引言
中大型企業上雲時,通常選擇按照業務線、項目或使用場景、生産測試環境來建立多賬号體系。相對于單賬号體系,多賬号間的雲資源預設隔離,便于不同産品/分支機構間進行獨立的成本結算和運維管理,減少了單賬号下過于寬泛的RAM權限帶來的風險。
但同時,也會使安全管理變得較單賬号體系複雜:
- 安全報表分析、資産盤點需要覆寫多個雲賬号,統計耗時耗力;
- 安全政策不得不在多個賬号中進行重複配置,運維人員陷入“重複勞動”陷阱;
- 漏洞攻擊、入侵、失陷等異常行為在影響多個賬号時,應急處置手忙腳亂;
- 多個業務賬号下,南北向與東西向流量缺乏統一視角,日志分析缺乏全局分析能力。
那麼,從不同企業業務需求群組織架構出發
雲防火牆是怎樣在阿裡雲上實作多賬号統一安全納管的呢?
一起翻開這本“心法秘籍”來一探究竟
雲牆“心法”一:集中用兵,打殲滅戰
業務再多,防護也有“上帝視角”
雲上的大、中型企業,業務類型千差萬别,形成少則數十、多至數千的業務子賬号,企業安全人員管理數千至十幾萬資産的統一防護,安全運維壓力大。傳統的網絡防禦架構下,防火牆的管理權限分屬于不同業務部門,每個業務賬号獨立管理,缺乏統一視角,被動式入侵檢測難逃“亡羊補牢”的尴尬。
- 網際網路出入口管理:網際網路出入口分散在不同賬号中,進出流量夾雜大量攻擊,針對EIP的攻擊并發性強,而賬号分屬不同owner,防護碎片化;
- 攻擊IP封禁:強對抗場景考驗企業防禦政策,對IP封禁政策、黑名單機制和主動外聯行為發現的實時性有嚴苛要求;
- 蠕蟲管理:一旦爆發強傳染性蠕蟲,雲上防禦需要實作組織統一管控,即時防禦;
- 漏洞修複:在組織層級架構下,針對高危/中危漏洞認知水準、修複手段和漏洞防禦了解力亟待拉齊;
- 誤報率高:缺乏賬号間關聯關系學習,傳統防火牆難以區分關聯使用者高頻正常通路與暴力破解,入侵檢測誤報率高。
圖 數千賬号入侵防護亡羊補牢 vs 多業務賬号統一入侵防護架構圖
雲防火牆公網資産自動安全納管
通過阿裡雲·雲防火牆的跨賬号統一網際網路邊界資産管理能力,使用者能夠在一個控制台統一管理各個賬号下的EIP資産,覆寫ECS、SLB和NAT資源。當受管賬号發現新的網絡資産時,會自動被雲防火牆納管,避免資産遺漏,網絡防禦無短闆。
掃除業務間防護盲區
對于開啟了防護的公網暴露資産,所有IPS規則即刻生效,多個賬号下網際網路邊界統一安全防禦,真正實作針對外部惡意入侵、攻擊的單點告警和全業務象限協同攔截,降低由于管控疏漏導緻的網絡安全事件。
- 暴露面一鍵收斂:撥開複雜業務場景流量,依靠深度封包解析和海量曆史日志的機器學習,實作邊界暴露面的一鍵政策收斂,攻擊水位下降90%;
- 大資料協同防禦:依托圖計算情報關聯自生長,日均千萬級的高品質精準情報實時攔截,協同建構多賬号企業的動态網絡安全邊界,攻防和僵木蠕場景實作全球雲網絡視野的最早在野利用的可見可防;
- 虛拟更新檔:為雲上客戶實作針對遠端可利用漏洞(RCE)的跨賬号虛拟化防禦,拉齊應急響應能力。
- 白名單政策降低誤報:基于賬号間關聯關系的流量學習,在企業賬号間形成更高置信度的白名單政策,企業賬号間互訪實作0誤報。
雲牆“心法”二:力争主動,力避被動
跨業務環境統管,安全政策配置一次搞定
