文章总结： 本文系统梳理云上四层访问控制体系（VPC/子网/安全组/微隔离），指出其遵循租户级隔离到工作负载级管控的纵深防御逻辑。核心纠正子网依赖网络ACL实现隔离、安全组有状态特性、微隔离是安全组延伸而非替代三大认知误区，并通过对比表格分析各技术定位与局限。详细说明南北向与东西向流量的分层过滤路径，强调默认拒绝+最小权限原则，提供渐进式微隔离部署与定期规则审计等实操建议。 综合评分： 95 文章分类： 云安全,安全建设,解决方案,技术标准,网络安全

云上访问控制体系梳理：VPC/子网/安全组/微隔离

原创

Hash先生 Hash先生

倬其安

2026年4月17日 00:44 福建

在小说阅读器读本章

去阅读

#

VPC、子网、安全组、微隔离四类技术，共同构成了云上四层纵深防御访问控制体系，严格遵循「租户级大隔离→业务域网段隔离→实例级基础防护→工作负载级精细化管控」的层级递进逻辑，是云上“南北向边界防护+东西向横向管控”的解决方案，四类技术互补而非替代，共同实现云上访问控制的最小权限原则与全场景覆盖。

先纠正3个企业落地中90%会踩的认知误区：

1. 子网本身不具备隔离能力：同一VPC内的不同子网，默认通过系统路由表全互通，隔离能力来自子网绑定的网络ACL（无状态三层包过滤），而非子网本身；
2. 安全组是有状态的实例级防火墙：默认拒绝所有入站流量，规则基于白名单设计，放通的入站请求对应的响应流量会自动放行，无需额外配置反向规则；
3. 微隔离是安全组的能力延伸而非替代：核心解决安全组在容器化、跨云、大规模场景下的粒度不足、规则爆炸、IP动态适配差的痛点，聚焦东西向流量的精细化零信任管控。

一、四大访问控制技术深度对比

| 对比维度 | VPC（虚拟私有云） | 子网（vSwitch）+ 网络ACL | 安全组 | 微隔离（Micro-Segmentation） | | — | — | — | — | — | | 核心定位 | 云上租户级私有网络孤岛，整个访问控制体系的底层底座 | VPC内的IP地址分段+网段级边界防护，VPC内的业务分区框架 | 云资源实例级虚拟防火墙，实例访问的基础防护门锁 | 工作负载级精细化访问控制，东西向横向移动管控的核心手段 | | 隔离层级 | L2-L3 租户级网络层隔离 | L3 网段级三层隔离 | L4-L7 实例级端口/协议隔离 | L4-L7 容器/Pod/进程/服务级身份隔离 | | 管控粒度 | 整个私有网络（CIDR网段） | 子网网段（如/24、/26 CIDR） | ECS/RDS/SLB等云资源实例 | 容器Pod、虚拟机、进程、服务接口 | | 状态特性 | 无状态，路由级隔离 | 无状态，进出方向规则需单独配置 | 有状态，自动放行响应流量，无需反向配置 | 有状态，支持基于身份的动态规则，适配云原生IP动态变化场景 | | 技术局限性 | 仅能实现大环境级隔离，无法做精细化管控 | 仅能管控跨子网流量，无法管控同子网内实例间的横向通信；无状态规则配置复杂，易出错 | 基于IP的规则在容器动态IP场景下失效；规则数量上限有限，大规模场景下易出现规则爆炸；无法实现跨VPC统一管控 | 部署复杂度高，需适配业务架构；过度精细化规则易导致业务中断；原生能力依赖云厂商，跨云场景需第三方产品支持 |

二、流量过滤层级

四类技术的核心配合原则是：VPC做底层隔离底座，子网做业务分区与粗粒度边界防护，安全组做实例级白名单基础防护，微隔离做精细化东西向零信任管控，形成从外到内、从粗到细的层层过滤体系，彻底阻断攻击链的扩散。

1. 南北向流量（公网→内网）完整过滤路径

互联网 → 云防火墙/边界WAF → VPC互联网网关 → 子网网络ACL（网段级粗过滤） → 实例安全组（实例级精准管控） → 微隔离（工作负载/进程级校验） → 业务服务

各环节核心职责与配合逻辑：

1. VPC：划定租户网络边界，非本VPC的流量默认全部丢弃，从底层隔绝非法网络访问，是整个防护体系的第一道闸门；
2. 子网ACL：做网段级粗粒度过滤，比如封禁境外恶意IP段、高危协议端口，仅允许公网流量访问DMZ区子网，彻底拒绝公网流量直接访问数据库、核心业务区子网，作为第二道批量防护闸门；
3. 安全组：做实例级精准白名单管控，比如Web服务器安全组仅允许公网访问80/443端口，运维端口仅开放给办公网IP段，数据库安全组仅允许来自Web层安全组的访问，是实例级的核心防护；
4. 微隔离：做最终的工作负载级校验，比如Web服务进程仅允许监听80/443端口，禁止主动外联公网，仅允许访问指定的应用服务端口，哪怕攻击者绕过了外层防护，也无法实现横向移动和权限扩散。

2. 东西向流量（内网实例间）完整过滤路径

源实例 → 源实例安全组出方向规则 → 源子网ACL出方向规则 → VPC路由转发 → 目的子网ACL入方向规则 → 目的实例安全组入方向规则 → 目的实例微隔离规则 → 目标服务

核心配合要点：

• 同VPC跨子网通信：需经过源/目的子网的双重ACL校验，再经过安全组校验，实现跨业务分区的双重防护；
• 同VPC同子网通信：不经过子网ACL校验，必须依靠安全组组内隔离+微隔离实现管控，这是企业最容易忽略的横向移动风险点；
• 跨VPC通信：默认完全隔离，仅能通过对等连接/云企业网显式打通，打通后的流量仍需经过两端VPC的子网ACL、安全组、微隔离的层层校验，避免跨VPC风险扩散。

三、避坑指南

1. 所有规则必须遵循“默认拒绝+最小权限”白名单原则无论是ACL、安全组还是微隔离，必须以“默认拒绝所有流量，仅放行业务必需的端口、IP、服务”为核心原则，绝对禁止0.0.0.0/0的全通规则，尤其是高危运维端口、数据库端口。
2. 微隔离部署循序渐进，避免一步到位先实现业务域/集群级的粗粒度隔离，再细化到服务/模块级的管控，最终落地进程/接口级的零信任规则，避免一开始规则过度精细，导致业务中断、运维压力过大。
3. 定期审计与规则优化，避免规则冗余失效每季度对VPC路由、子网ACL、安全组规则、微隔离策略做全面审计，清理过期、冗余、不合规的规则，确保规则与业务需求匹配，避免规则数量爆炸、防护能力失效。

![](https://mmbiz.qpic.cn/mmbiz_png/5GBRKfKXqpv3UEdyCDhgj2ic0QiclGDzdWASGcLAG8Fzl9ibicVC64tSKz3I4kg4dBg3WiaurszKZlzT3I0mYHVMaJA/640?wx_fmt=png#imgIndex=0)![](https://mmbiz.qpic.cn/mmbiz_jpg/cuBApO3XWpSMbPO4BjnKvkIZ6IdfXjJX7b5cqBz79XDB8aLttiaOicXh80qALicmgia6F2dvxTWBWia3ic4govxibVWXA/640?wx_fmt=jpeg&watermark=1#imgIndex=1)

「倬其安」分享一线实战中的故障洞察与架构思考。

提升安全认知，筑牢防护体系！

“倬其安，然无恙”。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：倬其安 Hash先生 Hash先生《云上访问控制体系梳理：VPC/子网/安全组/微隔离》