簡介: 云上多賬號環境下的網路統一管理,是大型分支型企業網路安全防護的必經之路,無論是外企入華、國內企業出海,還是本土集團型企業規模化成長,云上統一網路安全管控與整體安全態勢感知,都可以拉齊企業賬號間安全水位,讓安全防護無死角,
引言
中大型企業上云時,通常選擇按照業務線、專案或使用場景、生產測驗環境來建立多賬號體系,相對于單賬號體系,多賬號間的云資源默認隔離,便于不同產品/分支機構間進行獨立的成本結算和運維管理,減少了單賬號下過于寬泛的RAM權限帶來的風險,
但同時,也會使安全管理變得較單賬號體系復雜:
- 安全報表分析、資產盤點需要覆寫多個云賬號,統計耗時耗力;
- 安全策略不得不在多個賬號中進行重復配置,運維人員陷入“重復勞動”陷阱;
- 漏洞攻擊、入侵、失陷等例外行為在影響多個賬號時,應急處置手忙腳亂;
- 多個業務賬號下,南北向與東西向流量缺乏統一視角,日志分析缺乏全域分析能力,
那么,從不同企業業務需求和組織架構出發
云防火墻是怎樣在阿里云上實作多賬號統一安全納管的呢?
一起翻開這本“心法秘籍”來一探究竟
云墻“心法”一:集中用兵,打殲滅戰
業務再多,防護也有“上帝視角”
云上的大、中型企業,業務型別千差萬別,形成少則數十、多至數千的業務子賬號,企業安全人員管理數千至十幾萬資產的統一防護,安全運維壓力大,傳統的網路防御架構下,防火墻的管理權限分屬于不同業務部門,每個業務賬號獨立管理,缺乏統一視角,被動式入侵檢測難逃“亡羊補牢”的尷尬,
- 互聯網出入口管理:互聯網出入口分散在不同賬號中,進出流量夾雜大量攻擊,針對EIP的攻擊并發性強,而賬號分屬不同owner,防護碎片化;
- 攻擊IP封禁:強對抗場景考驗企業防御策略,對IP封禁策略、黑名單機制和主動外聯行為發現的實時性有嚴苛要求;
- 蠕蟲管理:一旦爆發強傳染性蠕蟲,云上防御需要實作組織統一管控,即時防御;
- 漏洞修復:在組織層級架構下,針對高危/中危漏洞認知水平、修復手段和漏洞防御理解力亟待拉齊;
- 誤報率高:缺乏賬號間關聯關系學習,傳統防火墻難以區分關聯用戶高頻正常訪問與暴力破解,入侵檢測誤報率高,
圖 數千賬號入侵防護亡羊補牢 vs 多業務賬號統一入侵防護架構圖
云防火墻公網資產自動安全納管
通過阿里云·云防火墻的跨賬號統一互聯網邊界資產管理能力,用戶能夠在一個控制臺統一管理各個賬號下的EIP資產,覆寫ECS、SLB和NAT資源,當受管賬號發現新的網路資產時,會自動被云防火墻納管,避免資產遺漏,網路防御無短板,
掃除業務間防護盲區
對于開啟了防護的公網暴露資產,所有IPS規則即刻生效,多個賬號下互聯網邊界統一安全防御,真正實作針對外部惡意入侵、攻擊的單點告警和全業務象限協同攔截,降低由于管控疏漏導致的網路安全事件,
- 暴露面一鍵收斂:撥開復雜業務場景流量,依靠深度報文決議和海量歷史日志的機器學習,實作邊界暴露面的一鍵策略收斂,攻擊水位下降90%;
- 大資料協同防御:依托圖計算情報關聯自生長,日均千萬級的高質量精準情報實時攔截,協同構建多賬號企業的動態網路安全邊界,攻防和僵木蠕場景實作全球云網路視野的最早在野利用的可見可防;
- 虛擬補丁:為云上客戶實作針對遠程可利用漏洞(RCE)的跨賬號虛擬化防御,拉齊應急回應能力,
- 白名單策略降低誤報:基于賬號間關聯關系的流量學習,在企業賬號間形成更高置信度的白名單策略,企業賬號間互訪實作0誤報,
云墻“心法”二:力爭主動,力避被動
跨業務環境統管,安全策略配置一次搞定
