构建多账号云环境的解决方案|高效构建安全合规的新账号

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 随着企业将业务迁移上云,为了应对复杂的业务与组织关系,越来越多的企业会采用多账号来部署云环境。对于新业务上线,企业会先创建一个云账号来部署资源。通过控制台上的账号注册流程需要完成企业实名认证,这个流程周期较长。等新账号注册下来之后,企业还需要配置账号内的安全合规基线,开通相关云服务,配置网络等一系列动作,费时费力。「账号工厂」就是这样一个解决方案,帮助企业在多账号场景下高效便捷的创建受管控的安全合规云账号。

演讲人:冬萌,阿里云开放平台技术专家

 

内容介绍:

一、企业多账号管理和治理需求

二、多账号体系下账号创建的痛点

三、多账号环境下账号创建解决方案

四、多账号环境下账号创建解决方案实例

 

本节课主要学习多账号环境下高效构建安全合规型账号的相关方案。

 

一、企业多账号管理和治理需求

首先,通过某企业的具体案例了解企业多账号管理和治理需求,如下图:

image.png

某家集团企业下属有10家子公司,各子公司的业务独立发展,因此该企业期望在云上做到业务的强隔离,所以该企业应采用多账号的架构部署云资源。
目前各子公司均独立运维,若要在各子公司上线新业务,出于以下几点考虑,该企业需要创建新账号来部署。
首先,使用新账号可以保证资源间的强隔离,让新业务快速启动,而不会影响到现有的线上业务;其次,可以从账号维度更加清晰地看到不同业务、不同部门的账单情况,实现灵活分账。但在该过程中也暴露出了很多安全风险的问题,如部分子公司创建的账号,RAM用户密码强度过低,或并未开启MF验证,再如,某些新账号未配置消息通知和联系人,导致错过了一些关键的安全和故障消息,在这种背景下,集团企业就需要对各个子公司进行统一管控,而如何快速交付安全合规的新账号是企业面临的重要挑战。

 

二、多账号体系下账号创建的痛点

如下图所示:

image.png

结合客户需要创建新账号的几个常见场景,除前面提到的新业务上线之外,如新项目POC验证,客户需要快速开发部署项目原型用以做业务或者云产品的可行性验证。

此时需要快速开始,且不能影响其他已有的业务。因此,可以新建账号来部署POC,保证资源的物理隔离以及清晰的安全边界。
再如,部分有出海需求的国内企业,企业出于业务发展等一系列诉求,需要把业务部署到海外,而在出海过程中不可避免地会面临当地的安全合规要求,如欧洲、美国等。此时,企业往往需要把海外的业务单独部署在新账号上,让账号能够满足当地的安全合规要求。

在这些场景下,客户创建的新账号在账号交付使用前还需要对账号进行一些初始使化的基础配置,包括访问配置、联系人、消息通知、网络设定等,这些基础配置称为账号基线。

1、创建效率低

在这过程中,企业首先面临的痛点是创建效率低下,尤其是需要大量频繁创建账号时,需要对每个账号进行基线的配置,如果要在控制台上逐个配置,操作繁杂,且费时费力。
另外,企业内的同类账号,如应用的测试账号,其基线中存在大量的相同配置,如密码强度等通用的安全配置,若每次新建账号都去控制台操作的话,则会产生大量无意义的重复劳动。

2、基线一致性无法保证

正如前面所说,企业内大量的同类账号需要相同的基线配置。在创建账号时,人工配置难免会出错或者遗漏,同时在账号基线更新时候需要批量应用到所有账号中,如果在控制台逐个账号进行操作,则更加难以保证基线的准确性和一致性。

 

三、多账号环境下账号创建解决方案

1、云治理中心——账号工厂

如何解决客户面临的痛点呢?我们可以通过云治理中心——账号工厂的解决方案实现新的安全合规账号的快速创建和交付。

image.png

首先,企业管理账号可以根据需要定义配置好的账号基线。账号工厂提供了丰富的基线项,如RAM用户密码策略、预置标签、联系人、云产品开通等,涵盖了身份权限、资源规划、网络安全等领域,通过对其配置组合,即可以定义账号基线。同时,账号工厂支持定义多个账号基线,可以满足不同用途的多种账号的基线所需。如通过账号来隔离测试环境和生产环境,测试账号和生产账号的基线不同,如VPC的网段、安全组的出入规则、预置标签等,使用多个账号基线就可以灵活区分按需使用。

