演讲人:李秀英,阿里云云安全团队云防火墙产品经理
阿里云云防火墙产品是比较早实现多账号统一管理的安全产品之一,目前有比较多的大型新零售、政企、金融、国际互联网等企业机构正在使用云防火墙的多账号统一管理能力,可以让企业实现更加高效、更低成本的集中化运维。
这篇内容将介绍云上多账号环境下,云防火墙企业多账号统一管理的最佳实践。
如上上图所示,首先以某企业云上多账号管理与治理的需求为例来具体看企业面临的挑战。
由于该示例企业拥有数十家子公司,目前这些子公司的运维及安全都是由各个子公司相应团队独立负责。由于业务全球化趋严的信息安全要求,公司决定对各个子公司进行统一管控。
对于安全运维及网络运维的同事们来讲,高效、有效的盘点管控这些网络资产是一件非常困难的事情。在解释所遇到的困难之前,我们先来了解一下什么是云防火墙。
云防火墙是一款云上的多重网络边界流量安全防护产品,可以提供互联网边界、VPC边界、NAT边界、主机边界等多重边界安全隔离管控和防护,降低安全风险。
对于安全团队来说,云上网络多账号安全管理运维到底有哪些挑战呢?
比较突出的矛盾有两个,一个是安全运维人员的短缺,另外一个是安全任务的繁重。一般企业安全运维人员往往只有1到2个或者不到半个人,人员扩张速度往往赶不上业务的发展速度。
如果需要管理企业集团十多个账号,而且要每个账号配置ACL访问控制策略、查看攻击告警、进行流量分析以及日志审计等等,忙到焦头烂额一不留神哪个账号或资产没有关注到,或是策略没有配置好,就都有可能被恶意攻击或是攻陷,使企业陷入较大的风险中。另外,企业还需要在每个账号部署一套安全产品,对于企业来说也是一笔不小的成本支出。
从这个角度来看,对于企业来说,需要从to C的单账号运维视角转变为to B的多账号企业能力。
在Landing Zone企业上云最佳实践中,云防火墙可以通过多账号统一管控能力实现南北向互联网边界的统一安全管控和防护,以及东西向不同账号的VPC资产的多账号统一管控和防护,提升对应的安全防护效率和效果。
下面来具体看下云防火墙在互联网边界和VPC边界分别是怎么有效的实现南北向和东西向的有效集中化安全管控的。
南北向,即互联网边界针对公网资产的保护。当企业没有多账号统一管理能力的时候,如果有多个账号需要在每一个账号里部署和开通一套防火墙产品,并且在日常管理和运维的时候,需要登录每一个账号里面去分别进行策略的配置和管控。
云防火墙通过资源目录的集成,可以指定其中的一个账号为委派管理员账号。比如委派管理员账号A,然后将其他账号作为成员账号。这样就可以将成员账号B、C、D中的公网资产,例如EIP、SLB和NAT网关导入到当前的委派管理员账号中,并在当前的委派管理员中实现统一的公网资产的安全防护和管控,包括资产的统一接入、ACL策略的配置、IPS入侵告警的防护和查看、流量分析和日志审计等等,提升安全的运维效率和效果。
同样,在VPC边界如果没有多账号统一管理能力,如果用户想对跨VPC的流量进行隔离和管控,需要VPC防火墙与当前的CEN在同一账号下。
云防火墙通过云企业网和资源目录的结合,可以实现不同账号下的VPC和云企业网的统一管控和防护,这样就可以大大提升企业的东西向隔离防护的水位和效率。
下面再来介绍下云防火墙的多账号统一管控运维流程,这个流程操作起来还是很简单便捷的。
企业在资源管理中创建多个账号的资源目录,并通过可信服务将委派管理员账号,就可以在云防火墙实现多账号的统一管理界面,然后系统就可以自动同步当前这些成员账号,一键添加之后可以自动导入成员账号及资产,完成后就可以进行统一的安全管理和管控了。
