针对《等保2.0》要求的云上最佳实践——网络安全篇

原创

于 2021-04-21 11:02:08 发布 · 3k 阅读

10 ·

CC 4.0 BY-SA版权

文章标签：

#云安全 #运维 #负载均衡 #安全 #关系型数据库 #网络安全 #数据库 #数据安全/隐私保护 #网络虚拟化 #网络架构

本文基于等保2.0标准，重点介绍网络安全高危风险与防护措施，涵盖网络架构、通信传输、边界防护等内容，助力企业构建云上安全防御体系。

简介：伴随着国内企业上云步伐的加快，越来越多的企业需要对云上关键业务进行等级保护自查或完成相关认证。本文以《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》中所要求的三级标准为参考，重点关注其中所涉及的网络安全高危风险部分，为企业提供阿里云上有针对性的安全建设最佳实践，助力企业构建层次化的云上网络安全防御体系，保障核心业务的安全运行。

名词解释

区域（Region）

阿里云上的网络区域通常是以层次化的方式由外部向内部进行划分的，概括来说，通常会有三个层级的网络区域结构：

第一层级（物理区域）：地域与可用区

地域是指物理的数据中心。用户可以根据目标用户所在的地理位置选择地域。而可用区是指在同一地域内，电力和网络互相独立的物理区域。在同一地域内可用区与可用区之间内网互通，可用区之间能做到故障隔离。

地域与可用区的配置和运维由阿里云负责，对于最终用户而言，仅需要选择合适的地域或可用区部署资源，运行云上业务即可。

第二层级（逻辑网络区域）：虚拟专有网络VPC

虚拟专有网络VPC以虚拟化网络的方式提供给客户，是每个客户独有的云上私有网络区域。云租户可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等，也可以在自己定义的专有网络中使用阿里云资源，如云服务器、云数据库RDS版和负载均衡等。

对于客户而言，虚拟专有网络VPC是云上网络配置的第一步，也是真正意义上的云上组网的开始。

第三层级（VPC内部区域）：子网与资源边界

子网类似传统网络中的VLAN，是通过虚拟交换机（VSwitch）提供的，用来连接不同的云资源实例。而云资源则是通过虚拟网卡的方式进行网络互联，也是目前云上最小颗粒度的资源边界。

——三层网络架构参考图

边界

基于阿里云上三个层级的网络区域，自然也就形成了云上三道网络边界，也就是网络安全中常见的“层次化防御”的推荐架构：

第一边界：互联网边界（南北向流量）

云上业务如果对互联网开放，或是需要主动访问互联网，那流量必定会穿过阿里云与互联网的边界，也就是云上网络的第一道边界——互联网边界。对于该类流量，我们通常称之为南北向流量，针对这类流量的防护，在等保中有明确的要求。由于存在流量主动发起方的区别，防护的重点一般也会区分由外向内和由内向外的不同流量类型。

第二边界：VPC边界（东西向流量）

VPC是云上最重要的网络隔离单元，客户可以通过划分不同的VPC，将需要隔离的资源从网络层面分开。但同时，由于业务的需要，部分流量又可能需要在VPC间传输，或是通过诸如专线，VPN，云连接网等方式连接VPC，实现VPC间应用的互访。因此，如何实现跨VPC边界流量的防护，也是云上网络安全很重要的一环。

第三边界：云资源边界（微隔离流量）

由于VPC已经提供了很强的隔离属性，加上类似安全组的细颗粒度资源级管控能力，通常在VPC内部不建议再进行过于复杂的基于子网的隔离管控，通常会使用安全组在资源边界进行访问控制。如果客户需要更精细化的VPC内子网隔离，也可以使用网络ACL功能进行管控。

——云上三层网络边界示意图

从等级保护要求看云上网络防护重点

以下内容基于《等保2.0》中有关网络安全的相关要求展开，为客户提供阿里云上相关最佳实践。

等保类目：安全通信网络——网络架构

网络设备业务处理能力

防护要求：应保证网络设备的业务处理能力满足业务高峰期需要
最佳实践：

通常，对可用性要求较高的系统，网络设备的业务处理能力不足会导致服务中断，尤其对于传统IDC的网络架构和设备而言，由于无法快速水平扩展（物理架构限制），或是成本等相关原因，需要企业预留大量的网络资源，以满足业务高峰期的需要，但在日常使用过程中则会产生大量的浪费。对于这一点，上云就很好的解决了这个问题，无论是业务带宽的弹性伸缩，或是阿里云上诸如云防火墙等网络安全类设备的动态水平扩容能力，都能很好地解决传统网络和安全所存在的限制，并大大降低企业的日常网络运行成本。