定义完账号基线后,企业管理账号就可以创建新账号了。

创建的账号会自动部署,应用所选择的账号基线。至此,我们就完成了满足基线要求的新账号的交付。对于已有的存量账号,账号工厂也支持将其纳管进来。企业管理账号可以将所需的账号基线部署到这些存量账号中。

当账号基线更新或者发生偏移时,通过账号工厂还可以批量的重新下发,将基线应用到所需的目标账号中,持续地保证账号基线的一致性。

 

2、使用账号工厂

如下图所示:

首先,企业管理账号开通云治理中心,访问云治理中心的账号工厂页面,通过账号工厂提供的基线项编排配置所需的基线。

image.png

接下来,即可使用定义好的基线创建账号,也可将已有账号纳管,将基线批量应用到已有账号中。

image.png

3、云治理中心

账号工厂其实是云治理中心这款产品的其中一项功能,接下来我们再简单介绍一下云治理中心,让大家有宏观的了解。

image.png

企业上云、用云一般有四个阶段,即上云战略、上云准备、应用上云以及持续管理治理。

在上云准备和持续管理治理阶段,提供了Landing ZoneWell-Architected的框架,用来指导用户上云、用云以及管云,而云治理中心就是基于两个框架的产品化实现。

在企业上云阶段,云治理中心提供了蓝图搭建和账号工厂功能,前者帮助客户一站式地搭建安全合规的企业上云框架,即Landing Zone结构,而账号工厂是本次方案的主角,可以帮助企业在Landing Zone框架下快速、高效地创建安全合规的账号。

在云上管理治理阶段,云治理中心提供了治理成熟度检测,以及即将上线的WA Tool,对企业云上IT治理成熟度进行客观和主观的度量,实现云上业务的持续治理。通过云治理中心就可以一站式搭建并持续管理企业云上的安全合规环境。

 

四、多账号环境下账号创建解决方案实例

1、解决方案

回到开篇提到的集团企业案例,它是Landing Zone多账号的架构。

image.png

企业管理账号,即开通资源目录的Master账号,该账号可以对整个集团的资源结构进行管理,同时也会有一些职能账号,如日志账号、安全账号、运维账号等,用来对集团进行统一管控。这些职能账号会统一放到Core资源夹下,其他的应用账号会统一放到Application资源夹下。企业当前已通过云治理中心蓝图搭建完成了Landing Zone环境的搭建,包括资源结构初始化、核心智能账号的创建、审计日志统一投递等,接下来企业管理账号就可以通过云治理中心账号工厂来创建交付业务应用所需要的账号。

以下是基于账号工厂高效创建安全合规型账号的解决方案:

image.png

可以看到集团企业业务应用分为开发环境和正式环境,两个环境的账号是隔离的,对应的账号存在明显差异。

首先,在标签上,两者对应的标签值不同,需要区分开发和正式;其次,企业需要统一镜像的安全基线和打包构件,因此,会统一下发镜像,而开发和正式环境的镜像也是存在差异的;最后,在网段安全组出入规则上,两个环境也并不相同。

因此管理账号在账号工厂中就可以为开发和正式环境分别定义两条账号基线,其中通过账号工厂提供的预置标签、共享镜像等基线项可以分别配置。当然某些业务账号也存在共性,如开通云产品,业务都需要使用的云产品,如OSSSLS,可以统一批量开通。

有的集团企业会有统一的职能账号做财务管理和运营管理等,因此,应用账号的联系人和消息通知也需要统一配置到对应的职能账号上。最后,一些基础的安全配置,像RAM用户的密码强度、安全设置等,都需要保证统一的安全基准。因此可以再定义一条账号基线,统一进行基础的通用配置,然后批量应用到所有的存量账号中,保证所有业务账号的基础基线完全一致。

