文档

多账号的云防火墙切换到单账号管理最佳实践

更新时间:
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

部分企业的业务资源会分散在多个阿里云账号,如果每个阿里云账号单独购买云防火墙进行业务防护,可能会因管控疏漏导致网络安全事件。此时您可以使用多账号统一管理,实现一个账号下的云防火墙同时防护多个账号的资源。本文介绍多个账号的云防火墙如何切换到一个账号进行管理。

背景信息

随着企业上云的进一步深入,越来越多的企业业务迁移至云端,企业购买的云资源迅速增多,资源、项目、人员、权限管理变得极其复杂,单账号负载过重已无力支撑,多账号上云模式逐渐成为多业务上云的重要选择。企业用户对于跨账号的云资源具有集中化管理需求,主要体现在安全、审计合规、网络、运维等产品。

基于以上需求,云防火墙支持通过阿里云资源管理的可信服务功能,将多个阿里云账号汇总到一个资源目录(其中每个阿里云账号表示一个成员账号),并委派特定的成员作为管理员,使其可以访问资源目录下所有成员账号包含的资源,实现多个阿里云账号的公网资产和VPC资产统一引流保护、策略配置、流量分析、入侵防护、攻击防护、失陷感知、日志审计分析。

在操作之前,您需要了解如下账号信息:

账号名称

说明

开通资源管理的权限说明

开通云防火墙的权限说明

企业管理员账号

企业管理账号可以邀请资源目录以外的阿里云账号加入到资源目录,作为资源目录的成员,实现资源的统一管理。

拥有该企业所有资产的管理权限。

可以管理云防火墙上所有的资产。

委派管理员账号

企业管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得企业管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。

说明

通过委派管理员账号,可以将组织管理任务与业务管理任务相分离,企业管理账号执行资源目录的组织管理任务,委派管理员账号执行可信服务的业务管理任务。

拥有该企业所有资产的管理权限。

可以管理云防火墙上所有的资产。

成员账号

被企业管理员账号邀请,且成功加入资源目录后,会作为资源目录的成员。

成员账号只可以管理本账号的资产。

不允许购买云防火墙。

场景示例

某企业阿里云账号A、阿里云账号B以及阿里云账号C分别开通了云防火墙,导致业务管理难度增大,投入时间增长。该企业决定使用云防火墙多账号统一管理功能,将阿里云账号A设置为委派管理员账号,阿里云账号B和阿里云账号C作为阿里云账号A的多账号管理的成员账号。此时只需要为阿里云账号A开通云防火墙,阿里云账号B和阿里云账号C便可以共享阿里云账号A开通的云防火墙。

image

前提条件

  • 已为企业管理员账号开通资源目录。具体操作,请参见开通资源目录

  • 已为阿里云账号A开通云防火墙包年包月版(即高级版、企业版和旗舰版)。具体操作,请参见包年包月

    说明

    目前仅云防火墙包年包月版支持开通多账号统一管理功能,请确保您将作为委派管理员的账号已开通支持多账号统一管理的云防火墙版本。不同的云防火墙包年包月版本支持的多账号管控数的范围不同,具体信息,请参见包年包月

    如果默认支持的多账号管控数的范围无法满足您的需求,您可以升级云防火墙规格,扩充多账号的管控数。

步骤一:邀请资源目录的成员

企业管理账号可以邀请资源目录以外的阿里云账号加入到资源目录,作为资源目录的成员,实现资源的统一管理。

  1. 使用企业管理员账号登录资源管理控制台

  2. 在左侧导航栏,选择资源目录 > 邀请成员

  3. 单击邀请成员

  4. 邀请成员面板,填写邀请的账号UID/账号登录邮箱为阿里云账号A的ID、阿里云账号B的ID、阿里云账号C的ID,确认并勾选风险提示。

    说明

    此处邮箱是注册账号时的登录邮箱,而非注册账号后绑定的备用邮箱。您可以一次性输入多个阿里云账号实现批量邀请,使用半角逗号(,)分隔。

  5. 单击确定

步骤二:为资源目录添加委派管理员

通过委派管理员账号,可以将组织管理任务与业务管理任务相分离,企业管理账号执行资源目录的组织管理任务,委派管理员账号执行可信服务的业务管理任务。本文示例中,委派管理员账号即阿里云账号A。

