构建多账号云环境的解决方案|云防火墙企业多账号统一管理最佳实践

本文涉及的产品
云防火墙,500元 1000GB
简介: 云防火墙通过与资源目录RD深度集成,可帮助企业将云上多个业务账号进行统一集中安全管控,大大提升运维效率。通过多账号统一管理能力,用户无需采购和运维多套云防火墙,仅需采购和运维一套,即可实现安全策略统一下发和防护效果统一分析审计等,更好满足企业网络安全集中化管控需求,并大大降低成本。

演讲人:李秀英,阿里云云安全团队云防火墙产品经理  

 

阿里云云防火墙产品是比较早实现多账号统一管理的安全产品之一,目前有比较多的大型新零售、政企、金融、国际互联网等企业机构正在使用云防火墙的多账号统一管理能力,可以让企业实现更加高效、更低成本的集中化运维。

 

这篇内容将介绍云上多账号环境下,云防火墙企业多账号统一管理的最佳实践。

 

                             image.png

 

如上上图所示,首先以某企业云上多账号管理与治理的需求为例来具体看企业面临的挑战。

 

由于该示例企业拥有数十家子公司,目前这些子公司的运维及安全都是由各个子公司相应团队独立负责。由于业务全球化趋严的信息安全要求,公司决定对各个子公司进行统一管控。

 

对于安全运维及网络运维的同事们来讲,高效、有效的盘点管控这些网络资产是一件非常困难的事情。在解释所遇到的困难之前,我们先来了解一下什么是云防火墙。

 

image.png

 

云防火墙是一款云上的多重网络边界流量安全防护产品,可以提供互联网边界、VPC边界、NAT边界、主机边界等多重边界安全隔离管控和防护,降低安全风险。

 

对于安全团队来说,云上网络多账号安全管理运维到底有哪些挑战呢?

 image.png

 

比较突出的矛盾有两个,一个是安全运维人员的短缺,另外一个是安全任务的繁重。一般企业安全运维人员往往只有12个或者不到半个人,人员扩张速度往往赶不上业务的发展速度。

 

如果需要管理企业集团十多个账号,而且要每个账号配置ACL访问控制策略、查看攻击告警、进行流量分析以及日志审计等等,忙到焦头烂额一不留神哪个账号或资产没有关注到,或是策略没有配置好,就都有可能被恶意攻击或是攻陷,使企业陷入较大的风险中。另外,企业还需要在每个账号部署一套安全产品,对于企业来说也是一笔不小的成本支出。

 

从这个角度来看,对于企业来说,需要从to C的单账号运维视角转变为to B的多账号企业能力。

 

Landing Zone企业上云最佳实践中,云防火墙可以通过多账号统一管控能力实现南北向互联网边界的统一安全管控和防护,以及东西向不同账号的VPC资产的多账号统一管控和防护,提升对应的安全防护效率和效果。

 

image.png

 

下面来具体看下云防火墙在互联网边界和VPC边界分别是怎么有效的实现南北向和东西向的有效集中化安全管控的。

 image.png


 

南北向,即互联网边界针对公网资产的保护。当企业没有多账号统一管理能力的时候,如果有多个账号需要在每一个账号里部署和开通一套防火墙产品,并且在日常管理和运维的时候,需要登录每一个账号里面去分别进行策略的配置和管控。

 

云防火墙通过资源目录的集成,可以指定其中的一个账号为委派管理员账号。比如委派管理员账号A,然后将其他账号作为成员账号。这样就可以将成员账号BCD中的公网资产,例如EIPSLBNAT网关导入到当前的委派管理员账号中,并在当前的委派管理员中实现统一的公网资产的安全防护和管控,包括资产的统一接入、ACL策略的配置、IPS入侵告警的防护和查看、流量分析和日志审计等等,提升安全的运维效率和效果。

 

同样,在VPC边界如果没有多账号统一管理能力,如果用户想对跨VPC的流量进行隔离和管控,需要VPC防火墙与当前的CEN在同一账号下。

 

