简介:云上多账号环境下的网络对立治理,是大型分支型企业网络安全防护的必经之路。无论是外企入华、国内企业出海,还是外乡集团型企业规模化成长,云上对立网络安全管控与整体平安态势感知,都能够拉齐企业账号间平安水位,让平安防护无死角。
引言
中大型企业上云时,通常抉择依照业务线、我的项目或应用场景、生产测试环境来建设多账号体系。绝对于单账号体系,多账号间的云资源默认隔离,便于不同产品 / 分支机构间进行独立的老本结算和运维治理,缩小了单账号下过于宽泛的 RAM 权限带来的危险。
但同时,也会使平安治理变得较单账号体系简单:
- 平安报表剖析、资产盘点须要笼罩多个云账号,统计耗时耗力;
- 安全策略不得不在多个账号中进行反复配置,运维人员陷入“重复劳动”陷阱;
- 破绽攻打、入侵、失陷等异样行为在影响多个账号时,应急处理慌手慌脚;
- 多个业务账号下,南北向与东西向流量不足对立视角,日志剖析不足全局剖析能力。
那么,从不同企业业务需要和组织架构登程
云防火墙是怎么在阿里云上实现多账号对立平安纳管的呢?
一起打开这本“心法秘籍”来一探到底
云墙“心法”一:集中用兵,打歼灭战
业务再多,防护也有“上帝视角”
云上的大、中型企业,业务类型千差万别,造成少则数十、多至数千的业务子账号,企业平安人员治理数千至十几万资产的对立防护,平安运维压力大。传统的网络进攻架构下,防火墙的管理权限分属于不同业务部门,每个业务账号独立治理,不足对立视角,被动式入侵检测难逃“亡羊补牢”的难堪。
- 互联网出入口治理:互联网出入口扩散在不同账号中,进出流量夹杂大量攻打,针对 EIP 的攻打并发性强,而账号分属不同 owner,防护碎片化;
- 攻打 IP 封禁:强反抗场景考验企业进攻策略,对 IP 封禁策略、黑名单机制和被动外联行为发现的实时性有严苛要求;
- 蠕虫治理:一旦暴发强传染性蠕虫,云上进攻须要实现组织对立管控,即时进攻;
- 破绽修复:在组织层级架构下,针对高危 / 中危破绽认知程度、修复伎俩和破绽进攻理解力亟待拉齐;
- 误报率高:不足账号间关联关系学习,传统防火墙难以辨别关联用户高频失常拜访与暴力破解,入侵检测误报率高。
图 数千账号入侵防护亡羊补牢 vs 多业务账号对立入侵防护架构图
云防火墙公网资产主动平安纳管
通过阿里云·云防火墙的跨账号对立互联网边界资产治理能力,用户可能在一个控制台对立治理各个账号下的 EIP 资产,笼罩 ECS、SLB 和 NAT 资源。当受管账号发现新的网络资产时,会主动被云防火墙纳管,防止资产脱漏,网络进攻无短板。
排除业务间防护盲区
对于开启了防护的公网裸露资产,所有 IPS 规定即刻失效,多个账号下互联网边界对立平安进攻,真正实现针对内部歹意入侵、攻打的单点告警和全业务象限协同拦挡,升高因为管控疏漏导致的网络安全事件。
- 裸露面一键收敛:拨开简单业务场景流量,依附深度报文解析和海量历史日志的机器学习,实现边界裸露面的一键策略收敛,攻打水位降落 90%;
- 大数据协同进攻:依靠图计算情报关联自成长,日均千万级的高质量精准情报实时拦挡,协同构建多账号企业的动静网络安全边界,攻防和僵木蠕场景实现寰球云网络视线的最早在朝利用的可见可防;
- 虚构补丁:为云上客户实现针对近程可利用破绽(RCE)的跨账号虚拟化进攻,拉齐应急响应能力。
- 白名单策略升高误报:基于账号间关联关系的流量学习,在企业账号间造成更高置信度的白名单策略,企业账号间互访实现 0 误报。
云墙“心法”二:力争被动,力避被动
