阿里雲安全月專題頁鏈接:https://developer.aliyun.com/topic/securityapril
全球連接,立體防護
網絡安全的最大挑戰之一來自於不同地域的網絡之間的訪問,連接不同地域的阿里雲網絡產品,雲企業網(Cloud Enterprise Network)是承載在阿里雲提供的高性能、低延遲的私有全球網絡上的一張安全網絡。雲企業網可在不同地域VPC間,VPC與本地數據中心間搭建私網通信通道,通過自動路由分發及學習,提高網絡的快速收斂和跨網絡通信的質量和安全性,實現全網資源的互通,打造一張具有企業級規模和通信能力的互聯網絡。作爲企業連通的基礎組件,CEN在安全方面的建設尤爲突出,通過經典的訪問控制策略配合雲防火牆、Privatezone等雲服務,CEN爲企業提供立體的安全防護。
1.私網隔離
作爲雲上網絡,CEN首先打造的是私網互通。通過CEN組建而來的雲企業網是一張無需暴露公網入口的全私有網絡,大大減少了來自公網的攻擊面,極大降低了安全風險。此外,用戶可以定義嚴格的訪問控制策略,自定義放行和阻斷規則,並將訪問控制策略應用到實例上,實現可信通信。通過路由策略,不僅可以過濾路由信息,還可以修改路由屬性,從而定義雲上網絡互通能力,編排出豐富的路由控制能力。
2.加密傳輸
CEN的接入鏈路支持加密傳輸,以最大程度降低中間鏈路的風險。上雲網絡使用安全連接網關SAG和阿里雲接入點之間建立私有加密信道。通過嚴密的防重放攻擊和定期更新密鑰,確保用戶流量在公網傳輸路徑上不被篡改和監聽。在需要公網互通以及跨VPC的場景下,通過雲防火牆可以進行訪問控制,進行流量分析和事後審計。
3.防DNS劫持和域名污染
Privatezone私網域名解析:PrivateZone是基於阿里雲專有網絡VPC環境的私有DNS域名解析和管理服務。通過CEN訪問PrivateZone服務,可以避免業務DNS出現在公網上,防止DNS劫持和域名污染。
極致加速,極致安全
全球任意地域的客戶可以通過互聯網訪問同個服務,但不同客戶的訪問質量和體驗差異卻非常大,因爲互聯網中的訪問鏈路是不可控的:訪問要經多跳節點才能到達服務端,經過的節點不可控,甚至來回路徑都可能不一致。經過每個節點都可能會影響性能(時延、抖動),還可能會因爲擁塞、丟包而影響業務質量。
爲了解決上述問題,阿里雲洛神網絡推出全球加速,依託阿里巴巴優質BGP帶寬和全球傳輸網絡,實現全球網絡就近接入和跨地域部署,減少延遲、抖動、丟包等網絡問題對服務質量的影響,爲全球用戶提供高可用和高性能的網絡加速服務。
全球加速服務集合了調度和加速能力,提供了高質量、高性能、高可用、安全可靠和易部署的網絡加速服務。安全方面,通過集成DDoS高防和WAF安全防護,爲企業應用提供層次化安全防護。
1.聯動DDOS高防
全球加速自帶2~5G免費DDOS能力,通過聯動DDoS高防,可以實現高達幾百G DDoS防護能力。終端請求進入加速網絡前先進行DDoS流量清洗,保護互聯網應用服務持續可用,爲全球移動互聯網服務商提供一套高安全的跨地域加速方案。
2.聯動WAF防護
對於WEB類應用,全球加速聯動Web應用防火牆:通過聯動Web應用防火牆,基於雲安全大數據能力,爲全球Web應用服務商提供一套高安全的跨地域加速方案。
展望未來
未來如何賦能政府、企業用戶智能化網絡能力,將是非常關鍵的發展,也是未來網絡的突破。尤其是上了雲之後,整個網絡構建的服務和運作方式完全發生了變化,也就意味着原來很多網絡服務的工具、系統需要全部重構,但也代表着會帶來更多機會給網絡這個行業。如何透過智能化的網絡服務提升網絡服務效率,也是未來的一個重大趨勢。尤其在當前數字經濟深入發展的背景下,中國正逐步奠定全球數字經濟中心的地位,無論是中國企業出海或是跨國企業在中國開展業務,網絡作爲連通境內外各分支的基礎設施,成爲影響生產力的第一要素。最終將做到讓網絡更簡單,是阿里雲網絡的使命。