  1. 使用企业管理员账号登录资源管理控制台

  2. 在左侧导航栏,选择资源目录 > 可信服务
  3. 可信服务页面,单击目标可信服务操作列的管理
  4. 委派管理员账号区域,单击添加
  5. 委派管理员账号面板,选中阿里云账号A的ID。

  6. 单击确定
    添加成功后,使用该委派管理员账号访问对应可信服务的多账号管理模块,即可进行资源目录组织范围内的管理操作。

步骤三:为成员账号退订或释放云防火墙

因为使用多账号统一管理功能,阿里云账号B和阿里云账号C会作为阿里云账号A的成员账号,且成员账号是不允许开通云防火墙。所以您需要先为阿里云账号B、阿里云账号C退订或释放云防火墙。根据您已开通的云防火墙计费方式(包年包月或者按量付费),参考如下步骤为阿里云账号B和阿里云账号C退订或释放云防火墙。退订或释放前您需要先了解以下注意事项以及退款规则。具体的退款规则,请参见自助退订

注意事项

  • 退订或释放后,原来被互联网边界防火墙保护的资产会处于未保护状态。

  • 如果之前开启了VPC边界防火墙,您需要先关闭再退订或释放云防火墙。退订或释放后业务会处于未保护状态。退订或释放过程中,可能会因为路由切换导致业务中断,请避开业务高峰期进行操作。

    警告

    如果此过程您不希望业务中断,可以加入钉群(群号:33081734),联系产品技术专家进行咨询。技术专家会帮您进行方案评估并提供技术支持。

  • 退订或释放后,原有的访问控制策略和入侵防御策略会失效。

    重要

    如果需要备份已配置的访问控制策略和入侵防御策略,您可以加入钉群(群号:33081734),联系产品技术专家进行咨询。技术人员会帮您进行方案评估并提供技术支持。

退订包年包月云防火墙

  1. 分别使用阿里云账号B和阿里云账号C登录云防火墙控制台

  2. 在顶部菜单栏,选择费用 > 订单

  3. 在左侧导航栏,选择订单管理 > 退订管理

  4. 单击普通云产品,然后选择非全额退订类型。

  5. 定位到待退订的包年包月云防火墙实例,在操作列单击退订资源

    退订管理

  6. 退订资源页面,确认资源信息并设置退订原因,仔细阅读并选中我已认真阅读《退订规则》,确认退订金额我已确认退订实例数据已完成备份和迁移

  7. 单击立即退订,然后确认提示对话框的内容,单击确定

    退订申请成功提交后,可选择单击订单列表查看退订处理详情。

释放按量付费云防火墙

  1. 分别使用阿里云账号B和阿里云账号C登录云防火墙控制台

  2. 总览页面,在右上角选择更多 > 自动释放

    image

  3. 提示对话框,确认释放信息,然后单击确定

步骤四:添加云防火墙成员账号

云防火墙支持通过阿里云资源管理的可信服务功能,将多个阿里云账号汇总到一个资源目录(其中每个阿里云账号表示一个成员账号),实现资源目录下所有成员账号之间共享资源。

  1. 使用阿里云账号A登录云防火墙控制台

  2. 在左侧导航栏,选择系统设置 > 多账号统一管理

  3. 多账号统一管理页面,单击添加成员账号

  4. 添加成员账号对话框,将阿里云账号B和阿里云账号C的账号ID添加到右侧已选导入云防火墙成员账号列表。然后单击确定

    此时,阿里云账号A成功添加阿里云账号B和阿里云账号C为它的成员账号。统一账号管理

重要

完成添加成员账号后,默认授权云防火墙可以访问成员账号下的云资源。当VPC边界防火墙防护的云企业网下的网络实例是跨账号开通的VPC时,需要您手动授权云防火墙可以访问该VPC所属阿里云账号下的云资源。详细信息,请参见授权云防火墙访问云资源

