简介: 云上多帐号环境下的网络统一管理,是大型分支型企业网络安全防御的必经之路。不管是外企入华、国内企业出海,仍是本土集团型企业规模化成长,云上统一网络安全管控与总体安全态势感知,均可以拉齐企业帐号间安全水位,让安全防御无死角。安全
中大型企业上云时,一般选择按照业务线、项目或使用场景、生产测试环境来创建多帐号体系。相对于单帐号体系,多帐号间的云资源默认隔离,便于不一样产品/分支机构间进行独立的成本结算和运维管理,减小了单帐号下过于宽泛的RAM权限带来的风险。网络
但同时,也会使安全管理变得较单帐号体系复杂:架构
那么,从不一样企业业务需求和组织架构出发
云防火墙是怎样在阿里云上实现多帐号统一安全纳管的呢?
一块儿翻开这本“心法秘籍”来一探究竟并发
云上的大、中型企业,业务类型千差万别,造成少则数10、多至数千的业务子帐号,企业安全人员管理数千至十几万资产的统一防御,安全运维压力大。传统的网络防护架构下,防火墙的管理权限分属于不一样业务部门,每一个业务帐号独立管理,缺少统一视角,被动式入侵检测难逃“亡羊补牢”的尴尬。运维
图 数千帐号入侵防御亡羊补牢 vs 多业务帐号统一入侵防御架构图机器学习
经过阿里云·云防火墙的跨帐号统一互联网边界资产管理能力,用户可以在一个控制台统一管理各个帐号下的EIP资产,覆盖ECS、SLB和NAT资源。当受管帐号发现新的网络资产时,会自动被云防火墙纳管,避免资产遗漏,网络防护无短板。学习
对于开启了防御的公网暴露资产,全部IPS规则即刻生效,多个帐号下互联网边界统一安全防护,真正实现针对外部恶意入侵、攻击的单点告警和全业务象限协同拦截,下降因为管控疏漏致使的网络安全事件。测试
服务或资源隔离是减小系统间依赖,避免故障蔓延的重要手段。云上企业每每经过划分不一样的VPC,将须要隔离的业务资源从网络层面分开。
混合云架构下,对于不一样的业务分支或环境属性,云帐号支撑着更复杂的隔离与业务互访场景,如IDC与VPC间、VPN、专线等。复杂隔离访问需求带来的,是更为复杂的安全策略配置。大数据
图 多环境安全配置忙乱 vs 跨业务/开发-测试-生产环境策略配置统管优化
阿里云·云防火墙目前经过集成CEN服务,为企业跨帐号以及跨VPC的流量互访,提供了统一的策略管控能力,帮助企业经过一个策略配置平台,实现不一样帐号和VPC间的访问控制策略统一管理,除了覆盖VPC间互访外,还能针对专线和云链接网CCN等混合云场景,实现一条策略,全局生效,单条策略下发耗时从原来的以天为单位缩短到以秒为单位,免去了屡次配置一样策略所增长的工做量和风险,帮助企业更好的实现统一管控。
组织架构必定程度上决定了云帐号的结构,不管是集团-子公司运做模式,或是多分支机构运做模式,企业安所有门最大的难题就是对各个业务运行环境的统一安全感知能力,而其中,网络安全又是最重要的分析对象之一。企业在互联网侧总共暴露了多少网络端口,当前有多少个隔离域正在运行,规划的南北向和东西向隔离策略是否正常生效,有多少网络入侵事件天天在发生,全量的日志是否如规划被正确记录以知足审计的要求,是否有异常的流量正在发生,业务间的调用关系是否合理等,这些网络安全运维问题在一个帐号下还相对可控,但一旦分散到多个云帐号下,对于管理人员就成了灾难,流量数据的统一,网络日志的统一,攻击分析的统一,对于平常的安全运维,几乎都是“不可能的任务”。
图 多分支机构经过管理帐号实现统一报表分析与结算
经过集中化的数据统计,网络安全运维人员只须要关注统一的数据平台,就可以实时掌握企业总体的网络安全运行态势、资产暴露状况、策略配置和效果、入侵防护数据,而且将不一样帐号环境下的日志数据自动化进行归集,在知足诸如等保2.0等合规要求的基础上,经过统一的分析,优化报表统计,使得结果更为准确,全面,也能更好的为后续优化工做提供数据基础。
“云防火墙的集中管控能力帮助咱们将云上多个业务帐号和第三方测试帐号进行了统一纳管,实现了一个控制台的防御可视化。这大大简化了平常的网络策略运维工做,提高了网络流量统一分析的效率和质量,很是好地知足了咱们企业对于网络安全集中化管理的需求,而且为将来更精细化的网络策略管控铺平了道路。”——某大型金融企业信息安全负责人
云上多帐号环境下的网络统一管理,是大型分支型企业网络安全防御的必经之路。不管是外企入华、国内企业出海,仍是本土集团型企业规模化成长,云上统一网络安全管控与总体安全态势感知,均可以拉齐企业帐号间安全水位,让安全防御无死角。
原文连接本文为阿里云原创内容,未经容许不得转载。