跨业务环境统管,安全策略配置一次搞定
服务或资源隔离是缩小零碎间依赖,防止故障蔓延的重要伎俩。云上企业往往通过划分不同的 VPC,将须要隔离的业务资源从网络层面离开。
混合云架构下,对于不同的业务分支或环境属性,云账号撑持着更简单的隔离与业务互访场景,如 IDC 与 VPC 间、VPN、专线等。简单隔离拜访需要带来的,是更为简单的安全策略配置。
- 重复劳动:在不同的账号下搭建防火墙设施,在不同的区域中配置拜访控制策略 ACL,导致一条雷同的策略须要屡次配置;
- 策略抵触:对于不同的账号环境下的策略,不足对立管控,极易造成访问控制时的策略抵触等问题;
- 业务碰壁:同一企业不同业务 / 环境间平安控制策略难以同步,重大时有可能影响业务(如:针对某类入侵,测试环境未设置阻断,而生产环境阻断未进行测试,防护规定与业务抵触,影响失常业务流量)。
图 多环境平安配置忙乱 vs 跨业务 / 开发 - 测试 - 生产环境策略配置统管
策略统管更高效
阿里云·云防火墙目前通过集成 CEN 服务,为企业跨账号以及跨 VPC 的流量互访,提供了对立的策略管控能力,帮忙企业通过一个策略配置平台,实现不同账号和 VPC 间的拜访控制策略对立治理,除了笼罩 VPC 间互访外,还能针对专线和云连贯网 CCN 等混合云场景,实现一条策略,全局失效,单条策略下发耗时从原来的以天为单位缩短到以秒为单位,免去了屡次配置同样策略所减少的工作量和危险,帮忙企业更好的实现对立管控。
云墙“心法”三:精勤谨慎,指挥若定
多地分公司对立平安报表剖析与结算
组织架构肯定水平上决定了云账号的构造,无论是团体 - 子公司运作模式,或是多分支机构运作模式,企业安全部门最大的难题就是对各个业务运行环境的对立平安感知能力,而其中,网络安全又是最重要的剖析对象之一。企业在互联网侧总共裸露了多少网络端口,以后有多少个隔离域正在运行,布局的南北向和东西向隔离策略是否失常失效,有多少网络入侵事件每天在产生,全量的日志是否如布局被正确记录以满足审计的要求,是否有异样的流量正在产生,业务间的调用关系是否正当等,这些网络安全运维问题在一个账号下还绝对可控,但一旦扩散到多个云账号下,对于管理人员就成了劫难,流量数据的对立,网络日志的对立,攻打剖析的对立,对于日常的平安运维,简直都是“不可能的工作”。
图 多分支机构通过治理账号实现对立报表剖析与结算
集中流量剖析与报表统计
通过集中化的数据统计,网络安全运维人员只须要关注对立的数据平台,就可能实时把握企业整体的网络安全运行态势、资产裸露状况、策略配置和成果、入侵进攻数据,并且将不同账号环境下的日志数据自动化进行归集,在满足诸如等保 2.0 等合规要求的根底上,通过对立的剖析,优化报表统计,使得后果更为精确,全面,也能更好的为后续优化工作提供数据根底。
用户声音
“云防火墙的集中管控能力帮忙咱们将云上多个业务账号和第三方测试账号进行了对立纳管,实现了一个控制台的防护可视化。这大大简化了日常的网络策略运维工作,晋升了网络流量对立剖析的效率和品质,十分好地满足了咱们企业对于网络安全集中化治理的需要,并且为将来更精细化的网络策略管控铺平了路线。”——某大型金融企业信息安全负责人
云上多账号环境下的网络对立治理,是大型分支型企业网络安全防护的必经之路。无论是外企入华、国内企业出海,还是外乡集团型企业规模化成长,云上对立网络安全管控与整体平安态势感知,都能够拉齐企业账号间平安水位,让平安防护无死角。
原文链接
本文为阿里云原创内容,未经容许不得转载。