构建多账号云环境的解决方案|云防火墙企业多账号统一管理最佳实践

简介: 云防火墙通过与资源目录RD深度集成,可帮助企业将云上多个业务账号进行统一集中安全管控,大大提升运维效率。通过多账号统一管理能力,用户无需采购和运维多套云防火墙,仅需采购和运维一套,即可实现安全策略统一下发和防护效果统一分析审计等,更好满足企业网络安全集中化管控需求,并大大降低成本。

演讲人:李秀英,阿里云云安全团队云防火墙产品经理  

 

阿里云云防火墙产品是比较早实现多账号统一管理的安全产品之一,目前有比较多的大型新零售、政企、金融、国际互联网等企业机构正在使用云防火墙的多账号统一管理能力,可以让企业实现更加高效、更低成本的集中化运维。

 

这篇内容将介绍云上多账号环境下,云防火墙企业多账号统一管理的最佳实践。

 

                             image.png

 

如上上图所示,首先以某企业云上多账号管理与治理的需求为例来具体看企业面临的挑战。

 

由于该示例企业拥有数十家子公司,目前这些子公司的运维及安全都是由各个子公司相应团队独立负责。由于业务全球化趋严的信息安全要求,公司决定对各个子公司进行统一管控。

 

对于安全运维及网络运维的同事们来讲,高效、有效的盘点管控这些网络资产是一件非常困难的事情。在解释所遇到的困难之前,我们先来了解一下什么是云防火墙。

 

image.png

 

云防火墙是一款云上的多重网络边界流量安全防护产品,可以提供互联网边界、VPC边界、NAT边界、主机边界等多重边界安全隔离管控和防护,降低安全风险。

 

对于安全团队来说,云上网络多账号安全管理运维到底有哪些挑战呢?

 image.png

 

比较突出的矛盾有两个,一个是安全运维人员的短缺,另外一个是安全任务的繁重。一般企业安全运维人员往往只有12个或者不到半个人,人员扩张速度往往赶不上业务的发展速度。

 

如果需要管理企业集团十多个账号,而且要每个账号配置ACL访问控制策略、查看攻击告警、进行流量分析以及日志审计等等,忙到焦头烂额一不留神哪个账号或资产没有关注到,或是策略没有配置好,就都有可能被恶意攻击或是攻陷,使企业陷入较大的风险中。另外,企业还需要在每个账号部署一套安全产品,对于企业来说也是一笔不小的成本支出。

 

从这个角度来看,对于企业来说,需要从to C的单账号运维视角转变为to B的多账号企业能力。

 

Landing Zone企业上云最佳实践中,云防火墙可以通过多账号统一管控能力实现南北向互联网边界的统一安全管控和防护,以及东西向不同账号的VPC资产的多账号统一管控和防护,提升对应的安全防护效率和效果。

 

image.png

 

下面来具体看下云防火墙在互联网边界和VPC边界分别是怎么有效的实现南北向和东西向的有效集中化安全管控的。

 image.png


 

南北向,即互联网边界针对公网资产的保护。当企业没有多账号统一管理能力的时候,如果有多个账号需要在每一个账号里部署和开通一套防火墙产品,并且在日常管理和运维的时候,需要登录每一个账号里面去分别进行策略的配置和管控。

 

云防火墙通过资源目录的集成,可以指定其中的一个账号为委派管理员账号。比如委派管理员账号A,然后将其他账号作为成员账号。这样就可以将成员账号BCD中的公网资产,例如EIPSLBNAT网关导入到当前的委派管理员账号中,并在当前的委派管理员中实现统一的公网资产的安全防护和管控,包括资产的统一接入、ACL策略的配置、IPS入侵告警的防护和查看、流量分析和日志审计等等,提升安全的运维效率和效果。

 

同样,在VPC边界如果没有多账号统一管理能力,如果用户想对跨VPC的流量进行隔离和管控,需要VPC防火墙与当前的CEN在同一账号下。

 

