阿里云致力于为您提供稳定、可靠、安全、合规的云计算服务,帮助您保护您系统及数据的机密性、完整性、可用性。本文介绍了专有网络VPC(Virtual Private Cloud)的安全体系、提供的安全能力和安全管控运作机制。
安全体系
专有网络原理
专有网络VPC是一个隔离的网络环境,专有网络之间逻辑上彻底隔离。基于目前主流的隧道技术,专有网络隔离了虚拟网络。每个VPC都有一个独立的隧道号,一个隧道号对应着一个虚拟化网络。
一个VPC内的ECS(Elastic Compute Service)实例之间的传输数据包都会加上隧道封装,带有唯一的隧道号标识,然后通过物理网络进行传输。
不同VPC内的ECS实例由于所在的隧道号不同,本身处于两个不同的路由平面,因此不同VPC内的ECS实例无法进行通信,天然地进行了隔离。
安全防护功能
专有网络VPC可以通过以下功能保障云服务的安全性和可靠性。
功能 | 描述 |
ECS安全组 | 安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域。通过配置安全组规则,您可以控制安全组内一台或多台ECS实例的入流量和出流量。详细信息,请参见安全组概述。 |
网络ACL | 网络ACL是VPC中的网络访问控制功能。您可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中ECS实例的流量的访问控制。详细信息,请参见网络ACL概述。 |
流日志 | 专有网络VPC提供流日志功能,可以记录VPC网络中弹性网卡ENI(Elastic Network Interface)传入和传出的流量信息,帮助您检查访问控制规则、监控网络流量和排查网络故障。详细信息,请参见流日志概述。 |
流量镜像 | VPC流量镜像功能可以镜像经过弹性网卡ENI且符合筛选条件的报文。通过流量镜像功能,您可以复制VPC中ECS实例的网络流量,然后将复制后的网络流量转发给指定的弹性网卡或私网传统型负载均衡CLB(Classic Load Balancer)实例,用于内容检查、威胁监控和问题排查等场景。详细信息,请参见流量镜像概述。 |
使用RAM权限策略
您可以通过RAM访问控制策略,对专有网络VPC的访问权限进行控制。
权限用来描述用户、用户组、角色对具体资源的访问能力,策略是具体授权的方法。您可以通过RAM权限策略,决定哪些用户或角色可以访问哪些资源,或执行哪些操作。
权限策略配置
您可以通过以下常用的权限策略对VPC的访问权限进行控制。关于VPC的权限定义,请参见授权信息(VPC)和授权信息(VPC对等连接)。
权限策略 | 描述 |
AliyunVPCFullAccess | 为RAM用户授予VPC的完全管理权限。 |
AliyunVPCReadOnlyAccess | 为RAM用户授予VPC的只读访问权限。 |
您可以为用户创建系统权限策略,当系统权限策略不能满足您的要求时,您可以创建自定义权限策略。关于如何创建自定义权限策略,请参见通过RAM对VPC进行权限管理。