Cloud Firewall menyediakan fitur manajemen multi-akun yang memungkinkan Anda mengelola kebijakan keamanan secara terpusat untuk sebuah perusahaan. Fitur ini membantu mengurangi insiden keamanan akibat kelalaian dalam pengelolaan dan memberikan pertahanan terpusat, sehingga layanan Anda dapat dilindungi lebih efisien. Topik ini menjelaskan cara menggunakan Cloud Firewall untuk berbagi sumber daya virtual private cloud (VPC) dan menerapkan akses aman di beberapa akun. Dalam topik ini, VPC yang dimiliki oleh dua akun Alibaba Cloud dan ditempatkan di wilayah yang sama digunakan sebagai contoh.
Informasi latar belakang
Sejumlah besar perusahaan bermigrasi ke cloud. Setelah perusahaan membeli sejumlah besar sumber daya cloud, pengelolaan sumber daya, proyek, personel, dan izin bisa menjadi rumit. Akun tunggal tidak dapat memenuhi persyaratan tersebut. Oleh karena itu, sistem multi-akun diperlukan untuk memigrasikan bisnis ke cloud. Pengguna perusahaan membutuhkan pengelolaan terpusat sumber daya cloud di beberapa akun. Sumber daya cloud mencakup keamanan, audit kepatuhan, jaringan, dan produk O&M.
Untuk memenuhi kebutuhan perusahaan, Cloud Firewall memungkinkan Anda mengelola beberapa akun Alibaba Cloud dalam direktori sumber daya berdasarkan layanan tepercaya dari Direktori Sumber Daya Alibaba Cloud. Setiap akun Alibaba Cloud dalam direktori sumber daya adalah anggota. Anda dapat menentukan anggota sebagai akun administrator yang didelegasikan untuk mengakses sumber daya semua anggota dalam direktori sumber daya. Dengan cara ini, Anda dapat menggunakan fitur-fitur Cloud Firewall untuk mengelola aset Internet dan aset VPC di beberapa akun Alibaba Cloud secara terpusat. Fitur-fitur tersebut mencakup kontrol akses, konfigurasi kebijakan, analisis lalu lintas, pencegahan intrusi, pencegahan serangan, kesadaran pelanggaran, serta analisis dan audit log.
Tabel berikut menjelaskan informasi tentang akun. Sebelum menggunakan manajemen multi-akun, kami sarankan Anda membaca informasi tersebut.
Jenis Akun | Deskripsi | Izin pada Sisi Direktori Sumber Daya | Izin pada Sisi Cloud Firewall |
Akun Manajemen | Akun manajemen dapat digunakan untuk mengundang akun Alibaba Cloud yang tidak termasuk dalam direktori sumber daya untuk bergabung dengan direktori sumber daya guna pengelolaan terpusat. | Akun ini dapat digunakan untuk mengelola semua aset perusahaan. | Akun ini dapat digunakan untuk mengelola semua aset yang dilindungi oleh Cloud Firewall. |
Akun Administrator yang Didelegasikan | Akun manajemen direktori sumber daya dapat digunakan untuk menentukan anggota dalam direktori sumber daya sebagai akun administrator yang didelegasikan dari layanan tepercaya. Setelah anggota ditentukan sebagai akun administrator yang didelegasikan dari layanan tepercaya, anggota tersebut dapat digunakan untuk mengakses informasi tentang direktori sumber daya dalam layanan tepercaya. Informasi tersebut mencakup struktur dan anggota direktori sumber daya. Anggota tersebut juga dapat digunakan untuk mengelola bisnis dalam direktori sumber daya. Catatan Akun administrator yang didelegasikan memungkinkan Anda memisahkan tugas manajemen organisasi dari tugas manajemen bisnis. Akun manajemen direktori sumber daya digunakan untuk melakukan tugas manajemen organisasi direktori sumber daya. Akun administrator yang didelegasikan digunakan untuk melakukan tugas manajemen bisnis layanan tepercaya terkait. | Akun ini dapat digunakan untuk mengelola semua aset perusahaan. | Akun ini dapat digunakan untuk mengelola semua aset yang dilindungi oleh Cloud Firewall. |
Anggota | Setelah akun diundang oleh akun manajemen direktori sumber daya untuk bergabung dengan direktori sumber daya, akun tersebut menjadi anggota direktori sumber daya. | Anggota tersebut hanya dapat digunakan untuk mengelola aset yang dimiliki oleh anggota tersebut. | Anggota tersebut tidak dapat digunakan untuk membeli Cloud Firewall. |
Untuk informasi lebih lanjut tentang ruang lingkup perlindungan firewall VPC, lihat Ikhtisar.
