很多企業(yè)在是否上云的決策過程中，首當(dāng)其沖考慮的就是業(yè)務(wù)上云的安全問題。因?yàn)楹芏嗳嘶蚨嗷蛏俣加幸环N思維的慣性，即只有看見的東西才會選擇相信，看不到的都是虛無的。當(dāng)每每談到是否上云時，客戶會感受到他/她的業(yè)務(wù)或數(shù)據(jù)如果上云后，是否會如天上的浮云那樣飄來飄去，導(dǎo)致敏感數(shù)據(jù)泄露的隱患和諸多不確定性的因素產(chǎn)生等諸多顧慮。

當(dāng)然，最大的顧慮是來自那些有特殊安全性要求的行業(yè)或企業(yè)，他們出于行業(yè)合規(guī)性的要求或現(xiàn)有IT基礎(chǔ)設(shè)施投入保護(hù)想法，在是否上云的決策面前往往表現(xiàn)為裹足不前。那么，云真有如我們想象的那樣不安全嗎？

我們且從最關(guān)鍵的云網(wǎng)絡(luò)產(chǎn)品虛擬私有云（Virtual Private Cloud-VPC）來討論一下云的安全性。目前主流云廠商針對云上的網(wǎng)絡(luò)安全隔離的解決方案趨于一致。一般都是通過VxLan等隧道封裝技術(shù)來實(shí)現(xiàn)基于物理網(wǎng)絡(luò)上的二層邏輯隔離。而傳統(tǒng)的網(wǎng)絡(luò)隔離技術(shù)通常是基于三層的vLan技術(shù)。vLan技術(shù)一般只能實(shí)現(xiàn)2的12次方，即上限為4096個的隔離空間，這無法適應(yīng)于公有云動輒上百萬用戶的隔離訴求。而VxLan的隧道封裝技術(shù)可以實(shí)現(xiàn)高達(dá)2的24次方的隔離，這一點(diǎn)可充分滿足公有云擁有海量用戶體量的特點(diǎn)。

很多企業(yè)用戶可能會覺得，滿足海量用戶體量的彼此隔離是云廠商如阿里或華為需要考慮的，他們更多的要保障自身業(yè)務(wù)的安全性。那么VPC在這方便會有什么建樹呢？我們且從VPC的如下特點(diǎn)來品讀云安全的實(shí)現(xiàn)原理，VPC的具體特點(diǎn)如下：

  1、VPC是用戶在云上申請的彼此隔離的和私密的虛擬網(wǎng)絡(luò)空間；

  2、默認(rèn)不同VPC之間是彼此隔離的，VPC內(nèi)是網(wǎng)絡(luò)互通的；

  3、如果需要實(shí)現(xiàn)VPC之間的連接也是有可能的。比如，通過設(shè)置VPC對等連接、VPN連接、應(yīng)用云廠商所提供的高速通道、云聯(lián)網(wǎng)或云鏈接服務(wù)等來實(shí)現(xiàn)；

  4、用戶可以基于自己的業(yè)務(wù)需要，把需要彼此隔離的業(yè)務(wù)應(yīng)用或環(huán)境分別設(shè)置在不同的VPC內(nèi)。比如生產(chǎn)環(huán)境、預(yù)生產(chǎn)環(huán)境、開發(fā)環(huán)境和測試環(huán)境各設(shè)一個VPC；

  5、用戶可以自由配置VPC內(nèi)的IP地址段、子網(wǎng)、安全組等子服務(wù)，也可以申請彈性帶寬和彈性公網(wǎng)IP搭建可以被公網(wǎng)訪問的業(yè)務(wù)系統(tǒng)；

  6、需要彼此互相訪問的云產(chǎn)品（如云服務(wù)器和云數(shù)據(jù)庫）可以放入一個安全組，不同安全組內(nèi)的云產(chǎn)品實(shí)例彼此內(nèi)網(wǎng)隔離；

  7、安全組是一種有狀態(tài)的虛擬防火墻，用于控制安全組內(nèi)云產(chǎn)品如云服務(wù)器（虛擬機(jī)）實(shí)例的入流量和出流量，從而提高云產(chǎn)品的安全性；

