针对《等保2.0》要求的云上最佳实践——网络安全篇

简介：伴随着国内企业上云步伐的加快，越来越多的企业需要对云上关键业务进行等级保护自查或完成相关认证。本文以《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》中所要求的三级标准为参考，重点关注其中所涉及的网络安全高危风险部分，为企业提供阿里云上有针对性的安全建设最佳实践，助力企业构建层次化的云上网络安全防御体系，保障核心业务的安全运行。

名词解释

区域（Region）

阿里云上的网络区域通常是以层次化的方式由外部向内部进行划分的，概括来说，通常会有三个层级的网络区域结构：

第一层级（物理区域）：地域与可用区

地域是指物理的数据中心。用户可以根据目标用户所在的地理位置选择地域。而可用区是指在同一地域内，电力和网络互相独立的物理区域。在同一地域内可用区与可用区之间内网互通，可用区之间能做到故障隔离。

地域与可用区的配置和运维由阿里云负责，对于最终用户而言，仅需要选择合适的地域或可用区部署资源，运行云上业务即可。

第二层级（逻辑网络区域）：虚拟专有网络VPC

虚拟专有网络VPC以虚拟化网络的方式提供给客户，是每个客户独有的云上私有网络区域。云租户可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等，也可以在自己定义的专有网络中使用阿里云资源，如云服务器、云数据库RDS版和负载均衡等。

对于客户而言，虚拟专有网络VPC是云上网络配置的第一步，也是真正意义上的云上组网的开始。

第三层级（VPC内部区域）：子网与资源边界

子网类似传统网络中的VLAN，是通过虚拟交换机（VSwitch）提供的，用来连接不同的云资源实例。而云资源则是通过虚拟网卡的方式进行网络互联，也是目前云上最小颗粒度的资源边界。

_——三层网络架构参考图
_

边界

基于阿里云上三个层级的网络区域，自然也就形成了云上三道网络边界，也就是网络安全中常见的“层次化防御”的推荐架构：

第一边界：互联网边界（南北向流量）

云上业务如果对互联网开放，或是需要主动访问互联网，那流量必定会穿过阿里云与互联网的边界，也就是云上网络的第一道边界——互联网边界。对于该类流量，我们通常称之为南北向流量，针对这类流量的防护，在等保中有明确的要求。由于存在流量主动发起方的区别，防护的重点一般也会区分由外向内和由内向外的不同流量类型。

第二边界：VPC边界（东西向流量）

VPC是云上最重要的网络隔离单元，客户可以通过划分不同的VPC，将需要隔离的资源从网络层面分开。但同时，由于业务的需要，部分流量又可能需要在VPC间传输，或是通过诸如专线，VPN，云连接网等方式连接VPC，实现VPC间应用的互访。因此，如何实现跨VPC边界流量的防护，也是云上网络安全很重要的一环。

第三边界：云资源边界（微隔离流量）

由于VPC已经提供了很强的隔离属性，加上类似安全组的细颗粒度资源级管控能力，通常在VPC内部不建议再进行过于复杂的基于子网的隔离管控，通常会使用安全组在资源边界进行访问控制。如果客户需要更精细化的VPC内子网隔离，也可以使用网络ACL功能进行管控。

——云上三层网络边界示意图

从等级保护要求看云上网络防护重点

以下内容基于《等保2.0》中有关网络安全的相关要求展开，为客户提供阿里云上相关最佳实践。

等保类目：安全通信网络——网络架构

网络设备业务处理能力

• 防护要求：应保证网络设备的业务处理能力满足业务高峰期需要
• 最佳实践：

通常，对可用性要求较高的系统，网络设备的业务处理能力不足会导致服务中断，尤其对于传统IDC的网络架构和设备而言，由于无法快速水平扩展（物理架构限制），或是成本等相关原因，需要企业预留大量的网络资源，以满足业务高峰期的需要，但在日常使用过程中则会产生大量的浪费。对于这一点，上云就很好的解决了这个问题，无论是业务带宽的弹性伸缩，或是阿里云上诸如云防火墙等网络安全类设备的动态水平扩容能力，都能很好地解决传统网络和安全所存在的限制，并大大降低企业的日常网络运行成本。