Dalam topik ini, VPC yang terhubung menggunakan koneksi peering VPC digunakan sebagai contoh.
Skenario contoh
Penyebaran Jaringan
Akun Alibaba Cloud A dari sebuah perusahaan digunakan untuk menyebarkan VPC berikut di wilayah China (Beijing): BJ-VPC1 dan BJ-VPC2. Instance ECS bernama BJ-VPC1-ECS1 berada di BJ-VPC1, dan instance ECS bernama BJ-VPC2-ECS2 berada di BJ-VPC2. Akun Alibaba Cloud B dari perusahaan digunakan untuk menyebarkan VPC berikut di wilayah China (Beijing): BJ-VPC3 dan BJ-VPC4. Instance ECS bernama BJ-VPC3-ECS3 berada di BJ-VPC3, dan instance ECS bernama BJ-VPC4-ECS4 berada di BJ-VPC4. BJ-VPC1 dan BJ-VPC2 dihubungkan menggunakan koneksi peering VPC. BJ-VPC3 dan BJ-VPC4 dihubungkan menggunakan koneksi peering VPC. VPC yang terhubung dapat berkomunikasi satu sama lain.
Kebutuhan dan Solusi
Perusahaan ingin membeli Cloud Firewall hanya untuk Akun Alibaba Cloud A. Perusahaan juga ingin memeriksa lalu lintas antara BJ-VPC1 dan BJ-VPC2, memeriksa lalu lintas antara BJ-VPC3 dan BJ-VPC4, dan memastikan keamanan lalu lintas antara VPC. Selain itu, perusahaan mengharapkan bahwa BJ-VPC1-ECS1 tidak dapat mengakses BJ-VPC2-ECS2. Untuk memenuhi persyaratan tersebut, perusahaan dapat menggunakan fitur berikut dari Cloud Firewall: manajemen multi-akun, VPC Firewall, dan kontrol akses.
Dalam topik ini, Akun Alibaba Cloud A ditentukan sebagai akun administrator yang didelegasikan. Dalam skenario bisnis aktual, Anda dapat menentukan akun administrator yang didelegasikan berdasarkan kebutuhan bisnis Anda.
Gambar berikut menunjukkan skenario contoh.
Prasyarat
Direktori sumber daya diaktifkan untuk akun manajemen Anda. Untuk informasi lebih lanjut, lihat Aktifkan Direktori Sumber Daya.
Edisi Premium, Edisi Enterprise, Edisi Ultimate Cloud Firewall, atau Cloud Firewall yang menggunakan metode penagihan bayar sesuai pemakaian dibeli untuk Akun Alibaba Cloud A. Untuk informasi lebih lanjut, lihat Langganan.
CatatanJika Anda ingin menambahkan lebih dari satu anggota, tingkatkan spesifikasi Cloud Firewall Anda dengan mengonfigurasi ulang parameter Manajemen Terpusat Multi-akun.
Dua VPC untuk Akun Alibaba Cloud A dan Akun Alibaba Cloud B ditempatkan dalam wilayah yang sama. Untuk informasi lebih lanjut, lihat Buat dan Kelola VPC.
Dua instance ECS ditempatkan di dua VPC milik Akun Alibaba Cloud A dan Akun Alibaba Cloud B. Untuk informasi lebih lanjut, lihat Buat dan Kelola vSwitch.
Dua VPC untuk Akun Alibaba Cloud A dan Akun Alibaba Cloud B dihubungkan menggunakan koneksi peering VPC. Untuk informasi lebih lanjut, lihat Buat dan Kelola Koneksi Peering VPC.
Tabel berikut menjelaskan perencanaan jaringan.
