网络安全

本指南旨在帮助用户全面了解阿里云风险识别产品的网络安全特性,为用户实施安全配置和管理提供专业指导,也为构建安全可靠的云上环境提供了完整的解决方案框架。

网络隔离机制

VPC集成及网络隔离支持

阿里云风险识别产品已深度集成专有网络VPC(Virtual Private Cloud),通过隧道技术实现数据链路层的隔离,为每个用户提供独立的虚拟安全网络环境。

  • 默认网络隔离:产品默认部署在用户专属的VPC环境中,确保与其他租户的网络完全隔离。

  • 用户自定义控制:用户可通过配置网络ACL和安全组规则,灵活定义进出流量的访问策略,实现更细粒度的网络隔离。

内外网连通机制

产品采用严格的网络访问控制策略,优先保障内网通信的安全性:

内网访问优先

  • 产品默认仅开放内网访问地址,确保服务调用在用户私有网络内完成,避免公网暴露带来的安全风险。

  • 对于必须通过公网访问的场景,需用户显式申请并配置特定的访问控制策略。

公网访问限制

  • 当用户确实需要开启公网访问时,系统支持设置IP白名单、访问频率限制等多重防护措施。

  • 支持通过API网关进行流量转发,确保公网访问经过严格的身份认证和访问控制。

安全传输保障

传输加密机制

所有网络流量均通过安全加密通道传输:

  • TLS协议加密:采用TLS 1.2及以上版本对传输数据进行加密,确保数据在传输过程中的机密性和完整性。

  • VPN隧道保护:支持通过IPSec VPNSSL VPN建立安全隧道,为远程访问提供额外的安全保障。

数据完整性校验

  • 在传输过程中实施数据完整性校验机制,防止数据被篡改或伪造。

  • 支持数字签名验证,确保数据来源的可靠性和真实性。

网络防御能力

防火墙防护体系

产品集成了多层次的防火墙防护机制:

云防火墙

  • 提供主动外联流量分析和失陷感知检测功能,实时监控异常流量行为。

  • 支持与主机安全联动,形成完整的漏洞响应闭环防护。

Web应用防火墙

  • 针对Web应用提供专业的防护能力,有效抵御SQL注入、XSS攻击等常见威胁。

  • 实现Bot安全管理,防范自动化攻击工具的恶意访问。

DDoS防护

  • 集成DDoS原生防护能力,可抵御高达T级的流量攻击。

  • 支持自动化的攻击检测和流量清洗,确保业务持续可用。

访问控制策略

细粒度访问控制

  • 基于RAM权限管理体系,支持针对不同资源、API接口进行精细化授权。

  • 支持基于标签的访问控制策略,实现更灵活的权限管理。

网络访问审计

  • 记录所有网络访问日志,支持详细的流量审计和溯源分析。

  • 提供可视化的访问统计报表,帮助用户及时发现潜在的安全风险。

可靠性保障

多可用区部署

  • 采用多可用区架构设计,确保服务的高可用性和容灾能力。

  • 支持跨地域的容灾备份,保障业务连续性。

网络健康监测

  • 实时监控网络连通性和服务质量,自动检测并处理网络异常。

  • 提供网络性能指标监控,帮助用户优化网络配置。

通过以上多层次的安全防护措施,阿里云风险识别产品确保了网络流量的安全性和可靠性,满足企业对于网络安全的严苛要求。