云防火墙通过云企业网和资源目录的结合,可以实现不同账号下的VPC和云企业网的统一管控和防护,这样就可以大大提升企业的东西向隔离防护的水位和效率。

 

image.png

 

下面再来介绍下云防火墙的多账号统一管控运维流程,这个流程操作起来还是很简单便捷的。

 

image.png

 

企业在资源管理中创建多个账号的资源目录,并通过可信服务将委派管理员账号,就可以在云防火墙实现多账号的统一管理界面,然后系统就可以自动同步当前这些成员账号,一键添加之后可以自动导入成员账号及资产,完成后就可以进行统一的安全管理和管控了。

 

再回到企业云上多账号规划方案。对于企业有多个管理员和多个业务账号,并且每个业务账号都分布各种网络资产,这对企业来说,不需要再每个账号,比如运维账号、网络账号、生产环境账号、开发环境账号等各个账号部署一套云防火墙产品,用户只需要在当前的安全账号下部署一套云防火墙产品,就可以进行集中化安全管理和管控了。

 

image.png

 

下面,详细介绍下云防火墙多账号统一安全管控方案的实践方案。

 

image.png

 

安全合规人员可以在当前的安全账号下开通一套云防火墙,然后通过资源目录的可信服务将当前的安全账号授权为委派管理账号,将其他成员账号下的资产统一纳管到当前的安全账号下,比如网络运维账号、业务开发账号等等,进行实现互联网边界和VPC边界的统一安全隔离管控,使企业实现更高效率和更低成本的安全管理。

 

下面是云防火墙多账号统一管理的DEMO演示。

 

首先进入云防火墙的管理控制台,在设置多账号统一管理界面中查看并进行多账号统一管理账号的添加和管理。核心步骤主要是四步,前面两步都是在资源目录中进行完成的,主要是开通资源目录和创建多账号体系,以及在资源目录中设置云防火墙的委派管理员。

 image.png

 

完成前两步之后,在当前的多账号统一管理界面,可以在云防火墙添加成员账号以及在云防火墙上进行统一的安全管理。

 

首先,看下第一步如何开通资源目录和创建多账号体系。这个时候可以点击并前往“资源目录”。在资源目录下资源组织里,可以看到当前已经创建完成了资源组织结构,可以在这里进行成员的创建、添加和移动或删除。

 

当前资源组织结构里面的账号都是可以被相互纳管、合作、统一管理的。

 image.png

 

然后,我们再接着看下如何将当前的云防火墙账号作为委派管理员账号。进入资源目录可信服务的界面,点击并跳转到“云防火墙管理”界面。在这个界面可以看到,当前账号如果是对应资源目录的管理账号,账号下已经拥有可信服务的启用权限了。

 

当然我们也可以添加其他账号为委派管理员账号,拥有云防火墙多账号统一管理的权限。

 

image.png

 

以上就完成了前两个步骤的操作,分别是对应资源目录的创建及可信服务进行委派管理员账号授权。

 

接下来回到产品的控制台,接着执行第三步的操作,在云防火墙添加成员账号。

 

image.png

 

云防火墙会自动同步当前资源目录下所有的账号,我们可以选择合适的账号添加到对应的云防火墙的成员账号目录中,点击确认,就完成了一键自动添加。

 

添加完成后,可以在云防火墙统一进行安全管理,包括在云防火墙开关页面进行资产的统一接入引流、公网资产的统一盘点等等。

 image.png

 

同样的,在VPC边界防火墙也可以进行跨账号的统一管理。这样开启保护之后就可以在控制台上看到对应的不同账号下的公网资产的流量分析情况、VPC互访的流量情况和详细的流量可视化分析等。

 

在入侵防护方面,也可以进行针对所有成员账号和当前管理员账号下的公网资产以及VPC资产进行统一的攻击防护和告警分析以及详情的查看。

 image.png

 