Sumber daya | Akun Alibaba Cloud A | Akun Alibaba Cloud B |
Account ID | 135809047715**** | 166032244439**** |
VPC | BJ-VPC1
BJ-VPC2
| BJ-VPC3
BJ-VPC4
|
ECS | BJ-VPC1-ECS1
BJ-VPC2-ECS2
| BJ-VPC3-ECS3
BJ-VPC4-ECS4
|
Prosedur
Langkah 1: Undang akun untuk bergabung dengan direktori sumber daya sebagai anggota
Akun manajemen dapat digunakan untuk mengundang akun Alibaba Cloud yang tidak termasuk dalam direktori sumber daya untuk bergabung dengan direktori sumber daya guna pengelolaan terpusat.
Masuk ke Konsol Manajemen Sumber Daya menggunakan akun manajemen.
Di panel navigasi sisi kiri, pilih .
Pada halaman yang muncul, klik Invite Member.
Di panel Invite Member, masukkan ID Akun Alibaba Cloud A (135809047715****) dan ID Akun Alibaba Cloud B (166032244439****) untuk Account ID or Logon Email Address. Kemudian, baca dan pilih perjanjian.
CatatanJika Anda ingin memasukkan alamat email akun Alibaba Cloud, Anda harus memasukkan alamat email yang Anda tentukan saat membuat akun. Anda dapat memasukkan beberapa ID akun atau alamat email. Pisahkan ID akun atau alamat email dengan koma (,).
Klik OK.
Langkah 2: Tentukan anggota dalam direktori sumber daya sebagai akun administrator yang didelegasikan
Akun administrator yang didelegasikan memungkinkan Anda memisahkan tugas manajemen organisasi dari tugas manajemen bisnis. Akun manajemen perusahaan dari direktori sumber daya digunakan untuk melakukan tugas manajemen organisasi direktori sumber daya. Akun administrator yang didelegasikan digunakan untuk melakukan tugas manajemen bisnis layanan tepercaya terkait. Dalam topik ini, Akun Alibaba Cloud A ditentukan sebagai akun administrator yang didelegasikan.
Anda dapat menentukan hingga lima akun administrator yang didelegasikan untuk Cloud Firewall Anda.
Masuk ke Konsol Manajemen Sumber Daya menggunakan akun manajemen.
Di panel navigasi sisi kiri, pilih .
Pada halaman Trusted Services, temukan layanan tepercaya untuk mana Anda ingin menambahkan akun administrator yang didelegasikan, dan klik Manage di kolom Actions.
Di bagian Delegated Administrator Accounts pada halaman yang muncul, klik Add.
Di panel Add Delegated Administrator Account, temukan Akun Alibaba Cloud A yang ID-nya adalah 135809047715**** dan pilih akun tersebut.
Klik OK.
Kemudian, Anda dapat menggunakan akun administrator yang didelegasikan untuk mengakses modul manajemen multi-akun layanan tepercaya dan melakukan operasi administratif dalam direktori sumber daya.
Langkah 3: Tambahkan anggota ke Cloud Firewall
Cloud Firewall memungkinkan Anda mengelola beberapa akun Alibaba Cloud dalam direktori sumber daya berdasarkan layanan tepercaya dari Direktori Sumber Daya Alibaba Cloud. Setiap akun Alibaba Cloud dalam direktori sumber daya adalah anggota. Dengan cara ini, semua anggota dalam direktori sumber daya dapat berbagi sumber daya.
Masuk ke Konsol Cloud Firewall menggunakan Akun Alibaba Cloud A.
Di panel navigasi sisi kiri, pilih .
Pada halaman Multi-account Management, klik Add Member.
Di kotak dialog Add Member, tambahkan Akun Alibaba Cloud B yang ID-nya adalah 166032244439**** ke bagian Selected Members.
Di bagian Selected Members, pilih ID Akun Alibaba Cloud B dan klik OK.
Akun Alibaba Cloud B (166032244439****) ditambahkan sebagai anggota menggunakan Akun Alibaba Cloud A (135809047715****).