服務或資源隔離是減少系統間依賴,避免故障蔓延的重要手段,云上企業往往通過劃分不同的VPC,將需要隔離的業務資源從網路層面分開,
混合云架構下,對于不同的業務分支或環境屬性,云賬號支撐著更復雜的隔離與業務互訪場景,如IDC與VPC間、VPN、專線等,復雜隔離訪問需求帶來的,是更為復雜的安全策略配置,
- 重復勞動:在不同的賬號下搭建防火墻設備,在不同的區域中配置訪問控制策略ACL,導致一條相同的策略需要多次配置;
- 策略沖突:對于不同的賬號環境下的策略,缺乏統一管控,極易造成訪問控制時的策略沖突等問題;
- 業務受阻:同一企業不同業務/環境間安全控制策略難以同步,嚴重時有可能影響業務(如:針對某類入侵,測驗環境未設定阻斷,而生產環境阻斷未進行測驗,防護規則與業務沖突,影響正常業務流量),
圖 多環境安全配置忙亂 vs 跨業務/開發-測驗-生產環境策略配置統管
策略統管更高效
阿里云·云防火墻目前通過集成CEN服務,為企業跨賬號以及跨VPC的流量互訪,提供了統一的策略管控能力,幫助企業通過一個策略配置平臺,實作不同賬號和VPC間的訪問控制策略統一管理,除了覆寫VPC間互訪外,還能針對專線和云連接網CCN等混合云場景,實作一條策略,全域生效,單條策略下發耗時從原來的以天為單位縮短到以秒為單位,免去了多次配置同樣策略所增加的作業量和風險,幫助企業更好的實作統一管控,
云墻“心法”三:精勤慎重,指揮若定
多地分公司統一安全報表分析與結算
組織架構一定程度上決定了云賬號的結構,無論是集團-子公司運作模式,或是多分支機構運作模式,企業安全部門最大的難題就是對各個業務運行環境的統一安全感知能力,而其中,網路安全又是最重要的分析物件之一,企業在互聯網側總共暴露了多少網路埠,當前有多少個隔離域正在運行,規劃的南北向和東西向隔離策略是否正常生效,有多少網路入侵事件每天在發生,全量的日志是否如規劃被正確記錄以滿足審計的要求,是否有例外的流量正在發生,業務間的呼叫關系是否合理等,這些網路安全運維問題在一個賬號下還相對可控,但一旦分散到多個云賬號下,對于管理人員就成了災難,流量資料的統一,網路日志的統一,攻擊分析的統一,對于日常的安全運維,幾乎都是“不可能的任務”,
圖 多分支機構通過管理賬號實作統一報表分析與結算
集中流量分析與報表統計
通過集中化的資料統計,網路安全運維人員只需要關注統一的資料平臺,就能夠實時掌握企業整體的網路安全運行態勢、資產暴露情況、策略配置和效果、入侵防御資料,并且將不同賬號環境下的日志資料自動化進行歸集,在滿足諸如等保2.0等合規要求的基礎上,通過統一的分析,優化報表統計,使得結果更為準確,全面,也能更好的為后續優化作業提供資料基礎,
用戶聲音
“云防火墻的集中管控能力幫助我們將云上多個業務賬號和第三方測驗賬號進行了統一納管,實作了一個控制臺的防護可視化,這大大簡化了日常的網路策略運維作業,提升了網路流量統一分析的效率和質量,非常好地滿足了我們企業對于網路安全集中化管理的需求,并且為未來更精細化的網路策略管控鋪平了道路,”——某大型金融企業資訊安全負責人
云上多賬號環境下的網路統一管理,是大型分支型企業網路安全防護的必經之路,無論是外企入華、國內企業出海,還是本土集團型企業規模化成長,云上統一網路安全管控與整體安全態勢感知,都可以拉齊企業賬號間安全水位,讓安全防護無死角,
原文鏈接
本文為阿里云原創內容,未經允許不得轉載,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/286898.html
標籤:其他
下一篇:Java執行緒總結(一)