除此之外,在失陷感知里面,可以针对已经被有异常的恶意外连的资产进行查看当前的攻击情况和拦截情况,可以查看详细的所属账号并进行及时的资产攻击风险处置。

 image.png

 

在访问控制页面,可以针对当前所有的公网资产和VPC资产进行策略的统一下发和配置。当然,在配置完策略之后也可以进行统一的日志审计和分析。

 image.png

 

另外,还可以针对当前所有攻击及资产的保护状态接收进行统一的告警分析,并进行攻击态势的周报统计。所有的这些告警通知都是针对已经纳管进来的多账号的资产。

image.png

 

当前,针对包年包月的版本,我们提供了一个账号的多账号能力的免费试用服务,若超出一个账号想要扩容的话,也可以在变配页面选择多账号统一管理,这样就可以进行多账号的管控数量按需进行扩容。

 image.png


>>>欢迎点击资源管理产品控制台体验更多功能

 

相关文章
|
4月前
|
存储 网络协议 安全
【Azure 环境】ARM部署模板大于4MB的解决方案及Linked Template遇见存储账号防火墙无法访问
【Azure 环境】ARM部署模板大于4MB的解决方案及Linked Template遇见存储账号防火墙无法访问
|
2月前
|
Kubernetes 安全 应用服务中间件
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
55 3
|
4月前
|
存储 网络安全 数据中心
【Azure 存储服务】App Service 访问开启防火墙的存储账号时遇见 403 (This request is not authorized to perform this operation.)
【Azure 存储服务】App Service 访问开启防火墙的存储账号时遇见 403 (This request is not authorized to perform this operation.)
【Azure 存储服务】App Service 访问开启防火墙的存储账号时遇见 403 (This request is not authorized to perform this operation.)
|
7月前
|
弹性计算 监控 安全
通过NAT网关和云防火墙防护私网出站流量安全的最佳实践
针对云上企业出站流量安全攻击,企业可以通过采用“NAT网关+NAT边界防火墙”方案实现出向流量有效监控保护,有效降低恶意软件攻陷风险、内部人员风险、数据泄露风险、供应链风险、出站流量合规风险等
146 3
|
7月前
|
SQL 监控 安全
【阿里云云原生专栏】云原生安全体系构建:阿里云云防火墙与WAF的应用
【5月更文挑战第27天】阿里云云防火墙和WAF是构建云原生安全体系的关键产品,提供网络、主机和Web应用多维度防护。云防火墙采用分布式架构抵御网络攻击,确保应用安全稳定;WAF专注Web应用安全,防止SQL注入、XSS和DDoS等威胁。简单部署配置,结合使用可实现全面安全防护,提升企业云上应用安全性,保障业务安全运行。未来,阿里云将持续强化云原生安全建设。
353 1
|
云安全 监控 安全
大型攻防演练,云防火墙最佳实践
自1949年世界上第一种计算机病毒——约翰·冯·诺依曼提出的一种可自我复制的程序设计问世,到1990年世界上第一款网络防火墙产品出现,经过几十年的发展,攻防对抗已经进入白热化阶段。
420 0
大型攻防演练,云防火墙最佳实践
|
7月前
|
弹性计算 安全 网络安全
云防火墙初次开通使用最佳实践
云防火墙可以帮助用户在云上实现业务隔离和防护,确保业务安全和满足合规要求,如果您在购买云防火墙不知道如何使用,本文将从业务介绍新手如何结合业务更好的使用云防火墙。
631 1
云防火墙初次开通使用最佳实践
|
负载均衡 安全 Ubuntu
「网络安全架构」10个可与商业解决方案相媲美的最佳开源防火墙
「网络安全架构」10个可与商业解决方案相媲美的最佳开源防火墙
|
供应链 安全 网络安全
随着混合办公环境的到来,企业防火墙应该如何演进——思科新一代防火墙 Secure Firewall 3100 系列发布
随着混合办公环境的到来,企业防火墙应该如何演进——思科新一代防火墙 Secure Firewall 3100 系列发布
下一篇
DataWorks