Setelah Anda menambahkan anggota, Cloud Firewall dapat mengakses sumber daya anggota tersebut secara default. Jika firewall VPC melindungi VPC yang terpasang pada instance Cloud Enterprise Network (CEN) dan VPC tersebut dibuat oleh akun Alibaba Cloud yang berbeda, Anda harus secara manual memberi otorisasi Cloud Firewall untuk mengakses sumber daya cloud dalam akun Alibaba Cloud tempat VPC tersebut berada. Untuk informasi lebih lanjut, lihat Otorisasi Cloud Firewall untuk Mengakses Sumber Daya Cloud Lainnya.
Langkah 4: Buat firewall VPC
Jika dua VPC dihubungkan menggunakan koneksi peering VPC, Anda dapat membuat firewall VPC untuk memeriksa lalu lintas antara VPC tersebut.
Saat Anda mengaktifkan firewall VPC, kesalahan koneksi transien mungkin terjadi pada lalu lintas lintas-VPC karena pergantian rute. Kami sarankan Anda mengaktifkan firewall VPC selama jam-jam sepi.
Masuk ke Konsol Cloud Firewall menggunakan Akun Alibaba Cloud A. Di panel navigasi sisi kiri, klik Firewall Settings.
Pada halaman Firewall Settings, klik tab VPC Firewall.
Pada tab Express Connect, temukan baris di mana nilai parameter VPC adalah BJ-VPC1 dan nilai parameter Peer VPC adalah BJ-VPC2 dan klik Create di kolom Actions.
Cloud Firewall secara otomatis menyinkronkan sumber daya setiap 30 menit. Jika Anda baru saja membuat sumber daya, Anda harus menunggu 30 menit sebelum Anda dapat menemukan sumber daya tersebut.
Di kotak dialog Create VPC Firewall, konfigurasikan parameter berikut dan klik Submit.
Parameter
Deskripsi
Contoh
Instance Name
Nama firewall VPC. Kami sarankan Anda memasukkan nama unik untuk membantu mengidentifikasi firewall VPC berdasarkan kebutuhan bisnis Anda.
Uji manajemen multi-akun
Connection Type
Tipe koneksi antara VPC atau antara VPC dan pusat data. Dalam contoh ini, nilainya tetap sebagai Express Connect.
Express Connect
Confirm VPC-related Information
Wilayah dan nama VPC. Konfirmasikan informasi tersebut dan konfigurasikan parameter Route table dan Destination CIDR Block.
VPC:
Wilayah: China (Beijing)
VPC: vpc-2zekde0udtz2s1hn9****-BJ-VPC1
Alamat IP Firewall/NIC: 10.33.33.15-eni-2zeau3rre2q3llavidw0
Tabel Rute: vtb-2zeo25fbkcvc2lx7j****
Blok CIDR Tujuan: 10.66.66.0/24
Peer VPC:
Wilayah Peer: China (Beijing)
Peer VPC: vpc-2zey3h1i556yn5orn****-BJ-VPC2
Alamat IP Firewall Peer/NIC: 10.66.66.92-eni-2zeau3rre2q3llavidw0
Tabel Rute Peer: vtb-2zeo25****
Blok CIDR Tujuan Peer: 10.33.33.0/24
Intrusion Prevention
Cloud Firewall menyediakan sistem pencegahan intrusi (IPS) untuk melindungi terhadap intrusi secara real-time dengan memeriksa lalu lintas utara-selatan dan timur-barat.
Mode IPS: Mode Blokir
Kemampuan IPS: Aturan Dasar dan Patching Virtual
Enable VPC Firewall
Setelah Anda mengaktifkan Aktifkan Firewall VPC, firewall VPC akan diaktifkan secara otomatis setelah Anda membuat firewall. Secara default, sakelar dimatikan.
Aktifkan Firewall VPC: aktif
Pada tab Express Connect, temukan baris di mana nilai parameter VPC adalah BJ-VPC3 dan nilai parameter Peer VPC adalah BJ-VPC4, dan klik Create di kolom Actions.
Di kotak dialog Create VPC Firewall, konfigurasikan parameter berikut dan klik Submit.
Parameter
Deskripsi
Contoh
Instance Name
Nama firewall VPC. Kami sarankan Anda memasukkan nama unik untuk membantu mengidentifikasi firewall VPC berdasarkan kebutuhan bisnis Anda.
