引言
中大型企業上雲時,通常選擇按照業務線、項目或使用場景、生產測試環境來建立多賬號體系。相對於單賬號體系,多賬號間的雲資源默認隔離,便於不同產品/分支機構間進行獨立的成本結算和運維管理,減少了單賬號下過於寬泛的RAM權限帶來的風險。
但同時,也會使安全管理變得較單賬號體系複雜:
- 安全報表分析、資產盤點需要覆蓋多個雲賬號,統計耗時耗力;
- 安全策略不得不在多個賬號中進行重複配置,運維人員陷入“重複勞動”陷阱;
- 漏洞攻擊、入侵、失陷等異常行為在影響多個賬號時,應急處置手忙腳亂;
- 多個業務賬號下,南北向與東西向流量缺乏統一視角,日誌分析缺乏全局分析能力。
那麼,從不同企業業務需求和組織架構出發
雲防火牆是怎樣在阿里雲上實現多賬號統一安全納管的呢?
一起翻開這本“心法祕籍”來一探究竟
雲牆“心法”一:集中用兵,打殲滅戰
業務再多,防護也有“上帝視角”
雲上的大、中型企業,業務類型千差萬別,形成少則數十、多至數千的業務子賬號,企業安全人員管理數千至十幾萬資產的統一防護,安全運維壓力大。傳統的網絡防禦架構下,防火牆的管理權限分屬於不同業務部門,每個業務賬號獨立管理,缺乏統一視角,被動式入侵檢測難逃“亡羊補牢”的尷尬。
- 互聯網出入口管理:互聯網出入口分散在不同賬號中,進出流量夾雜大量攻擊,針對EIP的攻擊併發性強,而賬號分屬不同owner,防護碎片化;
- 攻擊IP封禁:強對抗場景考驗企業防禦策略,對IP封禁策略、黑名單機制和主動外聯行為發現的實時性有嚴苛要求;
- 蠕蟲管理:一旦爆發強傳染性蠕蟲,雲上防禦需要實現組織統一管控,即時防禦;
- 漏洞修復:在組織層級架構下,針對高危/中危漏洞認知水平、修復手段和漏洞防禦理解力亟待拉齊;
- 誤報率高:缺乏賬號間關聯關係學習,傳統防火牆難以區分關聯用戶高頻正常訪問與暴力破解,入侵檢測誤報率高。
圖 數千賬號入侵防護亡羊補牢 vs 多業務賬號統一入侵防護架構圖
雲防火牆公網資產自動安全納管
通過阿里雲·雲防火牆的跨賬號統一互聯網邊界資產管理能力,用戶能夠在一個控制檯統一管理各個賬號下的EIP資產,覆蓋ECS、SLB和NAT資源。當受管賬號發現新的網絡資產時,會自動被雲防火牆納管,避免資產遺漏,網絡防禦無短板。
掃除業務間防護盲區
對於開啟了防護的公網暴露資產,所有IPS規則即刻生效,多個賬號下互聯網邊界統一安全防禦,真正實現針對外部惡意入侵、攻擊的單點告警和全業務象限協同攔截,降低由於管控疏漏導致的網絡安全事件。
- 暴露面一鍵收斂:撥開復雜業務場景流量,依靠深度報文解析和海量歷史日誌的機器學習,實現邊界暴露面的一鍵策略收斂,攻擊水位下降90%;
- 大數據協同防禦:依託圖計算情報關聯自生長,日均千萬級的高質量精準情報實時攔截,協同構建多賬號企業的動態網絡安全邊界,攻防和僵木蠕場景實現全球雲網絡視野的最早在野利用的可見可防;
- 虛擬補丁:為雲上客戶實現針對遠程可利用漏洞(RCE)的跨賬號虛擬化防禦,拉齊應急響應能力。
- 白名單策略降低誤報:基於賬號間關聯關係的流量學習,在企業賬號間形成更高置信度的白名單策略,企業賬號間互訪實現0誤報。
雲牆“心法”二:力爭主動,力避被動
跨業務環境統管,安全策略配置一次搞定
