构建多账号云环境的解决方案|多账号配置统一合规审计

简介: 配置审计(Cloud Config)是提供了面向资源配置的审计服务,可以持续监控资源的配置变更,并在变更时自动触发合规评估,确保持续性合规。为了解决企业运维和安全人员业检查资源合规配置的效率难题,配置审计为客户提供了多账号的统一审计能力。用户可以在管理账号或者委派账号中统一设置合规基线并应用,从而可以实时查看企业下经过汇总的不合规资源。

演讲人:泊无,阿里云开放平台高级产品专家

 

本篇内容将为大家介绍多账号配置统一合规审计解决方案。

 

首先通过下图可见这个示例企业所面临的问题。这家企业拥有10家子公司,这些子公司各自拥有独立的安全和运维团队。正常情况下,子公司需要采购什么样的云资源、对云资源需要做哪些防护,都由各子公司去做决策。

 

在这样的业务架构下,虽然各子公司拥有比较好的创新和灵活性,但是也会为集团公司带来安全合规难以管控的问题。企业集团管理员很难去审计各个子公司的问题和它们的资源存在的一些风险。

 image.png

                     

众所周知,在使用单账号的时候通常可以启用配置审计这个产品去简化管理员的审计工作。配置审计可以自动获取到当前账号下的所有资源配置信息,并且可以自动跟踪资源的变化。这样安全审计人员就可以通过设置一些简单的合规判断规则,然后系统就可以自动去实时检查账号下的资源是否满足合规要求。

 

但在多账号的架构下,要实现统一的配置规则则会面临管理困难等诸多问题。比如管理员需要进入到各个云账号中,进行重复的创建配置规则的设置,这个操作过程是比较复杂的。当我们需要去修改这些参数和规则项的时候,也很难保证每个云账号当中的规则能够始终保持一致。

 

此外,当一个新账号要加入到企业中来的话,需要重复以上整个的配置过程,可能会带来一些配置的遗漏或是参数的不安全,从而可能导致最终检测结果不符合预期的情况。

 

除此之外,资源规则创建完成之后,我们还有很多跨账号的操作也面临着同样的问题。比如我们需要获取到每个账号的审计结果,又或者需要去建立机制去保障每个账号下的规则不被篡改,或是对于不合规的资源创建监控告警通知到各个业务负责人等等。

 image.png

为了解决以上这一系列的问题,阿里云提供了多账号的资源配置统一审计的解决方案。通过上面的架构图我们可以了解下这个解决方案的核心操作方式。

 

作为企业管理者来说,首先他需要确保资源目录已经启动,并且把相关的子公司账号都已经纳管到资源目录当中了。当资源账号已经完成上述操作之后,管理员需要根据企业的实际情况去设置合规规则,这里面包含了三个方面:

 

第一,根据企业的实际需求选择对应的法律合规包,例如等保、CIS合规包。对于一些更加进阶的企业,可以启用进阶的合规规则最佳实践,比如资源空闲检查、高可用配置检查等等。这些合规包里面包含的规则会自动应用到各个子账号中,并且可以触发合规检查。

 

第二,合规检查之后管理员可以在账号当中看到各个账号内的统一汇总不合规资源情况,这就很大程度的方便管理员掌握每个业务的安全风险等级。

 

第三,管理员可以去评估检查结果并针对检查结果进行修正。修正可以分为两种方式:

 

•  其一是手动修正。手动修正由管理员统一查看合规检查结果,然后确认这些检查所需的修复动作,并对它们进行自动化的统一修正。

 

•  第二是自动修复。对于一些比较轻量的且修复动作比较确定的不合规项,可以设置自动修复策略。比如标签缺失这样一个合规检查项,就可以设置标签自动补全的自动化脚本,当它再次产生同样的问题的时候,就可以让配置审计自动触发这个修正任务,最终保证资源能够满足企业的合规要求。

 

公共设置由企业的管理员统一实施之后,各个成员账号就不需要重复去设置公共规则,只需要完善各个子公司的业务规则即可。这样就可以大大降低配置和管理的复杂度。

 

如下图示例所示,从企业管理员的视角,可以统一看到企业下所有账号的所有资源的合规情况,也可以导出合规的报表信息以进一步进行处理。

image.png

再回到文章开头的企业案例中去,对于集团企业来讲,一开始创建多账号规划的时候,建议创建一个独立的日志账号,并且授权企业的安全审计人员具备账号内配置审计等这些审计相关产品的管理权限。

 