2、实例演示

进入到具体产品的控制台,演示账号工厂的使用。

首先,进入云治理中心控制台,在控制台的搜索栏或左边的产品列表里都可以云治理中心。若是第一次使用云治理中心,会有产品开通的流程,建议使用企业管理账号开通、使用云治理中心,开通之后就可以进入账号工厂。首先需要编排账号基线,这里允许用户定义多个基线以满足不同类型账号的初始化需求。根据以上解决方案,已经为集团企业创建了三个基线,接下来分别进行了解。

image.png

左边是当前基线包含的基线项列表,可以通过下面的“添加基线项”按钮增加所需要的基线项,目前的账号工厂支持12个原子的基线项。基线项整体分为两部分,第一部分是通用设置,即蓝图搭建中的搭建项,它可以继续应用在账号工厂创建的账号中;第二部分是自定义的基线项,首先,可以配置账号联系人和消息通知,以往每创建一个账号就需要登录到账号上配置,而现在通过基线就可以一键完成。

在案例中创建了财务联系人,在消息通知中,根据需要可以将不同的消息通知到对应的联系人,如而将所有相关的财务消息都统一通知给财务联系人。

image.png

消息通知中提供了两种编辑模式,即简洁模式和高级模式。简洁模式中,可以同时开启整个通知分类;在高级模式中可以对每个分类下的原子消息进行单独配置。RAM相关的一系列的基线项,如RAM用户的安全设置以及RAM密码策略。

最后开通云产品,很多云产品需要开通或创建服务关联角色,只有完成这些才能使用云产品。在企业生产账号并且交付给应用或者产业团队使用时,期望能够完成所需产品的开通,可直接使用,使用账号工厂的基线项就可以保证新创建的账号默认开通了所需的云产品。在云产品列表中勾选上需要开通的云产品,如勾选了KMSOSSSLS

image.png

关于业务账号的基线,比如定义正式环境的账号基线,在基线中首先预置标签,通过预置标签可以把规划好的标签结构统一初始化在所有的新建账号中,预置了指示prod的环境标签,后面是一系列资源初始化的基线项,在VPC的基线项中,可以预置默认VPC,同时配置其交换机,划分网段,包括设置网络访问控制,像安全组、共享镜像等几个基线项支持将配置好的安全组以及镜像下发预置到新创建的账号中。

image.png

接下来点击“创建账号”按钮,选择需要应用的基线,如选择应用开发环境账号基线,填写账号的基本信息,选择账号所属的资源夹,配置其结算关系,这里还可以继续修改基线中定义的基线项。填写完成后,就可以进入到预览页面,确认无误后即可开始执行。在结果页面,可以实时看到当前的执行进度。

image.png

除可新建账号外,还可以将基线应用到已有的账号上,如把基础基线中的RAM密码策略批量刷到一些账号中。首先先选择目标基线项,再选择所需的账号,选择application资源夹下的生产账号和测试账号,进入“下一步”预览,预览无误后即可开始执行。这样就可以将基线下批量的应用到目标账号中。

image.png

同时,该过程是可以不断重复的,例如,在调整基线之后需要下发到所有账号中,进而批量应用到所有账号,每次修改均可再次应用。最后,在账号列表中,可以看到创建的所有账号,据此可以得出,账号工厂可以极大地提升用户效率,并可以持续保证账号的基线一致性。