再回到企业云上多账号规划方案。对于企业有多个管理员和多个业务账号,并且每个业务账号都分布各种网络资产,这对企业来说,不需要再每个账号,比如运维账号、网络账号、生产环境账号、开发环境账号等各个账号部署一套云防火墙产品,用户只需要在当前的安全账号下部署一套云防火墙产品,就可以进行集中化安全管理和管控了。
下面,详细介绍下云防火墙多账号统一安全管控方案的实践方案。
安全合规人员可以在当前的安全账号下开通一套云防火墙,然后通过资源目录的可信服务将当前的安全账号授权为委派管理账号,将其他成员账号下的资产统一纳管到当前的安全账号下,比如网络运维账号、业务开发账号等等,进行实现互联网边界和VPC边界的统一安全隔离管控,使企业实现更高效率和更低成本的安全管理。
下面是云防火墙多账号统一管理的DEMO演示。
首先进入云防火墙的管理控制台,在设置多账号统一管理界面中查看并进行多账号统一管理账号的添加和管理。核心步骤主要是四步,前面两步都是在资源目录中进行完成的,主要是开通资源目录和创建多账号体系,以及在资源目录中设置云防火墙的委派管理员。
完成前两步之后,在当前的多账号统一管理界面,可以在云防火墙添加成员账号以及在云防火墙上进行统一的安全管理。
首先,看下第一步如何开通资源目录和创建多账号体系。这个时候可以点击并前往“资源目录”。在资源目录下资源组织里,可以看到当前已经创建完成了资源组织结构,可以在这里进行成员的创建、添加和移动或删除。
当前资源组织结构里面的账号都是可以被相互纳管、合作、统一管理的。
然后,我们再接着看下如何将当前的云防火墙账号作为委派管理员账号。进入资源目录可信服务的界面,点击并跳转到“云防火墙管理”界面。在这个界面可以看到,当前账号如果是对应资源目录的管理账号,账号下已经拥有可信服务的启用权限了。
当然我们也可以添加其他账号为委派管理员账号,拥有云防火墙多账号统一管理的权限。
以上就完成了前两个步骤的操作,分别是对应资源目录的创建及可信服务进行委派管理员账号授权。
接下来回到产品的控制台,接着执行第三步的操作,在云防火墙添加成员账号。
云防火墙会自动同步当前资源目录下所有的账号,我们可以选择合适的账号添加到对应的云防火墙的成员账号目录中,点击确认,就完成了一键自动添加。
添加完成后,可以在云防火墙统一进行安全管理,包括在云防火墙开关页面进行资产的统一接入引流、公网资产的统一盘点等等。
同样的,在VPC边界防火墙也可以进行跨账号的统一管理。这样开启保护之后就可以在控制台上看到对应的不同账号下的公网资产的流量分析情况、VPC互访的流量情况和详细的流量可视化分析等。
在入侵防护方面,也可以进行针对所有成员账号和当前管理员账号下的公网资产以及VPC资产进行统一的攻击防护和告警分析以及详情的查看。
除此之外,在失陷感知里面,可以针对已经被有异常的恶意外连的资产进行查看当前的攻击情况和拦截情况,可以查看详细的所属账号并进行及时的资产攻击风险处置。
在访问控制页面,可以针对当前所有的公网资产和VPC资产进行策略的统一下发和配置。当然,在配置完策略之后也可以进行统一的日志审计和分析。
另外,还可以针对当前所有攻击及资产的保护状态接收进行统一的告警分析,并进行攻击态势的周报统计。所有的这些告警通知都是针对已经纳管进来的多账号的资产。
当前,针对包年包月的版本,我们提供了一个账号的多账号能力的免费试用服务,若超出一个账号想要扩容的话,也可以在变配页面选择多账号统一管理,这样就可以进行多账号的管控数量按需进行扩容。
