1. 混合云环境下的网络安全变化

传统IDC环境下，企业业务可能会面临外部互联网的DDOS攻击以及网络层的漏洞扫描和恶意流量攻击等，因此一般会在机房出口处部署抗DDOS流量清洗设备、网络层防火墙设备、网络入侵检测或入侵防御设备、防病毒网关或者统一威胁管理平台等。

企业使用混合云后，网络层的安全风险和安全控制需求仍然存在，但和传统IDC环境相比，混合云业务部署可能涉及多家IDC、公有云厂商或者自建私有云等情况，导致信息安全需要在多个边界进行安全防护，同时VPC网段和IDC/私有云网段，不同VPC网段之间的通信访问需求，也需要在混合云网络内部不同网段间进行访问控制和流量检测，从而给混合云环境下的网络安全带来更多挑战。

另外混合云环境下和边界相关的安全问题也包括运维通道相关的VPN和跳板机软硬件产品，可通过SDP产品和多云管理平台如TiOPS产品进行替换，在此不做过多解释。

2.  混合云环境下的网络安全技术

根据对传统网络安全的理解，混合云环境安全特性，以及对多家公有云厂商的安全产品调研，我们发现混合云环境下的网络安全技术主要包括包括DDOS流量清洗、高防IP、云防火墙、网络入侵检测系统或网络入侵防御系统、虚拟交换机ACL规则、云主机安全组等。

DDOS流量清洗，主要用于防御互联网上的DDOS攻击行为，部署在企业云业务和互联网边界处。

高防IP，用户在业务在遭受大流量DDoS攻击时，可通过配置高防IP，将攻击流量引流到云厂商提供的高防IP地址，对攻击流量进行清洗过滤后再将正常流量转发到源站IP，从而确保源站IP稳定访问。

云防火墙，主要用于实现互联网和VPC、VPC和VPC之间的网络访问控制和网络安全。一些公有云厂商也会在云防火墙上集成NIPS、防病毒、用户身份认证管理等功能。

网络入侵检测/入侵防御系统，主要用于对网络流量进行检查并基于规则进行告警或阻断。

虚拟交换机ACL规则，主要用于VPC内子网间的访问控制。

安全组，一种虚拟防火墙，具备状态检测和数据包过滤能力，用于实现云主机间网络层的访问控制。

3.  公有云厂商网络安全技术比较

不同公有云厂商在网络安全方面一般都会提供包括安全组、虚拟交换机ACL访问控制、DDOS流量清洗或高防IP等基础的网络安全服务。部分成熟的公有云厂商，也会提供云防火墙、网络入侵检测/入侵防御系统或防病毒等网络安全服务。

4.  混合云环境下的网络分层防护方案

混合云环境下，企业可以使用综合考虑各个云厂商自身提供的网络层安全服务以及云安全市场中其他安全厂商提供的网络产品或服务，从边界DDOS防护、边界云防火墙、VPC间防火墙、虚拟子网间访问控制及云主机间的访问控制等多个层次，构建企业混合云业务的网络层纵深防御体系。

#互联网边界处，使用DDOS清洗服务或高防IP，过滤DDOS攻击；

#互联网边界处，使用云防火墙和IPS技术，实现网络层访问控制、流量监控告警和入侵防护功能，包括不公有同云厂商集成提供的暴力破解、虚拟补丁、信息窃取、防病毒等功能；

#VPC和VPC边界处，部署VPC边界防火墙，对VPC之间的访问和流量进行管理；

#VPC内不同网段间，可使用虚拟交换机策略，管理同一VPC内不同子网间的访问；

#云主机之间，使用安全组策略，管理同一VPC内不同云主机之间的访问；

5.  混合云环境下的网络安全挑战和应对

混合云环境下，因为应用系统部署、应用架构调用、业务数据流转及使用人员的复杂性，导致安全人员难以追溯并理清楚各类访问需求和访问路径，无法在用户和应用访问路径的关键节点采取合适的安全防护措施。不过安全仍然可以从以下两方面积极应对：

1）梳理访问关系

#梳理IDC、公有云、私有云中各类应用和应用分配的网段；

#梳理应用、VPC间访问和调用关系并进行分类、分级汇总；

#梳理使用人员，包括外部业务用户，内部运维、开发、测试，内部业务用户，第三方人员等；

#梳理使用人员访问各应用的访问路径，并进行分类、分级汇总；

#明确关键资产的访问对象和访问路径；

2）访问路径的纵深安全控制

#结合资产价值进行访问路径风险评估，包括现有主要控制措施，补偿性控制措施等；

#基于纵深安全防御理念，在各个访问通道的关键边界处，进行访问控制、流量检测、攻击流量阻断、虚拟补丁等，同时在访问资产前，加强对用户和访问设备的身份鉴别、权限管理等安全措施。

#明确混合云环境下的网络安全目标：基于业务/应用/VPC/人员访问需求，在网络层面实现基本的网络隔离和访问控制功能，对访问流量进行检测告警，对异常访问流量进行阻断等。

#对于一些场景如企业内部员工访问云上SaaS应用，可选择和使用CASB产品对访问资产和路径进行安全控制；

#考虑使用SDP/ZTNA产品，减少可见攻击面，加强用户身份、设备认证和权限管理，替代VPN访问通道；

附：腾讯云优惠价格/折扣报价/最新活动/代金券/优惠券

【阿里云】DDoS高防IP，返利 16.8%

云盾DDoS高防IP产品是针对互联网服务器（包括非阿里云主机）在遭受大流量的DDoS攻击后导致服务不可用的情况，推出的付费增值服务。您可以通过配置DDoS高防IP，将攻击流量引流到高防IP，确保源站的稳定可靠。

【腾讯云】DDoS高防IP，返利 19.8%
DDoS 高防 IP（Anti-DDoS Advanced）是解决非腾讯云上用户业务遭受大流量 DDoS 攻击的防护服务。用户通过配置转发规则，将攻击流量引至腾讯高防 IP 并清洗，保障业务稳定可用。

欢迎注册阿里云，开启上云之旅！新用户首购低至0.3折。