创建独立账号的优势是,可以保证管理权限和资源的隔离,合规设置只能在这个账号中去进行配置管理,其他子公司的业务成员没有办法登录到这个账号,也避免了误删或是修改的情况发生,最大限度的保证了创建审计规则始终具有较高的可靠性。

 image.png


具体拆解到案例企业,如果想要完成集团公司的审计工作,具体需要有以下几类的角色。

 image.png

首先,企业整体的安全审计人员,如Alice,可以使用自己已经授权的账号登录到特定的日志账号中,此时这个账号已经被授权了配置审计的委派管理员权限,Alice只需要在这个账号中设置合规规则即可。

 

这些合规规则一方面来自阿里云官方提供的合规模版,另一方面也可以来自于企业的特定需求,管理员通过指定规则去创建企业定制化的合规要求。

 

完成了这个配置规则的模版之后,Alice也可以对不合规的事件设置一个统一的监控策略。当这些高风险的事件和不合规事件发生的时候,可以自动推送到对应的业务负责人那里。

 

其次,企业的管理负责人。在上述的集团企业案例中,其中运维总监Ken是可以随时进入到账号当中的,可以很方便的了解到企业内所有账号的合规情况,包括哪些资源存在高风险等问题,方便他后续可以指定企业的治理策略,并在后续的治理当中持续降低企业的安全合规风险。

 

第三,子公司的负责人。对于子公司的负责人来说,不再需要重复创建大量合规规则,只需要在企业的安全管理人Alice设置的基础合规规则之后,适当补充业务相关的安全检查规则即可。

 

以下是多账号配置统一合规审计的实操演示。

 

进入控制台之前,假定我们已经启用了资源目录,并且已经对资源目录进行了适当的设置,把资源账号都已经纳管到了资源目录里。做完这些基本操作之后,可以在控制台启用配置审计这款产品。

 

可以注意到右上角是当前账号,以下的所有操作都是在当前账号当中。

 image.png

想要做多账号的统一合规管理,第一步需要进入到账号组中去创建一个新的账号组。创建新的账号组除了要注意名称和描述之外,还需要注意账号组的资源类型。

 

这里选择的账号组资源类型为全局,意思就是可以把资源目录下的资源账号都包含进来。无论后续新增资源账号还是移除资源账号,都会自动进行同步。如果账号组资源类型选择自定义,就没有这个同步的效果了。

 

对于企业来讲,只能够创建唯一的全局账号组。

 image.png

账号组创建之后就可以看到它包含的账号数量、组类型、创建时间和创建状态等信息。

 

然后我们切换到这个账号组,也就是将这个新创建的账号组以及所有账号生效。切换账号组之后,可以进入到目录中的合规包中,创建合规包。可以选择阿里云已有合规模版,然后进入下一步。

 image.png

 

进入新建合规包页面,合规包的名称和描述等信息会自动带入进来,如果没有问题保存默认即可。然后就可以设置生效范围,如果这里有特别需求,可以自设定它生效的地域或是生效的资源组标签等。

 image.png

 

再下一步是确认这些合规包的规则是否符合预期,可以将这个合规包的所有规则都导入进来,如果都没问题再进入下一步。

 

再下一步是对部分规则设定参数,因为不是所有规则都有参数的。这样这个合规包就完成创建了。

 

在这个创建过程中,也可以同步设置监控告警。启动之后可以切换到告警通知小组并设定告警通知人。

 image.png


告警小组和告警联系人创建完成之后,再进入到系统事件中,在这里可以配置审计的合规事件和报警方式。切换到事件告警的规则列表,然后创建新的报警规则,其名称可以是配置审计的相关告警,然后产品类型选择配置审计,事件名称可以选择不合规事件。

 

配置审计支持两个类型的事件,其一,配置变量变更是指云产品上的配置;其二,配置属性变更,是指属性发生变化。这两种类型的事件都会触发告警通知。

 image.png

 

选择了不合规事件类型之后,下面可以做进一步的关键词过滤。然后就是设定被通知对象,这里可以设置一个通知的联系人组,可以默认为上面创建好的联系人。

 

以上步骤就完成了整个创建事件的告警设置。点击确认后,当后续发生以上告警事件,系统就会通过电话、短信或是邮件加钉钉等方式自动通知到联系人组。

 

回到合规包的检查结果可以看到这里面有38项的不合规资源数,可以点击查看详情并切换到资源检测结果。在下图的列表中,可以统一查看不同账号下所有不合规的资源都有哪些。对那些不合规的资源都可以点进去查看详情,然后针对不合规的配置进行进一步的修正。

image.png

 

