火山引擎的某互联网企业客户,为ToB和ToC多个场景提供在线服务。客户采用了Landing Zone架构进行业务部署,采用了多账号的模式,实现清晰的权限和成本隔离,同时使用跨账号的方式实现统一的网络和安全管理。
企业对于多账号下的网络和安全要求极高,主要包括以下的几个挑战:
公网访问缺少管控时,外部恶意调用模型风险增加,为公司带来巨大的成本消耗;
各个业务账号的安全水位不统一,导致被攻击面扩大,引起敏感信息的泄漏;
多个业务账号中部署重复的网络、安全产品,系统架构冗余,造成故障风险提升和成本增加。
为了实现对于网络和安全的管控,我们推荐搭建网络网络DMZ(Demilitarized Zone)区。传统IT架构中,DMZ区是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,该缓冲区位于企业内部网络和外部网络之间的小网络区域内。
在云上,DMZ作为公网出口,由企业IT部门统一管控。在DMZ的VPC中,可部署NAT网关,ALB、CLB等产品,关联DDoS防护、WAF、云防火墙等安全产品保障公网出口、服务之间不受外部的攻击侵入。其他业务的VPC需要通过CEN,实现跨VPC出公网。各业务访问公网需要向IT申请权限,通过这样的方式防止业务部门私开公公网资源,避免安全隐患。
上图是一个比较典型的云上网络架构,其中:
DMZ:作为公网统一入口,使用云安全产品及公网网络产品,实现安全高效公网交互;
业务网络区:日常部署业务应用的VPC,通过云企业网CEN、中转路由器(TR)与DMZ VPC连通。通过配置静态路由策略、多路由表关联不同VPC等方式,灵活规划网络联通性,控制VPC间互访行为;
网络接入区: 通过专线、Ipsec VPN方式满足云下到云上、云间互访等业务网络需要,提供长期拓展性。
统一管理:公网出入口设计统一,在企业内实现一套网络架构解决所有业务问题;
安全可靠:通过多种安全产品组合,实现高安全性的网络架构设计;
成本优化:通过共享出入口带宽,实现多业务流量共享,降低流量费用。
上述方案中,使用到以下主要的云服务:
序号 | 业务功能 | 产品 | 使用的功能 | 方案价值 |
---|---|---|---|---|
1 | 网络架构设计 | 私有网络(VPC) | 网络规划 | 私有网络(VPC,Virtual Private Cloud)为云上资源构建隔离的、自主配置和管理的虚拟网络环境。不同私有网络之间相互隔离。是云上网络架构的基础单元,简单高效安全地管理云上资源 |
2 | 使用云企业网实现VPC之间互通 | 云企业网 | 云企业网(CEN)实现同地域及跨地域内网络实例任意两点互联,包括不同VPC之间、不同IDC之间以及VPC与IDC之间的网络直达,帮助客户打造一张具有企业级规模和通信能力的全球云上网络。 | |
3 | 实现VPC之间灵活的网络互通 | 中转路由器 | 中转路由器(Transit Router,TR)可以连接云上私有网络、VPN连接或专线连接,通过定义灵活的互通、隔离路由策略,实现各种复杂组网场景下云上资源之间,以及云上私有网络与云下数据中心之间的私网互通与隔离。 | |
4 | 开启DDoS防护 | DDoS防护 | 依托海量防护带宽,多维防护算法和高效的清洗系统,为游戏、互联网+、金融等易遭受 DDoS 攻击的用户提供专业防护服务,有效帮助用户避免由于 DDoS 攻击导致的业务中断,保障业务收入和产品口碑。 | |
5 | 开启云防火墙 | 云防火墙 | 云防火墙(Cloud Firewall,CFW)是一款云原生的云上边界网络安全防护产品,可提供互联网边界安全访问控制、流量访问关系可视、180天的网络流量日志存储,是您业务上云的最基础、最重要的网络安全设施。 | |
6 | 开启Web应用防火墙 | Web应用防火墙 | 火山引擎 Web 应用防火墙(Web Application Firewall,下文简称 WAF)可以有效识别 Web 业务流量的恶意特征,在对流量进行清洗和过滤后,将正常、安全的流量返回给服务器,保障网站的业务安全和数据安全。 |