云防火墙通过云企业网和资源目录的结合,可以实现不同账号下的VPC和云企业网的统一管控和防护,这样就可以大大提升企业的东西向隔离防护的水位和效率。

 

image.png

 

下面再来介绍下云防火墙的多账号统一管控运维流程,这个流程操作起来还是很简单便捷的。

 

image.png

 

企业在资源管理中创建多个账号的资源目录,并通过可信服务将委派管理员账号,就可以在云防火墙实现多账号的统一管理界面,然后系统就可以自动同步当前这些成员账号,一键添加之后可以自动导入成员账号及资产,完成后就可以进行统一的安全管理和管控了。

 

再回到企业云上多账号规划方案。对于企业有多个管理员和多个业务账号,并且每个业务账号都分布各种网络资产,这对企业来说,不需要再每个账号,比如运维账号、网络账号、生产环境账号、开发环境账号等各个账号部署一套云防火墙产品,用户只需要在当前的安全账号下部署一套云防火墙产品,就可以进行集中化安全管理和管控了。

 

image.png

 

下面,详细介绍下云防火墙多账号统一安全管控方案的实践方案。

 

image.png

 

安全合规人员可以在当前的安全账号下开通一套云防火墙,然后通过资源目录的可信服务将当前的安全账号授权为委派管理账号,将其他成员账号下的资产统一纳管到当前的安全账号下,比如网络运维账号、业务开发账号等等,进行实现互联网边界和VPC边界的统一安全隔离管控,使企业实现更高效率和更低成本的安全管理。

 

下面是云防火墙多账号统一管理的DEMO演示。

 

首先进入云防火墙的管理控制台,在设置多账号统一管理界面中查看并进行多账号统一管理账号的添加和管理。核心步骤主要是四步,前面两步都是在资源目录中进行完成的,主要是开通资源目录和创建多账号体系,以及在资源目录中设置云防火墙的委派管理员。

 image.png

 

完成前两步之后,在当前的多账号统一管理界面,可以在云防火墙添加成员账号以及在云防火墙上进行统一的安全管理。

 

首先,看下第一步如何开通资源目录和创建多账号体系。这个时候可以点击并前往“资源目录”。在资源目录下资源组织里,可以看到当前已经创建完成了资源组织结构,可以在这里进行成员的创建、添加和移动或删除。

 

当前资源组织结构里面的账号都是可以被相互纳管、合作、统一管理的。

 image.png

 

然后,我们再接着看下如何将当前的云防火墙账号作为委派管理员账号。进入资源目录可信服务的界面,点击并跳转到“云防火墙管理”界面。在这个界面可以看到,当前账号如果是对应资源目录的管理账号,账号下已经拥有可信服务的启用权限了。

 

当然我们也可以添加其他账号为委派管理员账号,拥有云防火墙多账号统一管理的权限。

 

image.png

 

以上就完成了前两个步骤的操作,分别是对应资源目录的创建及可信服务进行委派管理员账号授权。

 

接下来回到产品的控制台,接着执行第三步的操作,在云防火墙添加成员账号。

 

image.png

 

云防火墙会自动同步当前资源目录下所有的账号,我们可以选择合适的账号添加到对应的云防火墙的成员账号目录中,点击确认,就完成了一键自动添加。

 

添加完成后,可以在云防火墙统一进行安全管理,包括在云防火墙开关页面进行资产的统一接入引流、公网资产的统一盘点等等。

 image.png

 

同样的,在VPC边界防火墙也可以进行跨账号的统一管理。这样开启保护之后就可以在控制台上看到对应的不同账号下的公网资产的流量分析情况、VPC互访的流量情况和详细的流量可视化分析等。

 

在入侵防护方面,也可以进行针对所有成员账号和当前管理员账号下的公网资产以及VPC资产进行统一的攻击防护和告警分析以及详情的查看。

 image.png

 

