多账号安全管理

您可以使用多账号安全管理功能,对企业中的多个阿里云账号和资源账号进行统一安全管理及安全防护配置,并实时检测各个成员账号的安全风险状况。本文介绍如何使用多账号安全管理功能。

背景信息

随着企业上云的进一步深入,越来越多的企业业务迁移至云端,企业购买的云资源迅速增多,资源、项目、人员、权限管理变得极其复杂,单账号负载过重已无力支撑,多账号上云模式逐渐成为多业务上云的重要选择。企业用户对于跨账号的云资源具有集中化管理需求,主要体现在安全、审计合规、网络、运维等产品。

云安全中心基于阿里云资源管理提供的可信服务功能,支持将多个阿里云账号集合到一个资源目录内,通过结构化的方式实现对多个阿里云账号资源进行统一的数据运营监控及多账号快捷运营。

版本限制

云安全中心所有版本用户都可使用该功能。各版本支持的功能详情,请参见功能特性

前提条件

操作流程

image

步骤一:添加委派管理员账号

资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。

说明

云安全中心和云安全中心-威胁分析分别支持添加10个委派管理员账号。

  1. 使用企业管理账号登录资源管理控制台

  2. 在左侧导航栏,选择资源目录 > 可信服务
  3. 可信服务页面,找到云安全中心云安全中心-威胁分析,在操作列单击管理

  4. 委派管理员账号区域,单击添加
  5. 添加委派管理员账号面板,选择需要设置为委派管理员的成员,然后单击确定

    添加成功后,使用该委派管理员账号访问云安全中心的多账号安全管理功能,即可进行资源目录组织范围内的管理操作。

步骤二:配置监控账号范围

云安全中心的多账号管理账号包括云安全中心监控账号和威胁分析监控账号。

  • 云安全中心监控账号:企业需要统一管理多个阿里云账号下的资产安全状态和安全防护配置(威胁分析功能除外),例如安全告警、漏洞、云安全态势管理等。

  • 威胁分析监控账号:企业需要统一管理多个阿里云账号下多个云产品(例如云防火墙、Web应用防火墙等)的安全信息和安全事件。

配置云安全中心监控账号

您可以在云安全中心控制台添加资源目录成员账号,实现在单账号下统一管理多个阿里云账号下的资产安全状态和安全防护配置(威胁分析功能除外),例如安全告警、漏洞、云安全态势管理等。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择系统配置 > 多账号安全管理

  3. 如果您是首次使用多账号安全管理功能,单击开启云安全中心管控

    开启成功后,系统会自动在成员账号下创建服务关联角色AliyunServiceRoleForSasRd。关于服务关联角色的更多信息,请参见云安全中心服务关联角色

  4. 添加监控账号。

    1. 多账号安全管理页面,选择配置 > 云安全中心监控账号页签,在监控账号总数下方单击账号管控

    2. 多账号管控设置 > 资源目录节点 > 当前选中节点下的成员账号列表,选择您需要管控的账号,所选管控的账号将会在管控列表账号区域中显示。

      说明

      企业管理账号和委派管理员账号维护的成员账号列表相同,使用这两种账号维护成员账号列表均可达到同样的效果。

      如果您已开通威胁分析与响应服务,当云安全中心的管控账号列表中移除某个成员账号时,威胁分析管控也将相应地进行移除。

      image

    3. 开启image新增账号自动管控

      开启该选项后,单击设置策略,选择目标资源目录节点,单击确定

      说明
      • 当已选资源目录节点有新增账号时,将自动添加至管控列表。

      • 如果您已开通威胁分析与响应服务,威胁分析新增的管控账号将自动在云安全中心同步新增。同时如果云安全中心取消某个管控账号,威胁分析也随之取消对该账号的管控。

    4. 单击确定

      您可以在多账号安全管理页面的成员账号列表中查看已添加的成员账号。

  5. 配置成员账号安全防护。

    1. 云安全中心监控账号的成员账号列表,在成员账号的操作列单击设置image

    2. 设置面板,完成客户端管理基本防护设置后,单击下一步

      您可以针对主机防护容器防护客户端能力等方面进行设置,具体操作,请参见功能设置

    3. 完成漏洞管理设置后,单击下一步

      您可通过漏洞管理设置开启或关闭不同类型漏洞的自动检测、有选择性地对指定服务器开启漏洞检测、设置漏洞扫描周期和扫描方式、对已失效漏洞设置自动删除周期。更多信息,请参见扫描漏洞

    4. 完成基线检查策略配置。

      您可以使用基线检查功能配置成员账号的基线检查策略,通过执行基线检查策略来检查成员账号的资产的基线配置是否存在风险。更多信息,请参见设置、执行基线检查策略

  6. 配置完成后,单击确定

    云安全中心将根据您的配置,开启成员账号客户端的相关功能,并根据您的配置对成员账号下拥有的资产进行漏洞扫描。

配置威胁分析监控账号

使用威胁分析监控账号功能,您可以将多个阿里云账号接入威胁分析功能,实现多个阿里云账号下的多个云产品的安全事件告警和处理。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择系统配置 > 多账号安全管理