• 基础网络能力：虚拟专有网络VPC、弹性公网地址EIP、负载均衡SLB、网络地址转换NAT
• 扩展防护能力：云防火墙、云WAF、DDoS防护

网络区域划分

• 防护要求：应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址
• 最佳实践：

通常，对于云上的网络区域划分，建议客户以VPC为颗粒度规划，这是因为VPC能够根据实际需要配置IP地址段，同时又是云上的基础默认网络隔离域。对于VPC的划分，一般建议参考企业自身的组织架构，或是业务重要属性进行网络拆分。常见的划分方式有：

• • 按业务部门划分（例如To B业务、To C业务等）
  • 按传统网络分区划分（DMZ区域、内网区域等）
  • 按使用属性划分（例如生产环境、开发测试环境等）

等保中有明确指出需要企业根据重要程度进行网络区域划分，同时，在同一VPC内的子网间默认路由互通，因此一般建议客户以VPC为颗粒度实现网络分区。同时，由于部分业务的通信互联需要，VPC间能够通过云企业网（CEN）进行连通，在此基础上也建议客户使用阿里云防火墙的VPC隔离能力来实现VPC间的有效隔离。

• 基础防护能力：虚拟专有网络VPC、云企业网CEN、云防火墙
• 扩展网络能力：高速通道、虚拟边界路由器VBR

网络访问控制设备不可控

• 防护要求：应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
• 最佳实践：

云上网络的常见访问控制设备有云防火墙、安全组、以及子网ACL。

云防火墙覆盖互联网边界和VPC边界，主要管控互联网出和入向的南北向流量，以及跨VPC访问（包括专线）的流量控制；

安全组作用于主机边界，主要负责云资源边界的访问控制；

子网ACL主要实现对一个或多个VPC内部子网流量的访问控制，在有精细化访问管控要求时可以使用。

上述服务均提供给云上客户管理权限，能够根据实际业务需要灵活进行ACL配置。

• 推荐防护能力：云防火墙、安全组、网络ACL

互联网边界访问控制

• 防护要求：应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
• 最佳实践：

在传统IDC的网络规划中，通常会配置DMZ区用以隔离互联网和内网区域。在云端，同样可以通过设置DMZ VPC，来实现更高安全等级的网络分区，并结合云企业网的联通性搭配云防火墙的隔离能力，将重要的生产或内网区与互联网区分隔开，避免高风险区域内的潜在网络入侵影响企业的重要网络区域。

同时，对于互联网边界，企业需要重点关注南北向的流量防护，对于暴露在互联网上的网络资产，包括IP、端口、协议等信息，需要定期进行盘点，并配置针对性的访问控制规则，来实现互联网出入口的安全管控。

• 推荐防护能力：虚拟专有网络VPC、云企业网CEN、云防火墙

不同区域边界访问控制

• 防护要求：应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
• 最佳实践：

客户在上云初期，一般都会基于VPC进行网络区域的规划，对于不同区域的隔离与访问控制，阿里云提供了非常灵活的方式。通常，VPC之间默认无法通信，不同的VPC如果需要互相访问，可以通过高速通道实现点对点的通信，或是将多个VPC加入同一个云企业网（CEN）实现互通，后者对于客户的配置和使用更为友好，也是更推荐的方式。在此基础上，客户能够通过云防火墙提供的VPC边界访问控制，来对跨VPC的流量进行访问管控，过程中不需要客户手动更改路由，既简化了路由的配置，又能通过统一的方式实现安全隔离管控。

同时，对于通过专线（虚拟边界路由VBR）或VPN方式组建的混合云场景，或是管控来自办公网的云上访问，也能通过云防火墙在VPC边界，通过分布式的方式实现统一访问控制，保障核心区域内的资源访问可管可控。

• 推荐防护能力：虚拟专有网络VPC、云防火墙、安全组

关键线路、设备冗余

• 防护要求：应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。
• 最佳实践：

阿里云提供的各类网络和安全服务，在设计初期，首要考虑的就是如何实现高可用架构。无论是虚拟网络服务，诸如虚拟网络VPC、负载均衡SLB或NAT网关，还是安全类服务，如云防火墙、云WAF或DDoS防护，都在硬件层面实现了冗余，并通过集群的方式提供服务，满足客户云上关键业务对于网络安全可用性的要求。

