简介：随同着国内企业上云步调的放慢，越来越多的企业须要对云上要害业务进行等级爱护自查或实现相干认证。本文以《GB/T 22239-2019 信息安全技术 网络安全等级爱护根本要求》中所要求的三级规范为参考，重点关注其中所波及的网络安全高危危险局部，为企业提供阿里云上有针对性的平安建设最佳实际，助力企业构建层次化的云上网络安全进攻体系，保障外围业务的平安运行。

名词解释

区域（Region）

阿里云上的网络区域通常是以层次化的形式由内部向外部进行划分的，概括来说，通常会有三个层级的网络区域构造：

第一层级（物理区域）：地区与可用区

地区是指物理的数据中心。用户能够依据指标用户所在的地理位置抉择地区。而可用区是指在同一地区内，电力和网络相互独立的物理区域。在同一地区内可用区与可用区之间内网互通，可用区之间能做到故障隔离。

地区与可用区的配置和运维由阿里云负责，对于最终用户而言，仅须要抉择适合的地区或可用区部署资源，运行云上业务即可。

第二层级（逻辑网络区域）：虚构专有网络 VPC

虚构专有网络 VPC 以虚拟化网络的形式提供给客户，是每个客户独有的云上公有网络区域。云租户能够齐全掌控本人的专有网络，例如抉择 IP 地址范畴、配置路由表和网关等，也能够在本人定义的专有网络中应用阿里云资源，如云服务器、云数据库 RDS 版和负载平衡等。

对于客户而言，虚构专有网络 VPC 是云上网络配置的第一步，也是真正意义上的云上组网的开始。

第三层级（VPC 外部区域）：子网与资源边界

子网相似传统网络中的 VLAN，是通过虚构交换机（VSwitch）提供的，用来连贯不同的云资源实例。而云资源则是通过虚构网卡的形式进行网络互联，也是目前云上最小颗粒度的资源边界。

_——三层网络架构参考图
_

边界

基于阿里云上三个层级的网络区域，天然也就造成了云上三道网络边界，也就是网络安全中常见的“层次化进攻”的举荐架构：

第一边界：互联网边界（南北向流量）

云上业务如果对互联网凋谢，或是须要被动拜访互联网，那流量必定会穿过阿里云与互联网的边界，也就是云上网络的第一道边界——互联网边界。对于该类流量，咱们通常称之为南北向流量，针对这类流量的防护，在等保中有明确的要求。因为存在流量被动发起方的区别，防护的重点个别也会辨别由内向内和由外向外的不同流量类型。

第二边界：VPC 边界（东西向流量）

VPC 是云上最重要的网络隔离单元，客户能够通过划分不同的 VPC，将须要隔离的资源从网络层面离开。但同时，因为业务的须要，局部流量又可能须要在 VPC 间传输，或是通过诸如专线，VPN，云连贯网等形式连贯 VPC，实现 VPC 间利用的互访。因而，如何实现跨 VPC 边界流量的防护，也是云上网络安全很重要的一环。

第三边界：云资源边界（微隔离流量）

因为 VPC 曾经提供了很强的隔离属性，加上相似平安组的细颗粒度资源级管控能力，通常在 VPC 外部不倡议再进行过于简单的基于子网的隔离管控，通常会应用平安组在资源边界进行访问控制。如果客户须要更精细化的 VPC 内子网隔离，也能够应用网络 ACL 性能进行管控。

——云上三层网络边界示意图

从等级爱护要求看云上网络防护重点

以下内容基于《等保 2.0》中无关网络安全的相干要求开展，为客户提供阿里云上相干最佳实际。

等保类目：平安通信网络——网络架构

网络设备业务解决能力

• 防护要求：应保障网络设备的业务解决能力满足业务高峰期须要
• 最佳实际：

通常，对可用性要求较高的零碎，网络设备的业务解决能力有余会导致服务中断，尤其对于传统 IDC 的网络架构和设施而言，因为无奈疾速程度扩大（物理架构限度），或是老本等相干起因，须要企业预留大量的网络资源，以满足业务高峰期的须要，但在日常应用过程中则会产生大量的节约。对于这一点，上云就很好的解决了这个问题，无论是业务带宽的弹性伸缩，或是阿里云上诸如云防火墙等网络安全类设施的动静程度扩容能力，都能很好地解决传统网络和平安所存在的限度，并大大降低企业的日常网络运行老本。

