演讲人:图鲲,阿里云云安全中心产品专家
本篇内容介绍阿里云上基于云安全中心的多账号下统一安全运营的最佳实践。
如下图所示,我们可以看到阿里云上典型的企业集团包括多家下属子公司和不同职能部门,因此业务目标和岗位职责均有不同。各类云上资源分散在不同的账号中进行分别管理,对于需要负责整个集团企业云上安全运营的合规团队来讲,面临以下几大痛点:
第一,安全团队人力资源紧张和安全管理范围分散。
第二,子公司安全水位包括下属各部门安全水位参差不齐,会造成无法还原黑客攻击路径的问题。
第三,整个集团需要过等保要求,但是日志分散在各个业务部门的存储空间里,无法做到存储空间的统一规划和日志归档。
在这么多账号体系下,安全团队进行安全管理所面临的的挑战又有哪些呢?主要分为以下几个方面。
第一,安全管理团队对业务团队和网络团队进行管理时,需要协调不同的团队为他创建相关的RAM子账号,这样才能获权去访问业务团队或是安全网络团队下的云资源。
第二,安全管理团队还需要频繁的登录和登出不同子账号去控制对应产品的控制台,然后查看不同格式的告警数据或日志数据并进行分析。如果这些数据分散存储在不同的产品所开通的日志服务下,整个过程会加大安全团队人员查找数据的效率,也很难让安全管理团队可以从全局的角度去洞察企业的安全态势。
第三,各个部门各自为政,各自将自己的日志存储在日志服务里,安全管理团队无法统一管控满足等保合规的日志存储180天的审计要求。
那么如何解决上述安全团队面临的痛点呢?
通过云安全中心威胁分析产品解决方案可以实现跨账号、跨产品的统一安全运营。这主要包括三个方面:
第一,云安全管理团队购买云安全中心威胁分析这款产品,当产品开通之后,由企业MA管理账号委派一个安全团队的成员账号作为委派管理员。获得这个管理员资格之后,就可以通过威胁分析-可信服务去访问资源目录下的所有成员账号。
通过成员账号以及对应的资源,安全团队即可将需要被纳管进来的成员账号加入到威胁分析管控范围。将对应安全产品的日志接入到整个云安全中心威胁分析服务的统一日志服务中。委派管理员可访问到全量的安全日志和数据,也可以为对应的成员账号开通权限范围内的日志。
下面介绍下如何初始化威胁分析并开启多账号管理,这主要分四个步骤来完成。
第一,通过安全管理团队去开通云安全中心的威胁分析服务,登录威胁分析控制台,访问“威胁分析”页面并开服务授权。
第二,资源管理的企业管理账号MA,指定相关成员账号为“云安全中心-威胁分析”可信服务的委派管理员,通常会把安全团队的成员账号设置为委派管理员。
第三,委派管理员登录到威胁分析控制台,访问“系统配置-多账号安全管理”授权威胁分析开启资源目录RD的账号的管控权限,添加账号进行管控。
第四,访问 “威胁分析-产品接入”,根据需求接入管控账号的云产品数据,即可开始威胁分析统一安全运营之旅。
回到文章开始企业集团多账号规划的情况。
根据企业目标和岗位职责的不同,基于资源目录进行组织结构的规划,划分了多个账号对云上资源账号的管理。例如,日志账号去管理日志开通等日志相关的服务动作和审计行为配置;安全账号开通相应的安全产品服务;运维账号对应网络账号开通相应的产品和服务等等。
对于企业集团的安全合规团队进行统一多账号的安全运营最佳实践如下。
安全团队首先开通云安全中心的威胁分析服务,然后企业的MA管理账号去委派管理员。安全团队可以通过威胁分析可信服务去访问资源目录下对应成员账号和资源。安全团队只需要将纳管统一并监管这些成员账号接入到安全中心的威胁分析即可。
然后在威胁分析控制台的产品接入页面,将账号对应的比如主机安全的数据、网络数据和云产品相关的数据等,统一接入到威胁分析,这样就可以进行数据规划和管理,或采集相应的高级日志等等。
这样安全运营团队就可以基于威胁分析进行以下四个方面的安全运营工作:
第一,实时对多元数据进行关联分析。用户可以自定义检测策略,识别一些未知威胁或是高级威胁。
第二,企业全局的告警和日志统一进行分析和调查。
第三,安全团队可以识别安全事件,还原整个黑客攻击路径和时间线。
第四,安全团队可以协同联动阿里云云产品进行事件响应处置。
通过以上这些工作,可以提高安全团队的安全运营效率,洞察企业集团的全局安全态势。
以下为实操演示如何操作产品控制台并初始化威胁分析开通多账号管理功能。
首先可以通过资源管理控制台的资源目录页面看到左侧的企业集团的组织架构,通过目录夹来进行分层管理。我们选择安全账号,并购买威胁分析来做企业的安全管理规划。
登录账号,跳转到安全中心去购买威胁分析。
购买完成后返回到资源目录下,让企业的MA管理账号做一个可信服务的委派管理员的动作。
添加进来之后,就可以去安全中心控制台,先启用多账号的管理授权。点击“立即授权”即可。
授权成功后,就可以开通威胁分析的管控。可以在多账号管理这边把需要管控的RD账号纳管进来。
当账号都纳入管控之后,就可以在云安全管理中心选择已被纳管的账号去查看详情了。
