引言
中大型企业上云时,通常选择按照业务线、项目或使用场景、生产测试环境来建立多账号体系。相对于单账号体系,多账号间的云资源默认隔离,便于不同产品/分支机构间进行独立的成本结算和运维管理,减少了单账号下过于宽泛的RAM权限带来的风险。
但同时,也会使安全管理变得较单账号体系复杂:
- 安全报表分析、资产盘点需要覆盖多个云账号,统计耗时耗力;
- 安全策略不得不在多个账号中进行重复配置,运维人员陷入“重复劳动”陷阱;
- 漏洞攻击、入侵、失陷等异常行为在影响多个账号时,应急处置手忙脚乱;
- 多个业务账号下,南北向与东西向流量缺乏统一视角,日志分析缺乏全局分析能力。
那么,从不同企业业务需求和组织架构出发
云防火墙是怎样在阿里云上实现多账号统一安全纳管的呢?
一起翻开这本“心法秘籍”来一探究竟
云墙“心法”一:集中用兵,打歼灭战
业务再多,防护也有“上帝视角”
云上的大、中型企业,业务类型千差万别,形成少则数十、多至数千的业务子账号,企业安全人员管理数千至十几万资产的统一防护,安全运维压力大。传统的网络防御架构下,防火墙的管理权限分属于不同业务部门,每个业务账号独立管理,缺乏统一视角,被动式入侵检测难逃“亡羊补牢”的尴尬。
- 互联网出入口管理:互联网出入口分散在不同账号中,进出流量夹杂大量攻击,针对EIP的攻击并发性强,而账号分属不同owner,防护碎片化;
- 攻击IP封禁&#