• 根底网络能力：虚构专有网络 VPC、弹性公网地址 EIP、负载平衡 SLB、网络地址转换 NAT
• 扩大防护能力：云防火墙、云 WAF、DDoS 防护

网络区域划分

• 防护要求：应划分不同的网络区域，并依照方便管理和管制的准则为各网络区域调配地址
• 最 佳实际：

通常，对于云上的网络区域划分，倡议客户以 VPC 为颗粒度布局，这是因为 VPC 可能依据理论须要配置 IP 地址段，同时又是云上的根底默认网络隔离域。对于 VPC 的划分，个别倡议参考企业本身的组织架构，或是业务重要属性进行网络拆分。常见的划分形式有：

• • 按业务部门划分（例如 To B 业务、To C 业务等）
  • 按传统网络分区划分（DMZ 区域、内网区域等）
  • 按应用属性划分（例如生产环境、开发测试环境等）

等保中有明确指出须要企业依据重要水平进行网络区域划分，同时，在同一 VPC 内的子网间默认路由互通，因而个别倡议客户以 VPC 为颗粒度实现网络分区。同时，因为局部业务的通信互联须要，VPC 间可能通过云企业网（CEN）进行连通，在此基础上也倡议客户应用阿里云防火墙的 VPC 隔离能力来实现 VPC 间的无效隔离。

• 根底防护能力：虚构专有网络 VPC、云企业网 CEN、云防火墙
• 扩大网络能力：高速通道、虚构边界路由器 VBR

网络访问控制设施不可控

• 防护要求：应防止将重要网络区域部署在边界处，重要网络区域与其余网络区域之间应采取牢靠的技术隔离伎俩
• 最佳实际：

云上网络的常见访问控制设施有云防火墙、平安组、以及子网 ACL。

云防火墙笼罩互联网边界和 VPC 边界，次要管控互联网出和入向的南北向流量，以及跨 VPC 拜访（包含专线）的流量管制；

平安组作用于主机边界，次要负责云资源边界的访问控制；

子网 ACL 次要实现对一个或多个 VPC 外部子网流量的访问控制，在有精细化拜访管控要求时能够应用。

上述服务均提供给云上客户管理权限，可能依据理论业务须要灵便进行 ACL 配置。

• 举荐防护能力：云防火墙、平安组、网络 ACL

互联网边界访问控制

• 防护要求：应防止将重要网络区域部署在边界处，重要网络区域与其余网络区域之间应采取牢靠的技术隔离伎俩。
• 最佳实际：

在传统 IDC 的网络布局中，通常会配置 DMZ 区用以隔离互联网和内网区域。在云端，同样能够通过设置 DMZ VPC，来实现更高安全等级的网络分区，并联合云企业网的联通性搭配云防火墙的隔离能力，将重要的生产或内网区与互联网辨别隔开，防止高风险区域内的潜在网络入侵影响企业的重要网络区域。

同时，对于互联网边界，企业须要重点关注南北向的流量防护，对于裸露在互联网上的网络资产，包含 IP、端口、协定等信息，须要定期进行盘点，并配置针对性的访问控制规定，来实现互联网出入口的平安管控。

• 举荐 防护能力：虚构专有网络 VPC、云企业网 CEN、云防火墙

不同区域边界访问控制

• 防护要求：应防止将重要网络区域部署在边界处，重要网络区域与其余网络区域之间应采取牢靠的技术隔离伎俩。
• 最佳实际：

客户在上云初期，个别都会基于 VPC 进行网络区域的布局，对于不同区域的隔离与访问控制，阿里云提供了非常灵活的形式。通常，VPC 之间默认无奈通信，不同的 VPC 如果须要相互拜访，能够通过高速通道实现点对点的通信，或是将多个 VPC 退出同一个云企业网（CEN）实现互通，后者对于客户的配置和应用更为敌对，也是更举荐的形式。在此基础上，客户可能通过云防火墙提供的 VPC 边界访问控制，来对跨 VPC 的流量进行拜访管控，过程中不须要客户手动更改路由，既简化了路由的配置，又能通过对立的形式实现平安隔离管控。

同时，对于通过专线（虚构边界路由 VBR）或 VPN 形式组建的混合云场景，或是管控来自办公网的云上拜访，也能通过云防火墙在 VPC 边界，通过分布式的形式实现对立访问控制，保障外围区域内的资源拜访可管可控。

• 举荐防护能力：虚构专有网络 VPC、云防火墙、平安组

要害线路、设施冗余

• 防护要求：应提供通信线路、要害网络设备和要害计算设施的硬件冗余，保证系统的可用性。
• 最佳实际：

阿里云提供的各类网络和平安服务，在设计初期，首要思考的就是如何实现高可用架构。无论是虚构网络服务，诸如虚构网络 VPC、负载平衡 SLB 或 NAT 网关，还是安全类服务，如云防火墙、云 WAF 或 DDoS 防护，都在硬件层面实现了冗余，并通过集群的形式提供服务，满足客户云上要害业务对于网络安全可用性的要求。