  3. 如果您是首次使用多账号安全管理功能,单击开启威胁分析管控

    开启成功后,系统会自动在成员账号下创建服务关联角色AliyunServiceRoleForSasRd和AliyunServiceRoleForSasCloudSiem。关于服务关联角色的更多信息,请参见云安全中心服务关联角色

  4. 添加监控账号。

    1. 多账号安全管理页面,选择配置 > 威胁分析监控账号页签,在监控账号总数下方单击账号管控image

    2. 多账号管控设置面板,在资源目录节点下选择目标节点,在当前选中节点下的成员账号列表,选择您需要管控的账号,所选管控的账号将会在管控列表账号区域中显示。

      说明

      企业管理账号和委派管理员账号维护的成员账号列表相同,使用这两种账号维护成员账号列表均可达到同样的效果。

      当云安全中心的管控账号列表中移除某个成员账号时,威胁分析管控也将相应地进行移除,反之亦然。

      image

    3. 开启image新增账号自动管控

      开启该选项后,您可单击设置策略,在新增账号自动管控策略设置对话框,选择目标资源目录节点,单击确定

      说明
      • 当已选资源目录节点有新增账号时,将自动添加至管控列表。

      • 威胁分析新增的管控账号将自动在云安全中心同步新增。同时如果云安全中心取消某个管控账号,威胁分析也随之取消对该账号的管控。

  5. 单击确定

步骤三:查看成员账号的安全风险

您可以使用企业管理账号或者委派管理员账号登录云安全中心控制台,通过多账号安全管理的总览页面,查看成员账号下资产的安全风险。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择系统配置 > 多账号安全管理

  3. 多账号安全管理页面,单击总览页签,查看各成员账号的安全评分、风险资产、安全告警、漏洞风险、基线问题和资产暴露分析的数据统计。

步骤四:查看及管理成员账号

您可以在云安全中心控制台查看及管理加入云安全中心或威胁分析的成员账号,支持新增成员账号、删除或移除成员账号等操作。

云安全中心监控账号

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择系统配置 > 多账号安全管理

  3. 多账号安全管理页面,选择配置 > 云安全中心监控账号页签,查看及管理云安全中心监控成员账号信息。

    • 查看成员账号的安全风险信息

      您可以在成员账号列表中查看成员账号的安全风险信息,包括安全分安全告警处理漏洞管理云安全态势管理攻击次数

    • 切换到成员账号的云安全中心控制台

      在成员账号列表中单击账号名称,切换到该成员账号的云安全中心控制台;或者在左侧导航栏的下拉列表选择账号,切换到对应成员账号或当前登录账号的云安全中心控制台。多账号切换

      切换到成员账号的控制台后,您可以查看该成员账号的资产安全风险并进行安全防护设置,但不支持以下操作:

      • 从控制台跳转到购买页或其他云产品控制台。例如在总览页面,单击立即购买,再单击对应的版本时,无法跳转到购买页,会提示多账号管理场景下不支持此功能。

      • 使用日志分析功能。切换到成员账号后,控制台无日志分析功能的入口。

      • 使用多账号安全管理功能。切换到成员账号后,控制台无多账号管理功能的入口。

    • 标注重点关注账号

      您可以成员账号列表中选中成员账号并单击标记关注,将选中的成员账号标注为重点关注的账号。在左侧导航栏上方的下拉列表会优先展示重点关注的账号。image

    • 前往资源管理控制台

      使用企业管理账号的用户登录资源管理控制台,您可在资源目录页面查看所有资产目录信息、新建成员、邀请成员、将资源账号升级为账号。

    • 删除云安全中心监控账号

      单击删除,从成员账号列表删除该账号。

威胁分析监控账号

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择系统配置 > 多账号安全管理

  3. 多账号安全管理页面,选择配置 > 威胁分析监控账号页签,单击账号管控,在多账号管控设置面板,查看及管理威胁分析监控成员账号信息。

    • 查看已接入威胁分析监控的账号

      您可以在管控列表账号中查看已接入威胁分析监控的阿里云账号信息。image

    • 取消或移除威胁分析监控账号

      您可以在管控列表账号的威胁分析管控列,取消对目标账号的管控。您也可以目标账号的操作列,单击移除,从管控列表账号移除该账号。

    • 切换到成员账号的云安全中心控制台

      您可以在威胁分析监控账号页面的成员账号列表,筛选条件选择订阅,查看已添加的成员账号,在已开通威胁分析与响应的目标账号操作列访问威胁分析image