服務或資源隔離是減少系統間依賴,避免故障蔓延的重要手段。雲上企業往往通過劃分不同的VPC,将需要隔離的業務資源從網絡層面分開。
混合雲架構下,對于不同的業務分支或環境屬性,雲賬号支撐着更複雜的隔離與業務互訪場景,如IDC與VPC間、VPN、專線等。複雜隔離通路需求帶來的,是更為複雜的安全政策配置。
- 重複勞動:在不同的賬号下搭建防火牆裝置,在不同的區域中配置通路控制政策ACL,導緻一條相同的政策需要多次配置;
- 政策沖突:對于不同的賬号環境下的政策,缺乏統一管控,極易造成通路控制時的政策沖突等問題;
- 業務受阻:同一企業不同業務/環境間安全控制政策難以同步,嚴重時有可能影響業務(如:針對某類入侵,測試環境未設定阻斷,而生産環境阻斷未進行測試,防護規則與業務沖突,影響正常業務流量)。
圖 多環境安全配置忙亂 vs 跨業務/開發-測試-生産環境政策配置統管
政策統管更高效
阿裡雲·雲防火牆目前通過內建CEN服務,為企業跨賬号以及跨VPC的流量互訪,提供了統一的政策管控能力,幫助企業通過一個政策配置平台,實作不同賬号和VPC間的通路控制政策統一管理,除了覆寫VPC間互訪外,還能針對專線和雲連接配接網CCN等混合雲場景,實作一條政策,全局生效,單條政策下發耗時從原來的以天為機關縮短到以秒為機關,免去了多次配置同樣政策所增加的工作量和風險,幫助企業更好的實作統一管控。
雲牆“心法”三:精勤慎重,指揮若定
多地分公司統一安全報表分析與結算
組織架構一定程度上決定了雲賬号的結構,無論是集團-子公司運作模式,或是多分支機構運作模式,企業安全部門最大的難題就是對各個業務運作環境的統一安全感覺能力,而其中,網絡安全又是最重要的分析對象之一。企業在網際網路側總共暴露了多少網絡端口,目前有多少個隔離域正在運作,規劃的南北向和東西向隔離政策是否正常生效,有多少網絡入侵事件每天在發生,全量的日志是否如規劃被正确記錄以滿足審計的要求,是否有異常的流量正在發生,業務間的調用關系是否合理等,這些網絡安全運維問題在一個賬号下還相對可控,但一旦分散到多個雲賬号下,對于管理人員就成了災難,流量資料的統一,網絡日志的統一,攻擊分析的統一,對于日常的安全運維,幾乎都是“不可能的任務”。
圖 多分支機構通過管理賬号實作統一報表分析與結算
集中流量分析與報表統計
通過集中化的資料統計,網絡安全運維人員隻需要關注統一的資料平台,就能夠實時掌握企業整體的網絡安全運作态勢、資産暴露情況、政策配置和效果、入侵防禦資料,并且将不同賬号環境下的日志資料自動化進行歸集,在滿足諸如等保2.0等合規要求的基礎上,通過統一的分析,優化報表統計,使得結果更為準确,全面,也能更好的為後續優化工作提供資料基礎。
使用者聲音
“雲防火牆的集中管控能力幫助我們将雲上多個業務賬号和第三方測試賬号進行了統一納管,實作了一個控制台的防護可視化。這大大簡化了日常的網絡政策運維工作,提升了網絡流量統一分析的效率和品質,非常好地滿足了我們企業對于網絡安全集中化管理的需求,并且為未來更精細化的網絡政策管控鋪平了道路。”——某大型金融企業資訊安全負責人
雲上多賬号環境下的網絡統一管理,是大型分支型企業網絡安全防護的必經之路。無論是外企入華、國内企業出海,還是本土集團型企業規模化成長,雲上統一網絡安全管控與整體安全态勢感覺,都可以拉齊企業賬号間安全水位,讓安全防護無死角。