与此同时，当客户在进行网络布局和配置的过程中，还是须要对高可用架构进行必要的设计，例如多可用区架构、专线的主备冗余等，实现更高等级的通信链路保障。

• 根底网络能力：参考各阿里云网络与平安产品高可用个性

等保类目：平安通信网络——通信传输

传输完整性爱护

• 防护要求：应采纳明码技术保障通信过程中数据的完整性。
• 最佳实际：

对于数据传输完整性要求较高的零碎，阿里云倡议在数据传输实现后，进行必要的校验，实现形式可采纳音讯甄别码（MAC）或数字签名，确保数据在传输过程中未被歹意篡改。

• 举荐防护能力：客户业务实现

传输保密性爱护

• 防护要求：应采纳明码技术保障通信过程中数据的保密性。
• 最佳实际：

数据传输过程中的保密性爱护，依据业务类型通常会分为通道类连贯和网站类拜访。

对于通道类连贯，阿里云提供了 VPN 网关服务，帮忙客户疾速搭建加密通信链路，实现跨区域的互联。对于网站类的拜访，阿里云联结了中国及中国以外地区的多家数字证书颁发机构，在阿里云平台上间接提供数字证书申请和部署服务，帮忙客户以最小的老本将服务从 HTTP 转换成 HTTPS，爱护终端用户在网站拜访过程中的通信安全。

• 举荐防护能力：VPN 网关、SSL/TLS 证书

等保类目：平安区域边界——边界防护

互联网边界访问控制

• 防护要求：应保障逾越边界的拜访和数据流通过边界设施提供的受控接口进行通信
• 最佳实际：

对于由互联网侧被动发动的拜访，如果是网站类的业务，个别倡议企业配置云 WAF 来进行有针对性的网站利用防护，并搭配云防火墙，实现全链路的访问控制；对于非网站类的入云业务流量，包含近程连贯、文件共享、开放式数据库等，客户可能通过云防火墙在公网 EIP 维度进行有针对性的凋谢接口统计与防护。

对于由云外部被动发动的向互联网的外联，倡议企业基于云防火墙提供的出云方向 ACL，同样在 EIP 维度进行基于白名单的访问控制，将外联危险降到最低。

• 举荐防护能力：云防火墙、云 WAF

网络访问控制设施不可控

• 防护要求：应保障逾越边界的拜访和数据流通过边界设施提供的受控接口进行通信；
• 最佳实际：

参考 【平安通信网络——网络架构】 章节中的最佳实际，同时，局部云上 PaaS 服务也提供了相似的访问控制能力，如负载平衡 SLB、对象存储 OSS、数据库服务 RDS，客户可能依据理论应用状况进行配置。

• 根底网络能力：参考各阿里云网络产品
• 举荐防护能力：云防火墙、平安组、云 WAF、网络 ACL

违规内联查看措施

• 防护要求：应可能对非受权设施擅自连贯到外部网络的行为进行查看或限度；
• 最佳实际：

客户在云上的外部网络，通常会部署外部应用服务器或数据库等重要数据资产。对于向外部网络发动连贯的行为，个别会经由互联网（南北向）通道或专线及 VPC（东西向）通道。

对于来自互联网的网络连接，个别倡议客户在边界 EIP 上进行网络流量的查看。客户可能通过云防火墙提供的深度包检测（DPI）能力，剖析起源 IP 和拜访端口等信息，辨认出潜在的异样连贯行为，并通过配置有针对性的拜访控制策略，实现违规流量的阻断。

对于东西向的流量，通常是由企业 IDC 或办公网发动的，尤其是办公网，除了可能在云下边界部署上网行为治理等服务外，也可能利用云防火墙提供的 VPC 边界管控能力，辨认异样拜访流量，并针对性的进行特定 IP 或端口的封禁。

• 举荐防护能力：云防火墙

违规外联查看措施

• 防护要求：应可能对外部用户非受权连贯到内部网络的行为进行查看或限度；
• 最佳实际：

对于由外部网络被动向内部发动拜访的行为，可能通过云防火墙提供的被动外连辨认能力进行检测。对于所有跨边界的出云方向网络流量，云防火墙会剖析流量的拜访指标，联合阿里云威逼情报能力，一旦发现连贯目标是歹意 IP 或域名，会立即触发告警，揭示客户查看网络拜访行为是否存在异样，并倡议客户对确认为歹意的流量通过配置 ACL 的形式进行阻断。

