网络架构风险

高危端口开放

常见的高危端口如22、3389、445等开放在互联网边界的应用上，或通过映射等方式能够被公网访问

高

常见的高危端口会被黑客利用发起恶意登录、暴力破解，以及漏洞利用，高危端口在未经端口转换或防护的前提下直接暴露在公网，会导致企业内部资产面临攻击的风险。

安全组策略授权过大及更新维护

存在授权过大的安全组策略，以及当网络架构趋于复杂时，安全组策略过度导致维护工作量的增加，会存在更新不及时以及策略混乱等问题。

高

安全组是作用在ECS上的网络访问控制策略，若存在访问源和端口授权过大的策略时，会导致内网资源的暴露，容易被黑客在内网通过网络扫描的方式发现内网资产从而发起内部攻击。

同时当网络架构趋于复杂时，如在云端使用多VPC构建网络架构，多账号构建资源，使用CEN构建统一的内网时，安全组策略将无法满足对于灵活配置和运维的需求，可能导致安全组策略更新失效和不维护的问题。从而引发网络攻击风险。

东西向网络互通

在云端企业会采用VPC、CEN-TR等网络组件打通企业内网，实现全网互通

高

东西向及VPC-VPC间的网络流量，若通过CEN打通网络后，VPC打破了隔离属性，此时需要通过安全控制措施进行网络隔离和流量审计，若未采取相关安全措施，则隔离策略失效，导致内网横向攻击。

网络分区和隔离

在前期企业上云过程中，未按照分区分域原则划分基础网络架构，导致业务堆积在一个VPC内或一个账号内

中

当业务未按照网络分区分域原则进行划分时，就意味着应用系统的前端、中间件、数据库等服务都集中在一个VPC内，往往前端是能够被互联网访问到的，若存在端口开放和应用漏洞，可以被攻击者利用后打入内网，如没有进行隔离，则攻击者就可以直接访问VPC内所有资源，窃取数据，破坏系统，加密勒索，造成严重损失。

且当系统过于庞杂时，若未按照分区分域原则进行资源隔离和划分，系统的可扩展性以及灵活性都会受到一定程度的影响，从而影响系统稳定性。

未经防护的公网资源

在使用云资源时，将公网EIP直接绑定在ECS、ACK等资源上，绕过安全防护和安全监控对外直接提供公网访问

高

ECS等资源直接绑定公网IP后会绕过一些安全设置，产生的安全防护和监控的盲点。若ECS上存在高危漏洞或端口暴露，则无法及时发现网络攻击和网络嗅探。