網絡安全可防止未經授權訪問網絡資源,并檢測和阻止正在進行的網絡攻擊和網絡安全漏洞。同時,網絡安全有助于確保授權用戶能夠安全、及時地訪問他們所需的網絡資源。本文從網絡隔離、控制網絡流量、對網絡流量監控和分析、云上安全防護等方面介紹云服務器ECS如何保證用戶的網絡安全。
網絡隔離,避免不必要的網絡暴露
專有網絡VPC實現網絡隔離
ECS通過專有網絡VPC實現網絡隔離。專有網絡是專有的云上私有網絡,您可以根據自己的需求在云上創建多個專有網絡,在專有網絡中,您可以完全掌控自己的網絡。專有網絡提供了豐富的隔離能力:
在專有網絡之間在邏輯上是徹底隔離的,相互之間默認無法通信。
專有網絡內的ECS可以通過內網進行通信,這樣就可以減少公網的暴露。
每個專業網絡內可以建立多個交換機,這有利于網絡和網段的劃分,不同交換機之間也可以設置一些隔離。
更多信息,請參見專有網絡和交換機概述和創建和管理專有網絡。
交換機實現服務隔離
建議您針對不同的業務場景通過交換機設置網段劃分,實現業務互相隔離。交換機是組成專有網絡的基礎網絡設備,用來連接不同的云資源實例,每個專有網絡下,您可以很方便地管理多個虛擬交換機,根據自己的需求進行創建、刪除、配置虛擬交換機。交換機提供的安全能力有兩點:
服務隔離,可以根據服務的安全等級、服務的類型進行網站的劃分。
流量控制,專業網絡提供了網絡ACL的功能,網絡ACL可以綁定到交換機上,對流經交換機的流量進行訪問控制。
更多信息,請參見專有網絡和交換機概述和創建和管理交換機。
PrivateLink私網連接ECS避免公網訪問
私網連接(PrivateLink)能夠實現專有網絡VPC與ECS建立安全穩定的私有連接,您可以像在VPC中一樣訪問ECS,無需使用互聯網網關、NAT設備、VPN,簡化網絡架構,實現私網訪問服務,改善VPC的安保狀況,避免通過非必要的公網訪問服務帶來的潛在安全風險。更多信息,請參見什么是私網連接。
控制網絡流量,只放行必要的網絡訪問
使用網絡ACL進行流量控制
ECS通過專有網絡的網絡ACL進行流量控制。網絡ACL是專有網絡中的網絡訪問控制功能,網絡ACL可以綁定到交換機上。您可以自定義設置網絡ACL規則,與交換機綁定的網絡ACL規則控制流入和流出交換機的數據流,實現對交換機中云服務器ECS實例流量的訪問控制。更多信息,請參見網絡ACL概述和創建和管理網絡ACL。
使用安全組對網卡流量進行控制
ECS通過安全組對網卡流量進行控制。安全組是一種網卡粒度的虛擬防火墻,能夠控制ECS實例的出入站流量。安全組的入方向規則控制ECS實例的入站流量,出方向規則控制ECS實例的出站流量。更多信息,請參見安全組概述和安全組關聯資源管理。
安全組按照類型劃分為普通安全組和企業級安全組,兩者均免費。在安全組容量、能否添加授權安全組的規則以及默認訪問控制規則等方面有一定差異,適用于不同的使用場景。更多信息,請參見普通安全組與企業級安全組。
對網絡流量監控和分析
ECS支持通過專有網絡VPC的流日志和流量鏡像對網絡流量進行監控和分析,幫助您檢查訪問控制規則、監控網絡流量和排查網絡故障。
流日志監控網絡流量
流日志可以記錄專用網絡中彈性網卡傳入和傳出的流量信息,幫助您檢查訪問控制規則,監控網絡流量和排查網絡故障。更多信息,請參見流日志。
流量鏡像檢測網絡異常
流量鏡像功能可以鏡像經過彈性網卡且符合篩選條件的報文,例如您可以復制專用網絡中ECS實例網絡流量,并將復制后的網絡流量轉發給指定的彈性網卡或負載均衡CLB的設備,該功能可以用于內容檢查、威脅監控和問題排查等場景。更多信息,請參見流量鏡像。
云上安全防護
為了保障ECS實例的安全,阿里云支持多種安全產品進行安全防護,以應對可能的網絡攻擊,降低潛在的安全風險。以下安全產品可以與ECS配合使用,提升系統的安全性。
DDoS防護
云服務器ECS默認開啟DDoS基礎防護,DDoS防護旨在DDoS流量抵達ECS主機前進行清洗,可有效防止云服務器ECS實例受到惡意程序發起的DDoS攻擊。更多信息,請參見DDoS基礎防護。
云防火墻
云防火墻可針對您云上網絡資產的互聯網邊界、VPC邊界及主機邊界實現三位一體的統一安全隔離管控。主機邊界防火墻可以對ECS實例的入流量和出流量進行訪問控制,限制ECS實例的未授權訪問。更多信息,請參見配置主機邊界訪問控制策略。
Web應用防火墻
Web應用防火墻WAF可以對網站或者App的業務流量進行惡意特征識別及防護,避免網站服務器被惡意入侵導致性能異常等問題。WAF支持為ECS實例開啟安全防護。將ECS實例接入WAF后,實例所有的Web業務流量將被指定網關牽引到WAF進行檢測。WAF過濾Web應用攻擊后,將正常的業務流量轉發回ECS服務器。更多信息,請參見將ECS實例接入WAF。