服務或資源隔離是減少系統間依賴,避免故障蔓延的重要手段。雲上企業往往通過劃分不同的VPC,將需要隔離的業務資源從網絡層面分開。
混合雲架構下,對於不同的業務分支或環境屬性,雲賬號支撐著更復雜的隔離與業務互訪場景,如IDC與VPC間、VPN、專線等。複雜隔離訪問需求帶來的,是更為複雜的安全策略配置。
- 重複勞動:在不同的賬號下搭建防火牆設備,在不同的區域中配置訪問控制策略ACL,導致一條相同的策略需要多次配置;
- 策略衝突:對於不同的賬號環境下的策略,缺乏統一管控,極易造成訪問控制時的策略衝突等問題;
- 業務受阻:同一企業不同業務/環境間安全控制策略難以同步,嚴重時有可能影響業務(如:針對某類入侵,測試環境未設置阻斷,而生產環境阻斷未進行測試,防護規則與業務衝突,影響正常業務流量)。
圖 多環境安全配置忙亂 vs 跨業務/開發-測試-生產環境策略配置統管
策略統管更高效
阿里雲·雲防火牆目前通過集成CEN服務,為企業跨賬號以及跨VPC的流量互訪,提供了統一的策略管控能力,幫助企業通過一個策略配置平臺,實現不同賬號和VPC間的訪問控制策略統一管理,除了覆蓋VPC間互訪外,還能針對專線和雲連接網CCN等混合雲場景,實現一條策略,全局生效,單條策略下發耗時從原來的以天為單位縮短到以秒為單位,免去了多次配置同樣策略所增加的工作量和風險,幫助企業更好的實現統一管控。
雲牆“心法”三:精勤慎重,指揮若定
多地分公司統一安全報表分析與結算
組織架構一定程度上決定了雲賬號的結構,無論是集團-子公司運作模式,或是多分支機構運作模式,企業安全部門最大的難題就是對各個業務運行環境的統一安全感知能力,而其中,網絡安全又是最重要的分析對象之一。企業在互聯網側總共暴露了多少網絡端口,當前有多少個隔離域正在運行,規劃的南北向和東西向隔離策略是否正常生效,有多少網絡入侵事件每天在發生,全量的日誌是否如規劃被正確記錄以滿足審計的要求,是否有異常的流量正在發生,業務間的調用關係是否合理等,這些網絡安全運維問題在一個賬號下還相對可控,但一旦分散到多個雲賬號下,對於管理人員就成了災難,流量數據的統一,網絡日誌的統一,攻擊分析的統一,對於日常的安全運維,幾乎都是“不可能的任務”。
圖 多分支機構通過管理賬號實現統一報表分析與結算
集中流量分析與報表統計
通過集中化的數據統計,網絡安全運維人員只需要關注統一的數據平臺,就能夠實時掌握企業整體的網絡安全運行態勢、資產暴露情況、策略配置和效果、入侵防禦數據,並且將不同賬號環境下的日誌數據自動化進行歸集,在滿足諸如等保2.0等合規要求的基礎上,通過統一的分析,優化報表統計,使得結果更為準確,全面,也能更好的為後續優化工作提供數據基礎。
用戶聲音
“雲防火牆的集中管控能力幫助我們將雲上多個業務賬號和第三方測試賬號進行了統一納管,實現了一個控制檯的防護可視化。這大大簡化了日常的網絡策略運維工作,提升了網絡流量統一分析的效率和質量,非常好地滿足了我們企業對於網絡安全集中化管理的需求,並且為未來更精細化的網絡策略管控鋪平了道路。”——某大型金融企業信息安全負責人
雲上多賬號環境下的網絡統一管理,是大型分支型企業網絡安全防護的必經之路。無論是外企入華、國內企業出海,還是本土集團型企業規模化成長,雲上統一網絡安全管控與整體安全態勢感知,都可以拉齊企業賬號間安全水位,讓安全防護無死角。