多账号网络安全统一防护方案
方案概述
此方案主要描述在多账号架构下,企业如何利用云防火墙和资源目录的产品能力,全面地规划网络安全体系,一方面通过建立防护机制保障企业的业务安全,另外一方面通过统一管控提升IT管理人员对多账号的管理效率。
方案优势
全托管方式
云防火墙服务采用SDN技术,首次在公共云提供SaaS化的防火墙方案。服务由阿里云托管提供,无需您部署任何设备(传统防火墙的镜像安装、路由设置等复杂基础系统和网络配置操作),也无需您关注容灾、扩容或接入等问题。
简单易用
您购买了云防火墙、在控制台完成简单的设置后,可立即使用、秒级接入、即刻防御,同时有效降低网络安全管控运维成本。
支持平滑扩展
云防火墙采用了集群部署的模式,支持性能的平滑扩展,针对单个IP的防护流量可达2 Gbps;防护流量超过2 Gbps时云防火墙支持定制。
系统稳定可靠
默认高可用,采用双Available Zone (AZ,可用区)部署,任意一台服务器或者任意一个AZ故障时都不会导致云防火墙故障。
业务关系可视
云防火墙通过拓扑图直观地展现资产以及资产的访问关系。无需配置,开通服务后就可了解业务的分区、分组、资产、资产间的访问关系,以及用户流量的聚类分析。支持流量可视分析,最大程度保证策略的正确性。
客户场景
集中安全报表分析
企业在多账号场景下,不同账号需要定期出安全报表,耗时耗力。客户希望能够在一个账号搞定报表。
集中策略配置管控
企业在多账号场景下,不同账号内需要配置一条安全策略,重复工作。客户希望能够集中在一处完成策略的配置。
集中异常监控分析
客户希望能够在一个账号搞定所有异常的日志。这里面包括攻击日志、入侵日志等。
客户案例
客户背景
某金融客户,由于客户近期启动出海,因此在国内和国际分别有多套测试和生产环境。
客户痛点
多套生产和测试生产环境账号无法统一管理,安全管理投入大,成本高。
缺少全局化的网络边界安全管控视角,定期报表统计费时费力。
公网和VPC无法集中下发ACL访问控制策略,影响效率和有效性。
实施方案
通过云防火墙旗舰版纳管国内测试和生产环境账号。
统一管理各账号公网资产、VPC资产及安全防护。
客户收益
云上多个业务账号和第三方测试账号统一纳管,实现控制台的防护可视化。简化日常的网络策略运维工作提升了网络流量统一分析的效率和质量,满足业对于网络安全集中化管理的需求。
方案架构
云防火墙与资源目录(RD)集成,实现基于资源目录组织的多账号公网统一管控方案。
AWS的对标产品firewall manager只能做到策略的集中管理,云防火墙的多账号统一管控能力功能丰富,可以支持统一资产保护开关、统一ACL策略管控、统一全流量分析、统一IPS入侵防护、统一日志审计分析等。
核心流程
网络防御"三重门"
产品费用和名词
产品费用
产品名称 | 产品说明 | 产品费用 |
云防火墙 | 阿里云云防火墙是一款云原生的云上边界网络安全防护产品,可提供统一的互联网边界、内网VPC边界、主机边界流量管控与安全防护,包括结合情报的实时入侵防护、全流量可视化分析、智能化访问控制、日志溯源分析等能力,是您的网络边界防护与等保合规利器。 | 收费,详情参见产品计费。 |
资源目录RD | 资源目录RD(Resource Directory)是阿里云面向企业客户提供的一套多级账号和资源关系管理服务。 | 免费,详情参见产品计费。 |
名词解释
名称 | 说明 |
互联网边界防火墙 | 互联网边界防火墙主要用于检测互联网和云上资产间的通信流量,它是一种集中式管理的防火墙。互联网边界防火墙部署在互联网和用户主机之间。 |
VPC边界防火墙 | VPC边界防火墙主要用于检测两个VPC间的通信流量,是一种分布式防火墙。VPC边界防火墙部署在两个VPC网络之间。 |
安全组和主机防火墙 | 安全组是ECS提供的分布式虚拟主机防火墙,具备状态检测和数据包过滤功能,用于设置ECS实例间的网络访问控制。安全组是由同一个地域(Region)内具有相同安全防护需求并相互信任的实例组成。 |
