网络安全

云盒在上云连接安全性、组网隔离等方面确保了网络安全,同时支持搭配阿里云的云安全产品,保护云盒中服务应对内外网的安全威胁。

上云连接安全

  • 连接方式及安全性

    云盒与公共云之间的网络连接支持使用物理专线或Internet实现互通

    • 物理专线:采用用户独享物理专线连接,数据传输过程可信可控,避免网络质量不稳定问题,同时可避免数据在传输过程中被窃取。

    • Internet:通过智能接入网关SAG,经公网连接到公共云,开通方便,采用IPsec加密网络通信,支持多路冗余,QoS控制。

  • 管控平面安全增强

    云盒服务器端点与公共云接入点之间的管控平面基于TLS实现双向身份认证和通信加密,确保通信真实性、合法性,在公共云侧实施网络访问控制和安全防护措施。

物理组网及隔离

云盒在企业中的物理组网和隔离情况如下:

image
  • 云盒为外网提供服务需要通过用户企业公网出口接入公网,使用用户的公网IP。云盒需位于企业外网防火墙后,由企业外网防火墙管理最外层的网络访问控制,对云服务使用混合云防火墙或安全组做内层更细粒度的访问控制。对于来自公网的DDoS流量,企业可以部署DDoS流量清洗设备,或使用阿里云DDoS防护服务。

  • 云盒为企业内网提供服务时并不需要在云盒和企业内网之间部署额外的网络防护设备(内网防火墙非必须)。如果企业担心安全性或者出于内部合规考虑,希望云盒物理设备与企业内网之间有外置的访问控制手段,可以考虑在云盒和企业内网之间部署内网防火墙。对于网络规划有DMZ区的企业,相当于将云盒部署在DMZ中。

用户局域网安全

  • 用户的企业局域网对接云盒Tor与云盒内部用户VPC网络实现互访,该流量出云盒Tor后即进入用户物理网络,不会传输到公共云或公网。该网络流量是无认证、无加密的,需要用户使用安全的应用层协议或者能够保证局域网络的安全性,以降低内部网络攻击和数据泄露的风险。

  • 对于VPC内的用户VM,建议您使用安全组最小化授权IP和端口访问。更多关于安全组的信息,请参见安全组概述

  • 云产品(如OSS、RDS)为用户提供了安全的访问协议(如HTTPS),建议您采用安全协议访问云服务。

    部分产品的参考如下:

    云产品

    相关文档

    块存储

    如何实现通过HTTPS方式访问对象存储OSS资源

    云数据库 RDS MySQL 版

    使用云端证书快速开启SSL链路加密

    云数据库 RDS PostgreSQL 版

    使用云端证书快速开启SSL加密

    云数据库 Tair(兼容 Redis)

    开启TLS加密

    云数据库 MongoDB 版

    设置SSL加密

网络安全产品

云盒具备与公共云一致的网络安全防护能力,可以部署云安全产品,保护云盒中服务应对内外网的安全威胁。依据等保2.0三级要求的指引,建议使用相关云安全产品进行防护加固。

应用场景

云安全产品

说明

网络区域边界安全

可以应对来自公网对ECS实例、云服务的威胁,实现网络访问控制、缓解漏洞利用、SQL注入、API安全、Bot安全防护、入侵防御、流量审计等。同时云防火墙也可以管理企业内网与VPC间的流量,以及管理ECS实例间流量实现微隔离。

DDoS防护

对于来自公网的DDoS流量攻击,可以通过阿里云DDoS防护服务进行拦截与防护,有效缓解因攻击引发的业务异常。

主机入侵和恶意代码防范

云安全中心

通过端侧Agent(要求用户实例安装客户端)和中心侧态势感知平台,实现网络和主机入侵防护、漏洞和木马检测、漏洞修复、安全配置核查、安全加固以及对云产品配置进行安全评估。

系统管理与审计

堡垒机

提供统一、高效、安全运维通道,集中管理资产权限,全程监控操作行为,保证云端运维身份可鉴别、权限可管控、风险可阻断、操作可审计。

数据安全

针对结构化、非结构化的敏感数据进行有效识别、数据安全审计、数据脱敏、数据安全加密、AK/SK凭据托管等,有效解决数据在传输链路安全、数据分类分级、数据审计与安全加密等全链路的数据安全,并且可以有效满足国密安全改造的业务诉求。