站务联系
阿里云安全月专题页链接:
云网一体的全球安全网路
阿里云云网一体的安全网路由房东级安全、云服务级安全、基础设施安全三层结构组成。
全球连结,立体防护
网络安全的最大挑战之一来自于不同地域的网路之间的访问,连接不同地域的阿里云网路产品,云企业网(Cloud Enterprise Network)是承载在阿里云提供的高性能、低推迟的私有全球网路上的一张安全网路。云企业网可在不同地域VPC间,VPC与本地数据中心间搭建私网通讯通道,通过手动路由分发及学习,提高网路的迅速收敛跟跨网路通讯的品质跟安全性,实现全网资源的互通,打造一张具备企业级规模跟通讯能力的互联网路。作为企业连通的基础组件,CEN在安全方面的建设尤为突出,通过精典的访问控制策略配合云防火墙、Privatezone等云服务,CEN为企业提供立体的安全防护。
私网隔离
作为云上网路,CEN首先构建的是私网互通。通过CEN成立而至的云企业网是一张无需显露网段入口的全私有网路,大大提高了来自外网的防御面,极大增加了安全风险。此外,用户可以定义严苛的访问控制策略,自定义放行跟阻断规则,并将访问控制策略应用至例子上,实现可信通讯。通过路由策略,不仅可以过滤路由信息,还可以更改路由属性,从而定义云上网路互通能力,编排出丰富的路由控制能力。
加密传输
CEN的接入链路支持加密传输,以最大程度减少后边链路的风险。上云网路使用安全连结网段SAG跟阿里云接入点之间构建私有加密信道。通过严密的防重放防御跟定期更新秘钥,确保用户流量在外网传输路径上不被歪曲跟窃听。在还要网段互通以及跨VPC的场景下,通过云防火墙可以进行访问控制,进行流量剖析跟事后审计。
防DNS劫持跟域名污染
Privatezone私网域名解析:PrivateZone是基于阿里云专有网路VPC环境的私有DNS域名解析跟管理服务。通过CEN访问PrivateZone服务阿里云网络,可以避免业务DNS出现在公网上,防止DNS劫持跟域名污染。
极致加快,极致安全
全球任意地域的顾客可以通过互联网访问同个服务,但不同顾客的访问品质跟感受差距竟特别大,因为互联网中的访问链路是不可控的:访问要经多跳节点能够抵达服务端,经过的节点不可控,甚至来回路径都或许不一致。经过每位节点都可能会影响功耗(时延、抖动),还可能会由于串扰、丢包而影响业务品质。
为了解决上述问题,阿里云洛神网路推出全球加快,依托阿里巴巴优质BGP码率跟全球传输网路,实现全球网路就近接入跟跨地域布署,减少推迟、抖动、丢包等网路问题对服务品质的影响,为全球用户提供高可用跟高性能的网路加快服务。