Uji manajemen multi-akun02
Connection Type
Tipe koneksi antara VPC atau antara VPC dan pusat data. Dalam contoh ini, nilainya tetap sebagai Express Connect.
Express Connect
Confirm VPC-related Information
Wilayah dan nama VPC. Konfirmasikan informasi tersebut dan konfigurasikan parameter Route table dan Destination CIDR Block.
VPC:
Wilayah: China (Beijing)
VPC: vpc-2ze9epancaw8t4sha****-VPC3-ECS3
Alamat IP Firewall/NIC: 10.10.10.46-eni-2ze0if806m1f08w5****
Tabel Rute: vtb-2zekhldj6y24xm6vi****
Blok CIDR Tujuan: 10.10.11.0/24
Peer VPC:
Wilayah Peer: China (Beijing)
Peer VPC: vpc-2ze3rb2rf1rqo3peo****-BJ-VPC4
Alamat IP Firewall Peer/NIC: 10.10.11.116-eni-2ze24sw34yq9n8ae****
Tabel Rute Peer: vtb-2zestg1kxe9it54yu****
Blok CIDR Tujuan Peer: 10.10.10.0/24
Intrusion Prevention
Cloud Firewall menyediakan IPS untuk melindungi terhadap intrusi secara real-time dengan memeriksa lalu lintas utara-selatan dan timur-barat.
Mode IPS: Mode Blokir
Kemampuan IPS: Aturan Dasar dan Patching Virtual
Enable VPC Firewall
Setelah Anda mengaktifkan Aktifkan Firewall VPC, firewall VPC akan diaktifkan secara otomatis setelah Anda membuat firewall. Secara default, sakelar dimatikan.
Aktifkan Firewall VPC: aktif
Langkah 5: Buat kebijakan kontrol akses
Firewall VPC dapat digunakan untuk memeriksa lalu lintas antara VPC. Setelah Anda membuat firewall VPC, lalu lintas antara VPC diizinkan secara default. Anda dapat membuat kebijakan kontrol akses untuk firewall VPC untuk mengelola aset dalam VPC secara lebih rinci. Dalam contoh ini, buat kebijakan kontrol akses untuk menolak akses dari BJ-VPC1-ECS1 ke BJ-VPC2-ECS2. Instance ECS tersebut milik Akun Alibaba Cloud A.
Masuk ke Konsol Cloud Firewall menggunakan Akun Alibaba Cloud A.
Di panel navigasi sisi kiri, pilih .
Pada halaman VPC Border, klik Create Policy.
Di panel Create Policy - VPC Border, konfigurasikan parameter berikut.
Parameter
Deskripsi
Contoh
Source Type
Tipe sumber lalu lintas.
IP
Source
Alamat sumber lalu lintas.
10.33.33.17/32
Destination Type
Tipe tujuan lalu lintas.
IP
Destination
Alamat tujuan lalu lintas.
10.66.66.94/32
Protocol
Protokol lalu lintas.
TCP
Port Type
Tipe port.
Port
Port
Port tempat Anda ingin mengontrol lalu lintas. Jika Anda mengatur Port Type ke Port, masukkan rentang port. Jika Anda mengatur Tipe Port ke Buku Alamat, temukan Port Address Book yang diperlukan dan klik Select di kolom Tindakan.
80
Application
Tipe aplikasi.
ANY
Action
Tindakan pada lalu lintas yang mencapai firewall VPC.
Tolak
Description
Deskripsi kebijakan. Masukkan deskripsi yang dapat membantu mengidentifikasi kebijakan.
Kebijakan penolakan untuk manajemen multi-akun
Priority
Prioritas kebijakan. Nilai default: Lowest.
Terendah
Klik OK.