与此同时，当客户在进行网络规划和配置的过程中，还是需要对高可用架构进行必要的设计，例如多可用区架构、专线的主备冗余等，实现更高等级的通信链路保障。

• 基础网络能力：参考各阿里云网络与安全产品高可用特性

等保类目：安全通信网络——通信传输

传输完整性保护

• 防护要求：应采用密码技术保证通信过程中数据的完整性。
• 最佳实践：

对于数据传输完整性要求较高的系统，阿里云建议在数据传输完成后，进行必要的校验，实现方式可采用消息鉴别码（MAC）或数字签名，确保数据在传输过程中未被恶意篡改。

• 推荐防护能力：客户业务实现

传输保密性保护

• 防护要求：应采用密码技术保证通信过程中数据的保密性。
• 最佳实践：

数据传输过程中的保密性保护，根据业务类型通常会分为通道类连接和网站类访问。

对于通道类连接，阿里云提供了VPN网关服务，帮助客户快速搭建加密通信链路，实现跨区域的互联。对于网站类的访问，阿里云联合了中国及中国以外地域的多家数字证书颁发机构，在阿里云平台上直接提供数字证书申请和部署服务，帮助客户以最小的成本将服务从HTTP转换成HTTPS，保护终端用户在网站访问过程中的通信安全。

• 推荐防护能力：VPN网关、SSL/TLS证书

等保类目：安全区域边界——边界防护

互联网边界访问控制

• 防护要求：应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信
• 最佳实践：

对于由互联网侧主动发起的访问，如果是网站类的业务，一般建议企业配置云WAF来进行有针对性的网站应用防护，并搭配云防火墙，实现全链路的访问控制；对于非网站类的入云业务流量，包括远程连接、文件共享、开放式数据库等，客户能够通过云防火墙在公网EIP维度进行有针对性的开放接口统计与防护。

对于由云内部主动发起的向互联网的外联，建议企业基于云防火墙提供的出云方向ACL，同样在EIP维度进行基于白名单的访问控制，将外联风险降到最低。

• 推荐防护能力：云防火墙、云WAF

网络访问控制设备不可控

• 防护要求：应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；
• 最佳实践：

参考【安全通信网络——网络架构】章节中的最佳实践，同时，部分云上PaaS服务也提供了类似的访问控制能力，如负载均衡SLB、对象存储OSS、数据库服务RDS，客户能够根据实际使用情况进行配置。

• 基础网络能力：参考各阿里云网络产品
• 推荐防护能力：云防火墙、安全组、云WAF、网络ACL

违规内联检查措施

• 防护要求：应能够对非授权设备私自连接到内部网络的行为进行检查或限制；
• 最佳实践：

客户在云上的内部网络，通常会部署内部应用服务器或数据库等重要数据资产。对于向内部网络发起连接的行为，一般会经由互联网（南北向）通道或专线及VPC（东西向）通道。

对于来自互联网的网络连接，一般建议客户在边界EIP上进行网络流量的检查。客户能够通过云防火墙提供的深度包检测（DPI）能力，分析来源IP和访问端口等信息，识别出潜在的异常连接行为，并通过配置有针对性的访问控制策略，实现违规流量的阻断。

对于东西向的流量，通常是由企业IDC或办公网发起的，尤其是办公网，除了能够在云下边界部署上网行为管理等服务外，也能够利用云防火墙提供的VPC边界管控能力，识别异常访问流量，并针对性的进行特定IP或端口的封禁。

• 推荐防护能力：云防火墙

违规外联检查措施

• 防护要求：应能够对内部用户非授权连接到外部网络的行为进行检查或限制；
• 最佳实践：

对于由内部网络主动向外部发起访问的行为，能够通过云防火墙提供的主动外连识别能力进行检测。对于所有跨边界的出云方向网络流量，云防火墙会分析流量的访问目标，结合阿里云威胁情报能力，一旦发现连接目的是恶意IP或域名，会立刻触发告警，提醒客户检查网络访问行为是否存在异常，并建议客户对确认为恶意的流量通过配置ACL的方式进行阻断。

同时阿里云安全中心通过在主机层面进行入侵检测，也能够发现违规的外联进程，并进行有针对性的阻断和告警提示，帮助客户进行恶意风险的溯源。

• 推荐防护能力：云防火墙、云安全中心

等保类目：安全区域边界——访问控制

互联网边界访问控制

• 防护要求：应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；
• 最佳实践：

“除允许通信外受控接口拒绝所有通信”，即网络安全中的“白名单”概念，需要客户配置类似如下的访问控制策略，实现网络暴露面的最小化：