网络安全可防止未经授权访问网络资源,并检测和阻止正在进行的网络攻击和网络安全漏洞。同时,网络安全有助于确保授权用户能够安全、及时地访问他们所需的网络资源。本文从网络隔离、控制网络流量、对网络流量监控和分析、云上安全防护等方面介绍云服务器ECS如何保证用户的网络安全。
网络隔离,避免不必要的网络暴露
专有网络VPC实现网络隔离
ECS通过专有网络VPC实现网络隔离。专有网络是专有的云上私有网络,您可以根据自己的需求在云上创建多个专有网络,在专有网络中,您可以完全掌控自己的网络。专有网络提供了丰富的隔离能力:
在专有网络之间在逻辑上是彻底隔离的,相互之间默认无法通信。
专有网络内的ECS可以通过内网进行通信,这样就可以减少公网的暴露。
每个专业网络内可以建立多个交换机,这有利于网络和网段的划分,不同交换机之间也可以设置一些隔离。
更多信息,请参见专有网络和交换机概述和创建和管理专有网络。
交换机实现服务隔离
建议您针对不同的业务场景通过交换机设置网段划分,实现业务互相隔离。交换机是组成专有网络的基础网络设备,用来连接不同的云资源实例,每个专有网络下,您可以很方便地管理多个虚拟交换机,根据自己的需求进行创建、删除、配置虚拟交换机。交换机提供的安全能力有两点:
服务隔离,可以根据服务的安全等级、服务的类型进行网站的划分。
流量控制,专业网络提供了网络ACL的功能,网络ACL可以绑定到交换机上,对流经交换机的流量进行访问控制。
更多信息,请参见专有网络和交换机概述和创建和管理交换机。
PrivateLink私网连接ECS避免公网访问
私网连接(PrivateLink)能够实现专有网络VPC与ECS建立安全稳定的私有连接,您可以像在VPC中一样访问ECS,无需使用互联网网关、NAT设备、VPN,简化网络架构,实现私网访问服务,改善VPC的安保状况,避免通过非必要的公网访问服务带来的潜在安全风险。更多信息,请参见什么是私网连接。
控制网络流量,只放行必要的网络访问
使用网络ACL进行流量控制
ECS通过专有网络的网络ACL进行流量控制。网络ACL是专有网络中的网络访问控制功能,网络ACL可以绑定到交换机上。您可以自定义设置网络ACL规则,与交换机绑定的网络ACL规则控制流入和流出交换机的数据流,实现对交换机中云服务器ECS实例流量的访问控制。更多信息,请参见网络ACL概述和创建和管理网络ACL。
使用安全组对网卡流量进行控制
ECS通过安全组对网卡流量进行控制。安全组是一种网卡粒度的虚拟防火墙,能够控制ECS实例的出入站流量。安全组的入方向规则控制ECS实例的入站流量,出方向规则控制ECS实例的出站流量。更多信息,请参见安全组概述和安全组关联资源管理。
安全组按照类型划分为普通安全组和企业级安全组,两者均免费。在安全组容量、能否添加授权安全组的规则以及默认访问控制规则等方面有一定差异,适用于不同的使用场景。更多信息,请参见普通安全组与企业级安全组。
对网络流量监控和分析
ECS支持通过专有网络VPC的流日志和流量镜像对网络流量进行监控和分析,帮助您检查访问控制规则、监控网络流量和排查网络故障。
流日志监控网络流量
流日志可以记录专用网络中弹性网卡传入和传出的流量信息,帮助您检查访问控制规则,监控网络流量和排查网络故障。更多信息,请参见流日志。
流量镜像检测网络异常
流量镜像功能可以镜像经过弹性网卡且符合筛选条件的报文,例如您可以复制专用网络中ECS实例网络流量,并将复制后的网络流量转发给指定的弹性网卡或负载均衡CLB的设备,该功能可以用于内容检查、威胁监控和问题排查等场景。更多信息,请参见流量镜像。
云上安全防护
为了保障ECS实例的安全,阿里云支持多种安全产品进行安全防护,以应对可能的网络攻击,降低潜在的安全风险。以下安全产品可以与ECS配合使用,提升系统的安全性。
DDoS防护
云服务器ECS默认开启DDoS基础防护,DDoS防护旨在DDoS流量抵达ECS主机前进行清洗,可有效防止云服务器ECS实例受到恶意程序发起的DDoS攻击。更多信息,请参见DDoS基础防护。
云防火墙
云防火墙可针对您云上网络资产的互联网边界、VPC边界及主机边界实现三位一体的统一安全隔离管控。主机边界防火墙可以对ECS实例的入流量和出流量进行访问控制,限制ECS实例的未授权访问。更多信息,请参见配置主机边界访问控制策略。
Web应用防火墙
Web应用防火墙WAF可以对网站或者App的业务流量进行恶意特征识别及防护,避免网站服务器被恶意入侵导致性能异常等问题。WAF支持为ECS实例开启安全防护。将ECS实例接入WAF后,实例所有的Web业务流量将被指定网关牵引到WAF进行检测。WAF过滤Web应用攻击后,将正常的业务流量转发回ECS服务器。更多信息,请参见将ECS实例接入WAF。