云接入点之间建立私有加密信道。通过严密的防重放攻击和定期更新密钥，确保用户流量在公网传输路径上不被篡改和监听。在需要公网互通以及跨VPC的场景下，通过云防火墙可以进行访问控制，进行流量分析和事后审计。

防DNS劫持和域名污染

Privatezone私网域名解析：PrivateZone是基于阿里云专有网络VPC环境的私有DNS域名解析和管理服务。通过CEN访问PrivateZone服务，可以避免业务DNS出现在公网上，防止DNS劫持和域名污染。

极致加速，极致安全

全球任意地域的客户可以通过互联网访问同个服务，但不同客户的访问质量和体验差异却非常大，因为互联网中的访问链路是不可控的：访问要经多跳节点才能到达服务端，经过的节点不可控，甚至来回路径都可能不一致。经过每个节点都可能会影响性能(时延、抖动)，还可能会因为拥塞、丢包而影响业务质量。

为了解决上述问题，阿里云洛神网络推出全球加速，依托阿里巴巴优质BGP带宽和全球传输网络，实现全球网络就近接入和跨地域部署，减少延迟、抖动、丢包等网络问题对服务质量的影响，为全球用户提供高可用和高性能的网络加速服务。

全球加速服务集合了调度和加速能力，提供了高质量、高性能、高可用、安全可靠和易部署的网络加速服务。安全方面，通过集成DDoS高防和WAF安全防护，为企业应用提供层次化安全防护。

联动DDOS高防

全球加速自带2~5G免费DDOS能力，通过联动DDoS高防，可以实现高达几百G DDoS防护能力。终端请求进入加速网络前先进行DDoS流量清洗，保护互联网应用服务持续可用，为全球移动互联网服务商提供一套高安全的跨地域加速方案。

联动WAF防护

对于WEB类应用，全球加速联动Web应用防火墙：通过联动Web应用防火墙，基于云安全大数据能力，为全球Web应用服务商提供一套高安全的跨地域加速方案。

展望未来

未来如何赋能政府、企业用户智能化网络能力，将是非常关键的发展，也是未来网络的突破。尤其是上了云之后，整个网络构建的服务和运作方式完全发生了变化，也就意味着原来很多网络服务的工具、系统需要全部重构，但也代表着会带来更多机会给网络这个行业。如何透过智能化的网络服务提升网络服务效率，也是未来的一个重大趋势。尤其在当前数字经济深入发展的背景下，中国正逐步奠定全球数字经济中心的地位，无论是中国企业出海或是跨国企业在中国开展业务，网络作为连通境内外各分支的基础设施，成为影响生产力的第一要素。最终将做到让网络更简单，是阿里云网络的使命。