 >>>欢迎点击资源管理产品控制台体验更多功能

相关文章
|
7月前
|
运维 监控 安全
构建多账号云环境的解决方案|多账号消息联系人集中管理
云上产品生命周期、监控告警、财务等消息,需要发送给企业内对口的联系人做处理。客户到阿里云消息中心控制台,创建财务、运维等消息联系人,并配置接收规则。当企业在云上采用多账号的资源架构时,如果仍要到各账号内做联系人管理,一方面重复工作效率低,另一方面新账号加入忘记配置或联系人变更未更新将导致遗漏云上消息,而对业务产生影响。此次分享为您介绍如何集中管理组织在云上多个账号的消息联系人,提升管理效率,降低忘记配置带来的潜在风险。
110515 4
|
7月前
|
运维 安全 测试技术
构建多账号云环境的解决方案|高效构建安全合规的新账号
随着企业将业务迁移上云,为了应对复杂的业务与组织关系,越来越多的企业会采用多账号来部署云环境。对于新业务上线,企业会先创建一个云账号来部署资源。通过控制台上的账号注册流程需要完成企业实名认证,这个流程周期较长。等新账号注册下来之后,企业还需要配置账号内的安全合规基线,开通相关云服务,配置网络等一系列动作,费时费力。「账号工厂」就是这样一个解决方案,帮助企业在多账号场景下高效便捷的创建受管控的安全合规云账号。
168 1
|
7月前
|
SQL 弹性计算 监控
构建多账号云环境的解决方案|多账号云上操作日志统一审计
操作审计(ActionTrail)是阿里云提供的云账号资源操作记录的查询和投递服务,可用于安全分析、资源变更追踪以及合规性审计等场景。企业在阿里云采用多账号的资源结构时,如何满对跨账号跨地域的云上操作日志进行统一归集留存和分析,是企业上云管云过程的必备环节。此次分享为您介绍如何使用操作审计产品进行中心化的审计,提升云上多账号操作的可控可见性,及时发现问题、响应问题,规避潜在风险。
356 0
|
新零售 运维 安全
构建多账号云环境的解决方案|云防火墙企业多账号统一管理最佳实践
云防火墙通过与资源目录RD深度集成,可帮助企业将云上多个业务账号进行统一集中安全管控,大大提升运维效率。通过多账号统一管理能力,用户无需采购和运维多套云防火墙,仅需采购和运维一套,即可实现安全策略统一下发和防护效果统一分析审计等,更好满足企业网络安全集中化管控需求,并大大降低成本。
50392 6
|
运维 安全 大数据
构建多账号云环境的解决方案|多账号身份权限集中管理
企业客户在阿里云采用多账号的资源结构,如果需要在每个账号内配置身份和权限,管理成本和安全风险都会大大增加。阿里云开放平台云SSO产品专家 夜来为您介绍如何使用云SSO进行多账号身份权限统一管理,包括与企业自有身份系统集成、统一的身份管理和多账号的权限配置。
1186 5
|
存储 云安全 运维
构建多账号云环境的解决方案|云安全中心多账号统一安全运营
为解决安全管理人员对企业下属的多个云产品的安全运营效率问题,云安全中心威胁分析结合资源管理服务,为客户提供多账号管理统一安全运营方案。通过指定委派管理员,即可在控制台统一多账号安全运营工作,免除在多个账号间频繁登录登出的烦恼。 
594 0
|
运维 监控 安全
网络安全设备-认识运维安全管理与审计系统(堡垒机)
运维安全管理与审计系统(俗称 “堡垒机”):是采用新一代智能运维技术框架,基于认证、授权、访问、审计的管理流程设计理念,实现对企事业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计;通过集中化运维管控、运维过程实时监管、运维访问合规性控制、运维过程图形化审计等功能,为企事业IT中心运维构建一套事前预防、事中监控、事后审计完善的安全管理体系。
1029 0
|
数据采集 SQL 弹性计算
快速集成阿里云资源到企业CMDB-配置审计
配置审计提供跨云产品、跨地域、跨账号的资源集成能力,可以帮助企业快速将阿里云资源集成到企业自建的CMDB中。
1016 0
快速集成阿里云资源到企业CMDB-配置审计
|
安全 数据管理 数据处理
数据安全最佳实践(5):手动指定敏感数据【Dataphin V3.8】
在基于数据分类分级和敏感数据保护,保障企业数据安全、如何基于Dataphin实现敏感数据保护(以消费者隐私保护为例)中,我们讲了通过对敏感数据进行分类分级的识别和通过脱敏进行敏感数据的保护。这里面最基础的工作,就是完成敏感数据的识别,并尽量保证数据识别的准确性。 Dataphin V3.8在原来按照规则自动识别敏感数据的基础之上,新增了手动指定敏感数据的能力,方便快速指定核心敏感数据和批量进行敏感数据管理。
数据安全最佳实践(5):手动指定敏感数据【Dataphin V3.8】
|
存储 运维 安全
如何做好统一身份认证账号管理及集成
传统统一身份认证系统的建设存在众多的问题,使设计实现复杂化,管理复杂化,集成复杂化。我们今天将详细讨论下统一身份认证账号设计的几个相关问题
2554 1
如何做好统一身份认证账号管理及集成