安全性
云防火墙访问策略设置
在云防火墙中配置访问控制策略,限制主机对内、外双向的访问控制,有效降低您资产被入侵的风险,详情参见访问控制策略总览。
资源目录角色权限
资源目录服务关联角色(AliyunServiceRoleForResourceDirectory)为资源目录集成服务提供可信访问通道,详情参见资源目录服务关联角色。
注意事项
云防火墙支持防护的范围
详情参见云防火墙支持防护的范围。
实施步骤
云防火墙多账号管控
云防火墙支持通过一个阿里云账号统一管理企业内多个云账号和资源账号,并 将多个账号下的云资产自动添加到当前账号下,方便您进行集中管理。
前提条件
多账号已经完成在资源目录(RD)中配置。
负责防火墙安全统一管控的账号,如果不是开通资源目录的企业管理账号,则需要先在资源目录中,将负责防火墙安全统一管控的账号设置为防火墙的委派管理账号。
注意事项
仅旗舰版所在主账号支持进行统一互联网边界防护。
目前云防火墙支持Region列表。见链接
确认多账号结构
LandingZone推荐的三层账号架构如下:
账号类型 | 部署内容 |
资源管理主账号 | 1、开通资源目录,并将成员账号邀请进来统一管理 2、配置可信服务,委派另外一个账号来管理云防火墙 |
安全服务账号 | 1、开通云防火墙 2、配置VBR、网络专线等 |
成员账号 | 运行实际业务的成员账号 |
资源目录配置
登录资源管理主账号,完成对成员账号的邀请。资源目录的结构类似于如下:
完成可信服务配置
在资源目录中完成对安全账号的委派。即允许安全账号有权限去获取RD的相关资源权限。
开通云防火墙
注意:
目前只有旗舰版的云防火墙才支持多账号的统一管理。
有多少个成员账号需要纳管,就在下单时选择几个多账号管控数。
仅成员账号支持被纳管,资源目录的企业管理账号不支持被纳管。
开启云防火墙多账号管控
a) 设置 -> 统一账号管理,点击添加成员账号
注意:通过添加成员账号就可以将需要统一纳管的账号添加进来。
开启互联网边界防火墙
互联网边界防火墙主要用来防护所有暴露在互联网上的资产(比如公网EIP资产)。您可以选择在防火墙开关页面一键开启全部互联网暴露资产防护或针对特定资产单独开启。
步骤1 在控制台,选择防火墙开关页面 -> 互联网边界防火墙
步骤2 选择对应的互联网暴露IP,点击开启保护,确认后即可。
开启VPC边界防火墙
VPC 边界防火墙主要用来防护所有进出 VPC 的流量,包括 VPC 间互访,以及通过 VBR 上联入 CEN 后进出各 VPC 的流量。您可以选择需要防护的 VPC, 在防火墙开关页面开启防火墙功能,或进行临时开启或关闭操作。
步骤1 在云防火墙控制台,选择防火墙开关页面->VPC边界防火墙;
可以选择需要配置VPC边界策略的VPC对象。
配置VPC的边界防火墙策略
配置云防火墙IPS开关
云防火墙内置了威胁检测引擎实现入侵防御(IPS)的功能,可针对互联网侧 的南北向流量和 VPC 边界的东西向流量实时拦截网络入侵行为。
配置完之后,可以在攻击防护 -> 入侵防御 页中查看同入侵防御动作详情。
配置访问控制策略
访问控制策略(ACL)即 Access Control List,可以通过一系列规则对报文进 行过滤,是云防火墙一种重要的安全隔离手段。 云防火墙的访问控制策略根据生效位置的不同分为三层,分别是:
互联网边界防火墙的访问控制策略;
VPC 间防火墙访问控制策略;
主机间防火墙访问控制策略;
访问控制策略的配置原则
对于层次化的访问控制策略,最重要的配置原则是它们“应当”以白名单的方式使用,并遵循最小授权原则,即只放行需要的访问,封禁所有其他访问。
内对外流量访问控制
外联到恶意的域名或 IP,是互联网攻击者控制失陷主机后的常见行为,配置内 到外策略可有效避免此种风险。另外,部分企业或单位有管控内部人员访问网 站的需求,同样可以借助内到外策略实现管控。 内到外策略的最佳实践,是仅放行从指定的源(如果希望生效范围为所有资产 则可置为“0.0.0.0/0”)到需要放行的目的 IP/域名之间的访问,拒绝所有其他访问。
