您可以使用多账号安全管理功能,对企业中的多个阿里云账号和资源账号进行统一管理和安全防护配置,实时检测各个成员账号的安全风险状况。本文介绍如何使用多账号安全管理功能。

背景信息

随着企业上云的进一步深入,越来越多的企业业务迁移至云端,企业购买的云资源迅速增多,资源、项目、人员、权限管理变得极其复杂,单账号负载过重已无力支撑,多账号上云模式逐渐成为多业务上云的重要选择。企业用户对于跨账号的云资源具有集中化管理需求,主要体现在安全、审计合规、网络、运维等产品。

云安全中心基于阿里云资源管理提供的可信服务功能,支持将多个阿里云账号集合到一个资源目录内,通过结构化的方式实现对多个阿里云账号资源进行统一的数据运营监控及多账号快捷运营。

云安全中的多账号管理账号包括云安全中心监控账号和威胁分析监控账号。
  • 云安全中心监控账号:企业需要管理多个阿里云账号下的资产安全状态和安全防护配置(威胁分析功能除外),例如安全告警、漏洞、基线检查、云平台配置检查等。
  • 威胁分析监控账号:企业需要管理多个阿里云账号下多个云产品(例如云防火墙、专有网络VPC等)的安全信息和安全事件。

版本限制

云安全中心所有版本用户都可使用该功能。各版本支持的功能详情,请参见功能特性

前提条件

步骤一:添加委派管理员账号

资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。

说明 云安全中心可信服务最多支持添加10个委派管理员账号。
  1. 使用企业管理账号登录资源管理控制台
  2. 在左侧导航栏,选择资源目录 > 可信服务
  3. 可信服务页面,找到云安全中心云安全中心-威胁分析,在操作列单击管理
  4. 委派管理员账号区域,单击添加
  5. 添加委派管理员账号面板,选择需要设置为委派管理员的成员,然后单击确定
    添加成功后,使用该委派管理员账号访问可信服务的多账号安全管理功能,即可进行资源目录组织范围内的管理操作。

步骤二:配置多账号管理账号

配置云安全中心监控账号

您可以在云安全中心控制台添加资源目录成员账号,实现在单账号下统一管理多个阿里云账号下的资产安全状态和安全防护配置(威胁分析功能除外),例如安全告警、漏洞、基线检查、云平台配置检查等。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)
  2. 在左侧导航栏,选择系统配置 > 多账号安全管理
  3. 如果您是首次使用多账号安全管理功能,单击开启云安全中心管控
    开启成功后,系统会自动在成员账号下创建服务关联角色AliyunServiceRoleForSasRd。关于服务关联角色的更多信息,请参见云安全中心服务关联角色
  4. 添加监控账号。
    1. 多账号安全管理页面,单击配置页签。云安全中心监控账号页签,单击添加账号
    2. 添加账号面板,选择需要进行安全管理的阿里云账号。
      说明 企业管理账号和委派管理员账号维护的成员账号列表相同,使用这两种账号维护成员账号列表均可达到同样的效果。
    3. 可选:选择当有新增账号时,默认添加至管控列表。选择该选项后,后续如果有新增账号,云安全中心会自动将新增的账号同步到成员账号列表。
    4. 单击确定
      您可以在多账号安全管理页面的成员账号列表中查看已添加的成员账号。
  5. 配置成员账号安全防护。
    1. 云安全中心监控账号的成员账号列表,在成员账号的操作列单击设置
    2. 设置面板,完成客户端管理基本防护设置,单击下一步
      分类配置项说明相关文档
      主机防护设置 主动防御云安全中心的主动防御功能可为您自动拦截常见病毒、恶意网络连接和网站后门连接,并设置诱饵捕获勒索病毒。主动防御
      网站后门查杀网站后门查杀功能会定期检测网站服务器、网页目录中的网站后门及木马程序。只有为服务器开启网站后门查杀后,云安全中心安全告警才会触发网站后门检测,并向您展示相关告警记录。网站后门查杀
      自适应威胁检测能力开启自适应威胁检测功能后,如果服务器发生高危入侵事件,云安全中心会自动为您服务器的Agent开启重大活动保护模式。该模式开启所有安全防护规则和安全引擎,可以更全面地检测黑客的入侵行为。自适应威胁检测能力
      防护模式管理云安全中心Agent是云安全中心提供的本地插件,您必须在服务器操作系统上安装云安全中心Agent插件,才能使用云安全中心提供的安全防护服务。防护模式管理功能提供多种Agent运行模式,可以满足您不同应用场景下的安全需求。防护模式管理
      容器防护设置 容器K8s威胁检测容器K8s威胁检测功能实时为您检测正在运行的容器集群安全状态,帮助您及时发现容器集群中的安全隐患和黑客入侵行为。容器K8s威胁检测
      容器防逃逸容器防逃逸从进程、文件、系统调用等多种维度检测高风险行为,在容器与宿主机之间建立防护屏障,有效阻断逃逸行为保障容器运行时安全。容器防逃逸
      客户端能力配置客户端自保护客户端自保护功能可以主动拦截恶意卸载云安全中心Agent的行为,保障云安全中心防御机制稳定运行。客户端自保护
      本地文件检测引擎本地文件检测引擎为阿里云云安全中心自主研发的本地文件威胁检测引擎。当服务器开启了本地文件检测功能后,服务器上的文件将启用本地+云端双引擎的检测模式。本地文件检测
      其它配置全局日志过滤仅开通日志分析服务后,控制台才会显示该功能。