同时阿里云平安核心通过在主机层面进行入侵检测，也可能发现违规的外联过程，并进行有针对性的阻断和告警提醒，帮忙客户进行歹意危险的溯源。

• 举荐防护能力：云防火墙、云平安核心

等保类目：平安区域边界——访问控制

互联网边界访问控制

• 防护要求：应在网络边界或区域之间依据拜访控制策略设置访问控制规定，默认状况下除容许通信外受控接口回绝所有通信；
• 最佳实际：

“除容许通信外受控接口回绝所有通信”，即网络安全中的“白名单”概念，须要客户配置相似如下的拜访控制策略，实现网络裸露面的最小化：

无论是互联网边界，或是 VPC 区域边界，都能够通过阿里云防火墙实现上述访问控制的配置和治理。阿里云防火墙作为云原生 SaaS 化防火墙，与传统防火墙不同，在客户开启过程中，不须要客户进行任何网络架构的调整，并且拜访策略会优先保障客户在线业务的失常运行。在日常应用过程中，倡议客户依据理论业务流量，通过配置“察看”行为类型的规定，在不中断业务的前提下进行流量剖析，逐步完善并增加相应的“容许”类访问控制规定，最终实现默认“回绝”规定的上线，在业务平滑过渡的过程中实现边界拜访的收口；而对于新上云的客户，则倡议在初期就配置访问控制“白名单”规定，增强网络安全管控。

* 举荐防护能力：云防火墙

## 等保类目：平安区域边界——入侵防备

### 内部网络攻击进攻

* 防护要求：应在要害网络节点处检测、避免或限度从内部发动的网络攻击行为；
* 最佳实际：

云上常见的网络攻击，依据攻打类型和所需防护的资产，个别分为网络入侵行为、针对网站的攻打和海量分布式攻打（DDoS 攻打）。

对于云上裸露资产的入侵检测和进攻，阿里云防火墙通过提供网络入侵检测和进攻（IDPS）能力，帮忙客户在互联网边界和 VPC 边界防备歹意内部入侵行为，并通过提供虚构补丁的形式，为云上客户在网络边界实现针对近程可利用破绽的虚拟化进攻，帮忙客户晋升整体网络安全进攻程度和应急响应能力。

而对于在云上发展网站类业务的客户，阿里云提供了 Web 利用防火墙的防护能力，对网站或者 APP 的业务流量进行歹意特色辨认及防护，防止网站服务器被歹意入侵，保障业务的外围数据安全，解决因歹意攻打导致的服务器性能异样问题。

针对 DDoS 攻打，阿里云为云上客户提供了 DDoS 防护的能力，在企业蒙受 DDoS 攻打导致服务不可用的状况下，应用阿里云寰球 DDoS 荡涤网络，通过秒级检测与 AI 零碎，帮忙云上客户缓解攻打，保障业务稳固运行。

* 举荐防护能力：云防火墙、云 WAF、DDoS 防护

### 外部网络攻击进攻

* 防护要求：应在要害网络节点处检测、避免或限度从外部发动的网络攻击行为；
* 最佳实际：

对于外部发动的网络攻击行为，如果产生在云端，个别是因为云资源曾经被胜利入侵导致。此时，除了应用阿里云平安核心进行资源（例如主机或容器）维度的应急响应和进攻外，同时可能应用云防火墙，加固不同 VPC 区域之间的平安隔离，并在容许的通信链路上对网络流量进行继续的网络入侵检测进攻（IPS），将网络攻击的影响范畴降到最小，限度网络攻击行为，同时便于前期进行调查取证和攻打剖析。

* 举荐防护能力：云防火墙、云平安核心

## 等保类目：平安区域边界——恶意代码和垃圾邮件防备

### 恶意代码防范措施

* 防护要求：应在要害网络节点处对恶意代码进行检测和革除，并保护恶意代码防护机制的降级和更新
* 最佳实际：

对于阿里云上的恶意代码防护，通常倡议客户在资源层面通过云平安核心实现防护，同时利用云防火墙在网络层面进行协同进攻，并在网站资源上利用云 WAF 进行防护。

云平安核心目前反对蠕虫病毒、勒索病毒、木马、网站后门等恶意代码的检测和隔离革除，并定期降级相干恶意代码规定库;

针对挖矿蠕虫（例如对 SSH/RDP 等进行暴力破解）攻打，云防火墙通过提供入侵检测和防御能力，对恶意代码和相干行为进行检测并告警；针对高危可近程利用破绽，云防火墙利用阿里云平安在云上攻防反抗中积攒的大量歹意攻打样本，针对性地生成精准的进攻规定，并在后盾实现自动化的规定降级和更新，帮忙客户以无感的形式一直晋升整体平安防护能力。

