使用虚拟私有云(VPC)实现网络隔离
虚拟私有云(VPC)是天翼云为用户提供的独立隔离虚拟网络环境,用户可完全掌控网络配置,是实现云上网络安全隔离的核心基础。VPC丰富的功能帮助您灵活管理云上网络,包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。此外,您还可以通过云专线、VPN等服务将VPC与传统的数据中心互联互通,灵活整合资源,构建混合云网络。创建在VPC中的云主机可以依赖VPC的能力实现网络隔离,主要包括:
每个VPC实例是一个二层隔离的网络,VPC内部内网互通。在不采用对等连接、云间高速等方式建立VPC与外部网络内网互通的情况下,不同VPC之间默认无法内网互通。VPC中的云主机互访通过内网地址互通,可以实现最大化与外部网络隔离。
VPC内可以创建多个子网,将VPC划分为多个网段。不同子网之间可以通过子网路由表对路由进行管理,控制流量路径。
更多信息,请参见 虚拟私有云产品定义和创建虚拟私有云VPC。
通过子网划分实现业务隔离
合理的子网规划是提升网络安全与管理效率的关键,通过按业务属性、安全等级划分子网,可实现精细化网络管控。
子网划分原则:按业务功能划分。将 Web 服务、应用服务、数据库服务分别部署在独立子网(如 Web 子网、应用子网、数据库子网),避免单一子网故障影响全业务。
按安全等级划分:将核心业务(如数据库、支付系统)部署在高安全等级子网,限制公网访问;将边缘服务(如负载均衡、CDN 节点)部署在低安全等级子网,作为业务对外访问入口,降低核心业务暴露风险。
预留地址空间:子网划分时预留 20% 左右的 IP 地址空间,为后续业务扩展与资源扩容提供支持,避免子网地址耗尽导致的网络调整成本。
子网级管控措施:
(1)路由控制:为不同子网关联独立路由表,例如,数据库子网路由表仅保留内网路由,禁止直接访问公网;
(2)Web 子网路由表配置指向 NAT 网关的默认路由,实现公网访问控制。
安全组与网络 ACL 的协同防护
安全组与网络 ACL 作为云上网络安全的核心防护手段,二者协同配合,形成多层次访问控制体系:
安全组是一种网络安全防护机制,用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙,用于限制入向和出向网络流量。安全组工作在网络层和传输层,它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后,用户可以在安全组中定义各种访问规则,当弹性云主机加入该安全组后,即受到这些访问规则的保护。
最小权限原则:建议安全组规则采用 “白名单” 机制,仅开放业务必需端口(如 Web 服务开放 80、443 端口),拒绝所有不必要的入方向流量。例如,数据库实例安全组仅允许应用实例所在安全组访问 3306 端口,禁止公网直接访问。更多信息请参考 安全组概述
网络ACL是一个子网级别的流量防护策略:用户可以自定义设置网络ACL规则,并将网络ACL与子网绑定,实现对子网中云服务器实例流量的访问控制。通过出方向/入方向规则控制出入子网的流量数据,可作为安全组的补充防护,在子网层面阻断异常流量。
防御外部攻击:可在网络 ACL 中配置规则,拦截常见攻击 IP 段或端口扫描行为,例如,拒绝来自已知恶意 IP 段的流量,减少实例被攻击风险。更多信息请参考网络ACL概述
协同防护建议:安全组与网络 ACL 配合使用,形成 “实例 - 子网” 双层防护。例如,Web 子网的网络 ACL 仅允许 80、443 端口公网流量进入,Web 实例安全组进一步限制仅允许负载均衡实例 IP 访问,双重保障 Web 服务安全。
使用VPC终端节点精细管理主机网络互通
VPC终端节点(VPC Endpoint),能够将VPC私密地连接到终端节点服务(云服务、用户私有服务),使VPC中的云资源无需弹性公网IP就能够访问同区域跨VPC的服务资源,为您提供更加灵活、安全的服务私网连接组网方式。更多信息,请参见 VPC终端节点产品定义。