除此之外,在失陷感知里面,可以针对已经被有异常的恶意外连的资产进行查看当前的攻击情况和拦截情况,可以查看详细的所属账号并进行及时的资产攻击风险处置。

 image.png

 

在访问控制页面,可以针对当前所有的公网资产和VPC资产进行策略的统一下发和配置。当然,在配置完策略之后也可以进行统一的日志审计和分析。

 image.png

 

另外,还可以针对当前所有攻击及资产的保护状态接收进行统一的告警分析,并进行攻击态势的周报统计。所有的这些告警通知都是针对已经纳管进来的多账号的资产。

image.png

 

当前,针对包年包月的版本,我们提供了一个账号的多账号能力的免费试用服务,若超出一个账号想要扩容的话,也可以在变配页面选择多账号统一管理,这样就可以进行多账号的管控数量按需进行扩容。

 image.png


>>>欢迎点击资源管理产品控制台体验更多功能

 

相关文章
|
2月前
|
运维 网络协议 安全
小白带你学习linux的防火墙
小白带你学习linux的防火墙
135 1
|
4月前
|
安全 Linux 网络安全
Linux一些防火墙实战知识
本文介绍了如何在Linux中设置防火墙和开放端口,以提高服务器的安全性。首先,使用firewalld作为防火墙软件包,并确保firewalld服务正在运行。然后,通过添加服务来定义允许的服务端口,可以使用firewall-cmd命令查看当前已定义的服务,并使用firewall-cmd命令添加服务。添加规则后,需要重新加载firewalld配置以使更改生效。在某些情况下,需要打开特定的端口,例如HTTP端口80和HTTPS端口443。可以使用firewall-cmd命令打开端口,并将规则添加到相应的区域。。。确实都是工作中日常中会用到的一些命令
|
4月前
|
安全 Linux 网络安全
百度搜索:蓝易云【linux iptables安全技术与防火墙】
请注意,iptables的具体使用方法和配置选项可能会有所不同,取决于Linux发行版和版本。管理员应该参考相关文档和资源,以了解适用于其特定环境的最佳实践和配置方法。
460 0
百度搜索:蓝易云【linux iptables安全技术与防火墙】
|
4月前
|
开发框架 网络协议 Ubuntu
【Linux】配置网络和firewall防火墙(超详细介绍+实战)
【Linux】配置网络和firewall防火墙(超详细介绍+实战)
870 0
|
5月前
|
网络协议 安全 Linux
百度搜索:蓝易云【Linux系统下如何在防火墙开放指定端口】
在Linux系统中,防火墙是用于保护计算机安全的重要组成部分。默认情况下,大多数Linux发行版都会自带一个防火墙,如iptables、firewalld等。当我们需要运行特定的应用程序或服务时,需要在防火墙中开放相应的端口。下面就是Linux系统下如何在防火墙开放指定端口的详细步骤。
77 0
|
2月前
|
网络协议 Linux 网络安全
linux服务器防火墙的开启及关闭
linux服务器防火墙的开启及关闭
104 1
|
2月前
|
安全 Linux 网络安全
linux的防火墙
Linux的防火墙是一种网络安全工具,用于保护Linux系统免受网络攻击。
49 0
|
2月前
|
存储 网络协议 Linux
Linux加强篇008-使用Iptables与Firewalld防火墙
山重水复疑无路,柳暗花明又一村
259 0
Linux加强篇008-使用Iptables与Firewalld防火墙
|
1月前
|
监控 网络协议 安全
Linux中防火墙的简单使用方法
防火墙是一种网络安全设备或软件,用于监控和控制网络流量,以保护计算机网络免受未经授权的访问、恶意攻击和未经授权的数据传输。防火墙通过筛选网络流量并根据预定义的规则集来允许或阻止特定类型的通信。
139 0

相关产品

  • OpenAPI Explorer