image.png

以上是关于使用账号工厂高效创建安全合规新账号方案的全部内容。


  >>>欢迎点击资源管理产品控制台体验更多功能

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
26天前
|
敏捷开发 Kubernetes Cloud Native
阿里云云原生技术为企业提供了一套高效、灵活的解决方案,支持跨云部署与管理
在多云环境中,阿里云云原生技术为企业提供了一套高效、灵活的解决方案,支持跨云部署与管理。通过容器化、服务网格等技术,实现了应用的一致性与可移植性,简化了多云环境下的资源管理和服务治理,帮助企业应对复杂的云环境挑战,加速数字化转型。
40 5
|
6月前
|
传感器 运维 监控
AIRIOT智慧变电站管理解决方案
随着社会电气化需求增长,变电站管理面临数据收集局限性、信息化不足、缺乏实时监控、交互性差和智能化水平低等挑战。AIRIOT智慧变电站解决方案提供管理驾驶舱、高压配电图、电力数据分析、电能质量监控、环境参数控制等功能,实现高效智能运维,助力电力行业的数字化转型与可持续发展。该平台通过实时监控、数据分析和报警处理,提升运维效率和系统安全性,推动能源管理的现代化和经济性。
|
7月前
|
运维 监控 API
企业多账号的批量高效管理解决方案
在数智化转型的背景下,全球的企业上云步伐不断加快,越来越多的线下业务场景迁移上云。随着云上业务体量和业务场景复杂度的增加,许多企业的多组织跨部门管理效率,精细化管理质量,以及云上成本面临挑战。
196 2
|
7月前
|
Cloud Native 测试技术 持续交付
构建高效稳定的云原生应用部署策略云端防御:云计算环境中的网络安全与信息保护策略
【5月更文挑战第27天】 在快速迭代和持续交付成为企业软件开发新常态的今天,如何确保云原生应用的部署效率与稳定性是每个运维工程师面临的重要挑战。本文将探讨一种综合性部署策略,该策略结合了容器化技术、微服务架构、自动化测试以及持续集成/持续部署(CI/CD)流程,旨在为现代云原生应用提供一个可靠且高效的部署模式。通过分析传统部署模式的不足,并引入先进的技术和实践,我们的目标是降低部署风险,提高部署速度,同时确保产品质量和服务的稳定性。
|
7月前
|
运维 监控 安全
构建多账号云环境的解决方案|多账号配置统一合规审计
配置审计(Cloud Config)是提供了面向资源配置的审计服务,可以持续监控资源的配置变更,并在变更时自动触发合规评估,确保持续性合规。为了解决企业运维和安全人员业检查资源合规配置的效率难题,配置审计为客户提供了多账号的统一审计能力。用户可以在管理账号或者委派账号中统一设置合规基线并应用,从而可以实时查看企业下经过汇总的不合规资源。
64030 36
|
新零售 运维 安全
构建多账号云环境的解决方案|云防火墙企业多账号统一管理最佳实践
云防火墙通过与资源目录RD深度集成,可帮助企业将云上多个业务账号进行统一集中安全管控,大大提升运维效率。通过多账号统一管理能力,用户无需采购和运维多套云防火墙,仅需采购和运维一套,即可实现安全策略统一下发和防护效果统一分析审计等,更好满足企业网络安全集中化管控需求,并大大降低成本。
50396 6
|
7月前
|
SQL 弹性计算 监控
构建多账号云环境的解决方案|多账号云上操作日志统一审计
操作审计(ActionTrail)是阿里云提供的云账号资源操作记录的查询和投递服务,可用于安全分析、资源变更追踪以及合规性审计等场景。企业在阿里云采用多账号的资源结构时,如何满对跨账号跨地域的云上操作日志进行统一归集留存和分析,是企业上云管云过程的必备环节。此次分享为您介绍如何使用操作审计产品进行中心化的审计,提升云上多账号操作的可控可见性,及时发现问题、响应问题,规避潜在风险。
357 0
|
存储 云安全 运维
构建多账号云环境的解决方案|云安全中心多账号统一安全运营
为解决安全管理人员对企业下属的多个云产品的安全运营效率问题,云安全中心威胁分析结合资源管理服务,为客户提供多账号管理统一安全运营方案。通过指定委派管理员,即可在控制台统一多账号安全运营工作,免除在多个账号间频繁登录登出的烦恼。 
597 0
《云上企业财务经营解决方案》——二、企业多账号的批量高效管理解决方案(中)
《云上企业财务经营解决方案》——二、企业多账号的批量高效管理解决方案(中)
《云上企业财务经营解决方案》——二、企业多账号的批量高效管理解决方案(下)
《云上企业财务经营解决方案》——二、企业多账号的批量高效管理解决方案(下)
下一篇
DataWorks