Langkah 6: Lihat log lalu lintas dan informasi tentang pencegahan intrusi
Saat Anda mengakses aset, Anda dapat melihat informasi tentang lalu lintas antara VPC di halaman Akses VPC. Dengan cara ini, Anda dapat mengidentifikasi lalu lintas mencurigakan dan menyelesaikan serangan secara efisien. Untuk informasi lebih lanjut, lihat Akses VPC. Anda juga dapat melihat log lalu lintas VPC dan informasi tentang pencegahan intrusi untuk memastikan bahwa konfigurasi Anda benar. Anda dapat memeriksa apakah ada lalu lintas mencurigakan berdasarkan hasil kueri. Jika ada lalu lintas mencurigakan, konfigurasi tidak sesuai dengan kebutuhan bisnis Anda. Dalam hal ini, Anda dapat membuat kebijakan kontrol akses lainnya atau memodifikasi konfigurasi pencegahan intrusi.
Lihat log lalu lintas VPC
Masuk ke Konsol Cloud Firewall menggunakan Akun Alibaba Cloud A.
Di panel navigasi sisi kiri, pilih .
Pada halaman Log Audit, klik tab Traffic Logs dan kemudian tab VPC Border.
Pada tab VPC Border, kueri log lalu lintas antara VPC yang dimiliki oleh Akun Alibaba Cloud A atau Akun Alibaba Cloud B.
Untuk mengkueri log lalu lintas dari BJ-VPC2-ECS2 ke BJ-VPC1-ECS1, tentukan alamat IP BJ-VPC2-ECS2 (10.66.66.94) sebagai alamat IP sumber dan alamat IP BJ-VPC1-ECS1 (10.33.33.17) sebagai alamat IP tujuan.
Akses berhasil dari BJ-VPC2-ECS2 ke BJ-VPC1-ECS1 menunjukkan bahwa lalu lintas antara dua VPC dalam Akun Alibaba Cloud A dialihkan ke Cloud Firewall.
Untuk mengkueri log lalu lintas akses dari BJ-VPC3-ECS3 ke BJ-VPC4-ECS4, tentukan alamat IP BJ-VPC3-ECS3 (10.10.10.44) sebagai alamat IP sumber dan alamat IP BJ-VPC4-ECS4 (10.10.11.115) sebagai alamat IP tujuan.
Akses berhasil dari BJ-VPC3-ECS3 ke BJ-VPC4-ECS4 menunjukkan bahwa lalu lintas antara dua VPC dalam Akun Alibaba Cloud B dialihkan ke Cloud Firewall.
Pada tab VPC Border, tentukan alamat IP BJ-VPC1-ECS1 (10.33.33.17) sebagai alamat IP sumber dan alamat IP BJ-VPC2-ECS2 (10.66.66.94) sebagai alamat IP tujuan untuk mengkueri log akses yang ditolak dari BJ-VPC1-ECS1 ke BJ-VPC2-ECS2.
Log akses yang ditolak dari BJ-VPC1-ECS1 ke BJ-VPC2-ECS2 menunjukkan bahwa kebijakan kontrol akses yang dikonfigurasikan sedang berlaku. Akses dari BJ-VPC1-ECS1 ke BJ-VPC2-ECS2 ditolak. Aset perusahaan diisolasi secara aman.
Lihat informasi tentang pencegahan intrusi untuk VPC
Masuk ke Konsol Cloud Firewall menggunakan Akun Alibaba Cloud A.
Di panel navigasi sisi kiri, pilih .
Pada halaman Intrusion Prevention, klik tab VPC Protection, tentukan kondisi pencarian, dan kemudian klik Cari untuk mengkueri informasi tentang peristiwa intrusi.
Peristiwa intrusi yang dikembalikan antara BJ-VPC1-ECS1 dan BJ-VPC2-ECS2 yang dimiliki oleh Akun Alibaba Cloud A menunjukkan bahwa Cloud Firewall mendeteksi komunikasi tidak aman antara instance ECS. Aset perusahaan dilindungi dari intrusi.
CatatanLalu lintas akses dari BJ-VPC1-ECS1 ke BJ-VPC2-ECS2 tidak ditampilkan karena lalu lintas tersebut cocok dengan kebijakan kontrol akses Tolak yang Anda buat dan diblokir.
Temukan peristiwa intrusi dan klik Details di kolom Tindakan. Di panel Basic Information, lihat detail peristiwa intrusi.
Referensi
Gunakan Fitur Manajemen Multi-Akun