案例场景:配置基于域名内向外的ACL
场景描述:一般企业都会有配置一个NAT,用于VPC内的业务访问外网。NAT上面会挂载一个EIP,在EIP层面开启云防火墙开关后,通过ACL配置策略,仅允许这个VPC访问www.alipay.com官网。
创建一条新策略,新增内->外策略。
创建第二条内对外访问控制策略,拒绝该EIP访问外部互联网。将访问源设置为EIP地址,目标输入0.0.0.0/0,动作设置为拒绝。禁止所有末授权的访问。
确定第一条放行策略的优先级高于第二条拒绝策略的优先级。
具体的参数,请查看帮助文档。
外对内流量访问控制
由于互联网上充斥着大量扫描和攻击流量,外到内策略是保障安全的重要防线。
外到内策略配置的原则是仅对外开放必要的 IP 资产和端口,并尽可能地限制 从互联网访问您资产的源 IP。 尤其对于易受互联网上扫描攻击的高危服务(SSH/RDP、数据库、SMB 服务 等),不要对全互联网开放。
建议:对于必须向全互联网开放的 Web 服务,如果您打算或已经购买 Web 应用防火墙(WAF)或高防 IP(用于防范 DDoS 攻击)等其他安全产品,您 可以使用访问控制策略,结合地址簿功能,对这些服务仅放行 WAF 和/或高防 的回源 IP,并封禁来自任何其他来源 IP 的访问。waf -> 云FW (配置源IP)
案例场景:配置基于区域的外向内ACL
场景描述:配置了一个SLB绑定了EIP之后,在开启云防火墙后,通过配置ACL策略,拒绝来自某区域的Ping访问
新增外->内策略创建第一条外对内访问控制策略,对某区域的外部源IP进行阻断。
确保这个策略优先级高于其他涉及该测试EIP的策略。
VPC边界防火墙
VPC 间的控制策略作用在内网的不同 VPC 之间,属于“东西向”的管控策略,原理如下图所示:
VPC 间防火墙策略相比互联网边界策略更加“因客户而异”。但也同样建议遵循白名单和最小授权原则。值得注意的是,如果您存在专线连接场景,我们强烈建议您开启 VPC 间防火墙,用来统一管理混合云边界访问控制策略,以及对 线下 IDC 来的流量进行入侵防御,避免由于安全能力不统一带来的风险隐患。
案例场景:配置VPC边界的ACL
场景描述:假如您希望开发、生产及 DMZ 环境的 VPC 可以互访,但只有 DMZ 区可以访 问互联网,那么如下图所示,共需要配置 10 条策略:6 条用于放行三个环境的 双向访问,2 条用于放行 DMZ 到互联网的双向访问,2 条用于封禁其他所有内 外部访问。
网络拓朴:
前提条件:VPC 边界防火墙默认处于未启用状态,在创建 VPC 访问控制策略前,您需要 先创建并开启相应的 VPC 边界防火墙。
注意: VPC 边界防火墙开关开启后,访问控制策略才能在相应的 VPC 生效。
操作步骤:
一、新增策略
二、配置策略
您可根据实际业务的需要,选择合适的 VPC 边界防火墙策略配置:
对可疑流量或恶意流量拒绝放行。
先创建可信流量的放行策略,再创建一条拒绝其他所有访问的策略。策略配置完成后,确认放行策略的优先级高于拒绝策略的优先级。
具体参数含义,请参考帮助文档。
主机边界防火墙
主机间访问控制策略作用在同个 VPC 的不同安全组之间,同样属于“东西向” 管控策略,原理如下图所示:
当云上安全组数量过多时,需要进入不同安全组进行查看和操作,比较繁琐, 同时“南北向”和“东西向”的策略混杂在一起,难以管理与运维。
使用云防火墙可以在控制台上对访问控制策略进行分层的统一化管理,将极大 地方便技术人员进行统一的增、删、改、查操作,优化整体运维效率。
关于主机防火墙统一管理
主机防火墙是通过调用安全组实现的,相关策略会将用户现存的安全组数据同步到云防火墙,便于您进行统一查看和管理。
