产品文档

云安全白皮书

3. 网络安全

京东云提供成熟的网络安全架构及多层防护的安全方案,对生产网络与非生产网络、业务网络和管理网络、虚拟网络和物理网络进行了安全隔离和严格的访问控制。京东云提供可靠的网络基础结构以支持应用程序和服务连接需求,包括 Internet 与云平台之间、云平台中的资源之间、本地资源与托管的资源之间可能存在网络连接或访问。

3.1 安全架构

图 5 网络安全架构

在 Internet 与云平台服务、资源组之间的边界区域提供可靠的安全组件,可防止不受信任的网络访问内部网络资源。包括抗拒绝服务 (DDoS)、应用安全网关、Web 应用防火墙、以及 VPN 设备,同时实施防火墙策略、访问控制列表 (ACL) 或特定路由等安全策略。

在云平台网络资源提供了各种安全工具和功能创建相应的安全服务。京东云私有网络支持用户在京东云上构建逻辑隔离的网络环境,在这里用户可以自主规划网络部署,包括网络范围、子网网段、路由策略等,并通过安全组和网络 ACL 等实现多级安全防护。

3.2 边界网络安全

边界网络是在 Internet 与云平台虚拟网络之间网络区域。对于来自 Internet 的入站流量,DDoS 防护可防御针对京东云的大规模攻击,应用安全网关,Web 应用防火墙对云平台网站或 APP 服务进行安全防护。用户定义的公共 IP 地址,可以根据这些路由保护确定哪些流量可以通过云服务进入云平台虚拟网络。VPN 网关提供基于 Internet 的数据加密传输服务。

在 Internet 流量进入虚拟网络之前,云平台本身将实施两层安全性:

· 边界防护

DDoS 防护提供高效的防护能力,保证云平台网络的稳定。详情请见 “DDoS 防护” 章节。

Web 应用防火墙避免网站服务器被恶意入侵,保障业务的核心数据安全。应用安全网关对云平台网站或 APP 服务进行可视化安全分析和应用层安全防护。详情请见 “ Web 应用防火墙,应用安全网关” 章节。

· 路由保护

通过路由及策略、弹性公网 IP、应用程序网关以及其他云平台功能启用,以便将路由到用户资源的公共 IP 地址呈现给 Internet,使用网络地址转换 (NAT) 将流量路由到云平台虚拟网络上的内部地址和端口,云服务或资源组就可以公开公共 Internet IP 地址和端口。此路径是外部流量进入虚拟网络的主要方式,可以对公共 IP 地址进行配置,确定可以传入哪种流量,如何在虚拟网络上转换该流量以及要将它路由到何处。

· 其他安全防护

防火墙:对传入请求实施防火墙规则或访问控制策略。

威胁检测和预防:检测并缓解来自 Internet 的恶意攻击。

审核和日志记录:维护详细记录供审核和分析。

反向代理:将传入请求重定向到相应的后端服务器。此重定向涉及到将前端设备(通常是防火墙)上的目标地址映射并转换成后端服务器地址。

VPN 设备:充当跨界 VPN 网关,用于在本地网络上的用户与虚拟网络之间进行跨界 VPN 连接。

3.3 虚拟网络安全

虚拟网络是构建于物理云平台网络结构之上的逻辑构造。每个虚拟网络与其他所有虚拟网络相互隔离,这可帮助确保其他云平台客户无法访问部署中的流量。虚拟网络隔离可确保与其他所有网络完全隔离,而且流量只能流经用户配置的路径和方法。可以使用安全组、路由转发和网络虚拟设备来创建安全边界,以保护受保护网络中的应用程序部署。

· 流量隔离

私有网络是云平台上的流量隔离边界。一个私有网络中的不同虚拟机 (VM) 无法直接通信,即使是由同一个用户所创建。针对虚拟网络的入站流量,隔离可确保用户 VM 与通信在虚拟网络中保持私密性。

· 多层拓扑

虚拟网络允许用户通过分配子网并为工作负荷的不同元素或 “层” 指定独立地址空间,来划分多层拓扑。这些逻辑分组和拓扑可让用户根据工作负荷类型来定义不同的访问策略,以及控制各层之间的流量。

· 跨域连接

用户可以在虚拟网络和多个本地站点或京东云中的其他虚拟网络之间创建跨域连接。客户可以使用 VNet 对等互连、VPN 网关、第三方网络虚拟设备或专线通道来构造连接。

· 安全组

用户根据所需的粒度(网络接口、单个 VM 或虚拟子网)创建规则 (ACL)。通过跨域连接或直接 Internet 通信来允许或拒绝虚拟网络内的工作负荷,以控制访问。

· 自定义路由和 IP 转发

允许用户定义虚拟网络中不同层之间的通信路径。用户可以部署防火墙、IDS/IPS 和其他虚拟设备,并通过这些安全设备来路由网络流量,以实施安全边界策略、审核和检查。

· 其他网络虚拟安全设备

云市场和 VM 映像库中提供了防火墙、负载均衡器和 IDS/IPS、堡垒机等安全设备。用户可将这些设备部署到其虚拟私有网络,特别是安全边界(包括外围网络子网),以实现多层安全网络环境。

更新时间:2020-04-28 20:48:26