步骤五:为共享的资源配置云防火墙

阿里云账号B和阿里云账号C退订或者释放云防火墙后,原有的访问控制策略和入侵防御策略会失效。所以,您需要为阿里云账号B、阿里云账号C开通互联网边界防火墙、VPC边界防火墙,且重新配置访问控制策略和入侵防御策略。

注意事项

  • 互联网边界防火墙可实现秒级开启。

  • VPC边界防火墙开关重新开启会因为路由切换,有可能会导致业务中断。

  • 重新配置访问控制策略和入侵防御策略。

  1. 使用阿里云账号A登录云防火墙控制台

  2. 在左侧导航栏,单击防火墙开关

  3. 防火墙开关页面,单击同步资产,系统为您同步当前账号及其成员账号的资产信息。

    整个过程预计需要1~2分钟。

  4. 待资产同步完成后,您可以为共享的资源开启云防火墙防护功能。

    • 开启互联网边界防火墙

      具体操作,请参见互联网边界防火墙

    • 开启VPC边界防火墙

      VPC边界防火墙分为以下三种场景,您需要根据业务情况匹配对应的场景。

      VPC边界防火墙类型

      应用场景

      操作指导

      企业版转发路由器的VPC边界防火墙

      支持防护:

      • 同地域多个专有网络VPC(Virtual Private Cloud)互访的流量

      • 通过企业版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量

      • VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)

      • VPC和云连接网CCN(Cloud Connect Network)互访的流量

      • 多个VBR互访的流量

      • CCN和VBR互访的流量

      • VPC和公网VPN互访的流量

      不支持防护:多个CCN互访的流量

      配置企业版转发路由器的VPC边界防火墙

      基础版转发路由器的VPC边界防火墙

      支持防护:

      • 同地域多个专有网络VPC(Virtual Private Cloud)互访的流量

      • 通过基础版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量

      • VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)

      • VPC和云连接网CCN(Cloud Connect Network)互访的流量

      不支持防护:

      • 多个VBR互访的流量

      • CCN和VBR互访的流量

      • 多个CCN互访的流量

      配置基础版转发路由器的VPC边界防火墙

      高速通道VPC边界防火墙

      支持防护:

      • 高速通道连接专有网络VPC(Virtual Private Cloud)模式下,同账号同地域多个VPC互访的流量

      • VPC对等连接模式下,同地域(包含同账号和跨账号)多个VPC互访的流量

      不支持防护:

      • 高速通道连接专有网络VPC(Virtual Private Cloud)模式下,跨账号跨地域多个VPC互访的流量

      • VPC和边界路由器VBR(Virtual Border Router)互访的流量

      说明

      如果需要防护VPC跨地域、跨账号或VPC与VBR间的互访的流量,建议您改为云企业网组网。相关信息,请提交工单

      配置高速通道VPC边界防火墙

    • 配置访问控制策略

      具体操作,请参见配置互联网边界访问控制策略配置VPC边界访问控制策略配置主机边界访问控制策略

    • 配置入侵防御策略

      具体操作,请参见入侵防御

步骤六:验证业务的稳定性

根据业务的流量情况,您可以查看访问控制策略的命中情况和流量日志的详细信息。如果访问控制策略的命中情况和流量日志都符合您的配置预期,未出现异常信息,表示您的配置正确,业务已经稳定。关于访问控制策略的命中情况和流量日志的详细信息,请前往访问控制策略页面日志审计页面查看。

  • 本页导读 (1)