配置主机边界防火墙访问控制策略时,您必须先创建策略组(策略组包含默认 策略),然后在该策略组中配置精细化的入方向或出方向访问控制策略。完成 策略组和策略配置后,进行策略组的发布,即可将策略同步到 ECS 安全组并 生效。
业务场景:配置主机边界ACL
步骤一:新建策略组
步骤二:配置策略组
步骤三:发布策略
策略组创建完成后,您可以在主机边界防火墙的策略组列表中查看新 建的策略组,并根据需要对策略组执行以下操作:
配置策略:为策略组配置精细的访问控制策略。
发布:将策略组的访问控制策略同步到ECS实例的安全组。
编辑:修改应用当前策略组的ECS实例和策略组的描述。
删除:删除策略组。
警告:删除策略组后,策略组中的主机访问控制策略也将被自动删除并失效,请谨慎操作。
策略发布之后才会同步到ECS安全组并生效。可以在ECS控制台安全组 -> 安全组列表查看同步的访问控制策略
登录到指定的VPC环境中可以查看到刚创建的安全组。
查看网络流量分析
网络流量分析是配置访问控制策略的基础。建议您在完成访问控制策略配置测 试后,全面了解您资产的网络流量情况,针对性的进行相关策略的配置。 通过网络流量分析,您可以实时查看主机上发生的威胁事件、网络活动、流量 趋势、入侵防御阻断访问和主机主动外联活动等。
主动外联活动
互联网访问活动
互联网访问活动页面为您展示 ECS 对外提供的服务情况和来自互联网对服务访问情况的分析,包括开放的端口、应用、IP 地址,帮助您区分正常访问流量 和扫描。您可以根据互联网活动页面提供的数据和信息对内对外访问控制策略 进行配置。
查看攻击防护效果
网络流量分析是配置访问控制策略的基础。建议您在完成访问控制策略配置测 试后,全面了解您资产的网络流量情况,针对性的进行相关策略的配置。
入侵防御
入侵防御(IPS 拦截记录)页面实时为您展示 1 小时、1 天、7 天、1 个月内 或自定义时间范围内入侵防御模块的拦截情况,包括入侵来源区域、入侵应用 分布和详细的事件日志。
漏洞防护
漏洞防护页面展示了可被网络侧攻击利用的漏洞(这类漏洞由云安全中心漏洞检测功能自动检测并同步到云防火墙),并提供针对此类漏洞的攻击防御能力。 您可以通过手动开启云防火墙开关和 IPS 防御规则,防止这些漏洞被利用,从 而避免您的资产遭受入侵。
查看日志审计模块
通过云防火墙的所有流量会在日志审计页面记录下来,包括流量日志、事件日 志和操作日志,可帮您实时审计您的网络流量并进行相应的处理。 云防火墙日志审计默认保留 7 天,同时提供日志分析,可存储 6 个月内的日 志数据。
查看网络日志
日志->日志分析页
DNS防火墙功能
云防火墙提供DNS防火墙功能,支持对VPC访问互联网域名的精细管控。VPC要访问互联网上的指定域名,必须先通过DNS服务器解析域名对应的IP地址。开启DNS防火墙后,根据您的策略,DNS防火墙会在域名解析环节,有效拦截云内资产对域名的未授权访问。
配置一:创建DNS防火墙
登录云防火墙控制台。
在左侧导航栏,选择防火墙开关 > DNS防火墙。
在DNS防火墙页面,单击创建DNS防火墙。
在创建DNS防火墙对话框,请参见下面的参数表,完成参数配置。
配置项
说明
名称
自定义DNS防火墙的名称。可输入中文、英文、任意特殊字符。
全部地域
目前只支持为中国香港地域的VPC创建DNS防火墙。其他地域的VPC需要提交工单申请后,才能创建DNS防火墙。
VPC
该DNS防火墙防护的VPC实例ID。
UID
已选VPC所属的阿里云账号ID。
DNS Server
DNS服务器。当前只支持阿里云DNS服务器。
交换机
该DNS防火墙所在的交换机(vSwitch)。有以下两种模式可以选择:
自选模式:云防火墙自动创建交换机并绑定自定义路由表。
手动模式:您可以选择已手动创建的交换机。
单击确定,完成DNS防火墙的创建。创建DNS防火墙需要2分钟,请耐心等待。创建DNS防火墙后,DNS防火墙默认开启,DNS防火墙的防护已生效。如果当前阿里云账号下有多个VPC,您可以按照实际需求创建多个DNS防火墙。
相关内容
云防火墙帮助手册,链接