云上网站在接入 Web 利用防火墙后，防护引擎会主动为网站进攻 SQL 注入、XSS 跨站、Webshell 上传、命令注入、后门隔离、非法文件申请、门路穿梭、常见利用破绽攻打等 Web 攻打，实现对云上网站的歹意行为检测和防护。

* 举荐防护能力：云平安核心、云防火墙、云 WAF

## 等保类目：平安区域边界——平安审计

### 网络安全审计措施

* 防护要求：应在网络边界、重要网络节点进行平安审计，审计笼罩到每个用户，对重要的用户行为和重要安全事件进行审计；
* 最佳实际：

通常倡议客户在互联网边界和 VPC 区域边界通过启用阿里云防火墙，实现对全网络边界的流量平安审计，并在产生安全事件时，可能通过网络日志疾速定位异样流量和进行网络溯源。目前云防火墙提供了三类审计日志：

流量日志：通过互联网边界和 VPC 边界的流量日志记录，包含拜访流量开始和完结的工夫、源 IP 和目标 IP、利用类型、源端口、利用、反对的协定、动作状态、字节数以及报文数等信息；
* 事件日志：通过互联网边界和 VPC 边界且命中了平安检测规定的流量记录，是流量日志的子集，包含事件的工夫、威逼类型、源 IP 和目标 IP、利用类型、严重性等级以及动作状态等信息；

* 操作日志：记录云防火墙中的所有用户操作行为，包含操作的用户账号、执行的工夫、操作类型、严重性以及具体操作信息。

同时阿里云针对网络日志提供了弱小的剖析能力，帮忙客户不仅在平安维度发现异常流量，还可能在运维层面提供弱小的数据撑持，统计网络流量行为，剖析并优化网络应用和老本，晋升整体网络运行效率。

对于网站类业务，阿里云 WAF 也提供了日志服务，可能近实时地收集并存储网站拜访日志和攻打防护日志，帮助客户进行深入分析、以可视化的形式进行展现、并依据所设定的阈值实现监控报警。

云防火墙和云 WAF 的日志留存均基于日志服务 SLS，可能提供 6 个月的留存时长，并通过 SLS 提供的能力进行剖析、统计报表、对接上游计算与提供日志投递等能力，实现灵便的日志剖析和治理。

* 举荐防护能力：云防火墙、云 WAF

## 等保类别：平安区域边界——集中管控

### 安全事件发现处理措施

* 防护要求：应能对网络中产生的各类安全事件进行辨认、报警和剖析；
* 最佳实际：

对于云上常见的内外部网络攻击，能够参考【平安区域边界——入侵防备】章节中的相干内容。目前针对不同类型的网络攻击，阿里云都提供了对应的防护能力，从 DDoS 类的攻打，网络入侵行为的检测和告警，到针对网站的歹意行为辨认和剖析，都能够通过阿里云相干平安产品，实现有针对性的防护。

* 举荐防护能力：云防火墙、云 WAF、DDoS 防护

## 等保类目：平安运维治理——网络和零碎运维治理

### 运维外联的管控

* 防护要求：应保障所有与内部的连贯均失去受权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为
* 最佳实际：

对于办公环境的外联行为，倡议客户依据理论状况抉择针对性的防护伎俩。当客户应用阿里云上资源发展日常运维工作时（例如应用堡垒机进行云上环境运维），对于云上资源的外访，倡议客户通过云防火墙进行被动外连行为的检测，及时发现歹意的外连行为，进行针对性的封禁。具体最佳实际能够参考【平安区域边界——边界防护】中的违规外联查看措施局部，实现针对性的管控。

* 举荐防护能力：云防火墙

*

# 总结

网络安全等级爱护在 2019 年曾经从 1.0 降级为 2.0，是我国网络安全畛域的基本国策。针对云上网络安全，等保 2.0 在欠缺网络架构和访问控制的根底上，也对网络入侵进攻和平安审计提出了更高的要求。通过本最佳实际，心愿可能在企业建设云上网络安全进攻体系的过程中，供企业参考，以更全面的视角对待网络安全，实现更无效的防护。

*

# 附录

《等保 2.0》网络安全高危危险与应答倡议汇总

> 版权申明：本文内容由阿里云实名注册用户自发奉献，版权归原作者所有，阿里云开发者社区不领有其著作权，亦不承当相应法律责任。具体规定请查看《阿里云开发者社区用户服务协定》和《阿里云开发者社区知识产权爱护指引》。如果您发现本社区中有涉嫌剽窃的内容，填写侵权投诉表单进行举报，一经查实，本社区将立即删除涉嫌侵权内容。