  8、一個云產(chǎn)品至少需要加入一個安全組，也可以同時隸屬于多個安全組?；跇I(yè)務(wù)的需要針對安全組開發(fā)入流量和出流量的網(wǎng)絡(luò)訪問端口。當(dāng)然，安全組的入流量和出流量的網(wǎng)絡(luò)訪問端口默認(rèn)是關(guān)閉的，需要針對每個端口是否開通進(jìn)行單獨(dú)設(shè)置，比如SSH 22端口，HTTP 80端口，HTTPs 443端口和Windows遠(yuǎn)程登陸 3389端口；

  9、安全組具備有狀態(tài)的數(shù)據(jù)包檢測和數(shù)據(jù)包過濾能力。所謂有狀態(tài)，即會記錄入流量包的情況，凡是經(jīng)過入流量進(jìn)入的包不用在出流量單獨(dú)放行，即默認(rèn)可以允許流出。我們換一種說法，安全組會默認(rèn)放行同一會話中的通信。例如，在會話連接期內(nèi)，如果連接的數(shù)據(jù)包在入方向是允許的，則在出方向也是允許的。

  10、彈性帶寬和彈性公網(wǎng)IP通常設(shè)置為VPC內(nèi)的云產(chǎn)品，比如云服務(wù)器（虛擬機(jī)）或云負(fù)載均衡器。被設(shè)置彈性公網(wǎng)IP的云產(chǎn)品可以具備訪問公網(wǎng)和被公網(wǎng)訪問的能力；

 11、VPC的設(shè)置相對于傳統(tǒng)物理網(wǎng)絡(luò)的設(shè)置更簡單，但是也基本具備傳統(tǒng)網(wǎng)絡(luò)的屬性，比如虛擬路由器（vRouter）和虛擬交換機(jī)（vSwitch）。虛擬路由器連接VPC網(wǎng)絡(luò)內(nèi)的各個虛擬交換機(jī)，通過虛擬交換機(jī)為VPC網(wǎng)絡(luò)劃分一個或多個子網(wǎng)。同一VPC網(wǎng)絡(luò)內(nèi)的不同虛擬交換機(jī)之間內(nèi)網(wǎng)互通。您可以將業(yè)務(wù)應(yīng)用所在的云服務(wù)器部署在不同的虛擬交換機(jī)內(nèi)。

 12、VPC使用網(wǎng)絡(luò)虛擬化技術(shù)，通過鏈路冗余，分布式網(wǎng)關(guān)集群，多可用區(qū)（AZ）部署等多種技術(shù)，保障網(wǎng)絡(luò)的安全、穩(wěn)定和高可用。

  以下是一個典型的云上VPC的網(wǎng)絡(luò)拓?fù)鋱D，

總之，通過以上關(guān)于VPC及相關(guān)云產(chǎn)品的描述，我們可以切身感知云在安全管理上是狠下了一番功夫的。通常只要云用戶合理的利用VPC、安全組和子網(wǎng)訪問策略（ACL）進(jìn)行完備的云上安全規(guī)劃，就能達(dá)到比線下傳統(tǒng)IDC更加專業(yè)的安全性體驗(yàn)。比如由于云上的二層網(wǎng)絡(luò)隔離，每個在云上的用戶都可以使用如下網(wǎng)段的IP地址，即允許不同的云用戶在其業(yè)務(wù)上使用相同的IP地址或子網(wǎng)網(wǎng)段，他們的IP地址不沖突，業(yè)務(wù)也不受干擾，彼此網(wǎng)絡(luò)隔離。

子網(wǎng)網(wǎng)段：192.168.0.0/16，可用私網(wǎng)IP數(shù)量達(dá)65,532個；

子網(wǎng)網(wǎng)段：172.16.0.0/12，可用私網(wǎng)IP數(shù)量達(dá)1,048,572個；

子網(wǎng)網(wǎng)段：10.0.0.0/8，可用私網(wǎng)IP數(shù)量達(dá)16,777,212個。