大型企业多账号管理“安全心法”

引言

中大型企业上云时，通常选择按照业务线、项目或使用场景、生产测试环境来建立多账号体系。相对于单账号体系，多账号间的云资源默认隔离，便于不同产品/分支机构间进行独立的成本结算和运维管理，减少了单账号下过于宽泛的RAM权限带来的风险。

但同时，也会使安全管理变得较单账号体系复杂：

• 安全报表分析、资产盘点需要覆盖多个云账号，统计耗时耗力；
• 安全策略不得不在多个账号中进行重复配置，运维人员陷入“重复劳动”陷阱；
• 漏洞攻击、入侵、失陷等异常行为在影响多个账号时，应急处置手忙脚乱；
• 多个业务账号下，南北向与东西向流量缺乏统一视角，日志分析缺乏全局分析能力。

那么，从不同企业业务需求和组织架构出发
云防火墙是怎样在阿里云上实现多账号统一安全纳管的呢？
一起翻开这本“心法秘籍”来一探究竟

云墙“心法”一：集中用兵，打歼灭战

业务再多，防护也有“上帝视角”

云上的大、中型企业，业务类型千差万别，形成少则数十、多至数千的业务子账号，企业安全人员管理数千至十几万资产的统一防护，安全运维压力大。传统的网络防御架构下，防火墙的管理权限分属于不同业务部门，每个业务账号独立管理，缺乏统一视角，被动式入侵检测难逃“亡羊补牢”的尴尬。

• 互联网出入口管理：互联网出入口分散在不同账号中，进出流量夹杂大量攻击，针对EIP的攻击并发性强，而账号分属不同owner，防护碎片化；
• 攻击IP封禁&#