      全局日志过滤在保障安全效果防护的同时,有效使用日志存储空间,提升您的运营效率。

      		全局日志过滤
    3. 完成漏洞管理设置,单击下一步
      您可通过漏洞管理设置开启或关闭不同类型漏洞的自动检测、有选择性地对指定服务器开启漏洞检测、设置漏洞扫描周期和扫描方式、对已失效漏洞设置自动删除周期。更多信息,请参见扫描漏洞
    4. 完成基线检查策略配置。
      您可以使用基线检查功能配置成员账号的基线检查策略,通过执行基线检查策略来检查成员账号的资产的基线配置是否存在风险。更多信息,请参见设置、执行基线检查策略
  6. 配置完成后,单击确定
    云安全中心将根据您的配置,开启成员账号客户端的相关功能,并根据您的配置对成员账号下拥有的资产进行漏洞扫描和基线检查。

威胁分析监控账号

使用威胁分析监控账号功能,您可以将多个阿里云账号接入威胁分析功能,实现多个阿里云账号下的多个云产品的安全事件告警和处理。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)
  2. 在左侧导航栏,选择系统配置 > 多账号安全管理
  3. 如果您是首次使用多账号安全管理功能,单击开启威胁分析管控
    开启成功后,系统会自动在成员账号下创建服务关联角色AliyunServiceRoleForSasRd。关于服务关联角色的更多信息,请参见云安全中心服务关联角色
  4. 添加监控账号。
    1. 多账号安全管理页面,单击配置页签。威胁分析监控账号页签,单击添加账号
    2. 添加账号面板,选择需要进行安全管理的阿里云账号。
      说明 企业管理账号和委派管理员账号维护的成员账号列表相同,使用这两种账号维护成员账号列表均可达到同样的效果。
    3. 可选:选择当有新增账号时,默认添加至管控列表。选择该选项后,后续如果有新增账号,云安全中心会自动将新增的账号同步到成员账号列表。
  5. 单击确定
    配置完成后,您可以在威胁分析监控账号页面的成员账号列表中查看已添加的成员账号。

步骤三:查看成员账号的安全风险

您可以使用企业管理账号或者委派管理员账号登录云安全中心控制台,查看成员账号的安全风险和管理成员账号。

通过总览页面查看成员账号安全风险

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)
  2. 在左侧导航栏,选择系统配置 > 多账号安全管理
  3. 多账号安全管理页面,单击总览页签,查看各成员账号的安全评分、风险资产、安全告警、漏洞风险、基线问题和资产暴露分析的数据统计。

查看及管理云安全中心监控账号

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)
  2. 在左侧导航栏,选择系统配置 > 多账号安全管理
  3. 多账号安全管理页面,单击配置页签。
  4. 云安全中心监控账号页签,查看及管理云安全中心监控成员账号信息。
    • 查看成员账号的安全风险信息

      您可以在成员账号列表中查看成员账号的安全风险信息,包括安全分安全告警处理漏洞管理基线检查云平台配置检查攻击次数

    • 切换到成员账号的云安全中心控制台
      在成员账号列表中单击账号名称,切换到该成员账号的云安全中心控制台;或者在左侧导航栏的下拉列表选择账号,切换到对应成员账号或当前登录账号的云安全中心控制台。多账号切换

      切换到成员账号的控制台后,您可以查看该成员账号的资产安全风险并进行安全防护设置,但不支持以下操作:

      • 从控制台跳转到购买页或其他云产品控制台。例如在总览页面,单击立即购买,再单击对应的版本时,无法跳转到购买页,会提示多账号管理场景下不支持此功能。
      • 使用日志分析功能。切换到成员账号后,控制台无日志分析功能的入口。
      • 使用多账号安全管理功能。切换到成员账号后,控制台无多账号管理功能的入口。
    • 标注重点关注账号

      您可以选中成员账号并单击标记关注,将选中的成员账号标注为重点关注的账号。在左侧导航栏上方的下拉列表会优先展示重点关注的账号。

    • 前往资源管理控制台

      使用企业管理账号登录的用户,可以单击前往查看,跳转到资源管理控制台的资源目录页面。您可以在资源目录页面查看所有资产目录信息、新建成员、邀请成员、将资源账号升级为账号。

    • 删除云安全中心监控账号

      单击删除,从成员账号列表删除该账号。

查看及管理威胁分析监控账号

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)
  2. 在左侧导航栏,选择系统配置 > 多账号安全管理
  3. 多账号安全管理页面,单击配置页签。
  4. 威胁分析监控账号页签,查看及管理威胁分析监控成员账号信息。
    • 查看已接入威胁分析监控的账号

      您可以在成员账号列表中查看已接入威胁分析监控的阿里云账号信息。

    • 删除威胁分析监控账号

      您可以在账号的操作列,单击删除,从成员账号列表删除该账号。