支持多管理员管理 AWS 安全策略

重点摘要

通过 AWS Firewall Manager 提供的多管理员支持，企业可以高效地管理安全政策。这种新功能使得企业能够委派不同管理员在不同区域的多种任务，减少了单一管理员操作带来的限制，更好地应对合规性、审计、可用性等水平的需求。本文将深入探讨这一特性及其好处。

The management of security services across organizations has evolved over the years Depending on the organizations size industry type number of services to be administered and compliance regulations the approach can vary Compliance standards may necessitate scoped administrative control of event monitoring and auditing and large enterprises often face significant challenges with single administrator support on management consoles 本文将深入探讨这些安全政策管理遇到的挑战，并展示如何通过使用 AWS Firewall Manager 来优化大规模的安全操作，以支持多位管理员。

以下是大型企业在扩展其安全操作时所面临的一些用例和挑战：

政策在复杂组织边界中的执行

大型组织往往分为多个组织单位，每个单位在组织中代表一个功能。风险偏好以及安全政策在不同的组织单位之间可能截然不同。 例如，组织可能支持两种类型的用户：中央管理员和应用开发者，二者均可管理安全政策，但实施程度有所不同。中央管理员应用适用于所有账户的基线和相对通用的政策，而应用开发者可被赋予特定账户的管理员权限，并允许为整体政策创建自定义规则。单一的管理员界面限制了多个管理员在其分配的组织单位内执行不同政策的能力。

服务之间缺乏适当的分离

集中管理的好处在于可以在多个支持管理控制台的服务中执行集中策略。然而，组织可能为每个服务设置了不同的管理员。例如，管理防火墙的团队可能与管理Web应用程序防火墙解决方案的团队不同。将行政访问聚合到单一管理员身上可能无法充分符合组织对服务与管理员映射的方式。

审计与合规性

大多数安全框架要求审计程序，以便获取对用户访问、配置修改类型、增量变更的时间戳以及停机期间的日志的可见性。组织可能希望仅特定的管理员访问某些功能。例如，每个管理员可能会根据其对特定合规标准的了解，具有特定的合规范围，从而分散合规措施实施的责任。单一管理员的访问大大减少了辨别不同管理员在该单一账户中的行动的能力，从而使审计不必要地复杂。

可用性

冗余和弹性被视为安全操作的基础要求。组织希望确保，如果主要管理员因任何原因被锁定在某个账户之外，其他合法用户不会受到同样的影响。相比之下，单一管理员的访问可能会阻止合法用户在管理控制台上执行关键性和时效性操作。

安全风险

在单一管理员的设定中，实施最小权限原则的能力是不可行的。这是因为有多个操作员可能共享相同的管理员账户访问级别。这意味着某些管理员可能会获得超出其在组织内职能所需的广泛访问权限。

什么是多管理员支持？

对于 Firewall Manager，多管理员支持使得多个组织单位OUs和账户的客户能够从 AWS Organizations 中创建多达 10 个 Firewall Manager 管理员账户，以便管理其防火墙政策。您可以通过根据 OU、账户、策略类型和 AWS 区域限制访问，实现对防火墙管理的精细责任划分，从而更有效地实施政策管理任务。

多管理员支持使您能够使用不同的管理员账户为不同的参数创建管理范围。以下表格展示了一些这些管理范围的示例。

管理员范围默认管理员完整范围默认管理员 1OU = “测试 1”管理员 2账户 ID = “123456789 987654321”管理员 3策略类型 = “安全组”管理员 4区域 = “useast2”

多管理员支持的好处

多管理员支持通过允许管理员灵活地根据工作职能实施自定义配置，来缓解许多上述讨论的挑战，同时执行最小权限原则，以帮助确保遵守公司政策和合规要求。以下是多管理员支持的一些关键好处：

安全性增强

由于在多管理员访问环境中可以执行最小权限原则，因此安全性得到了增强。这是因为使用 Firewall Manager 的不同管理员将采用适合其被允许访问权限的委派权限。结果是，用户错误、故意错误以及未经授权的更改的范围可以大大减少。此外，您还将对管理员获得额外的责任感。

工作职能的自主性

具有分开管理员的组织单位的公司在其 AWS 组织账户中享有更大的自主性。这导致更大的灵活性，其中多个用户可以执行非常不同的安全功能。

合规性益处

在多管理员账户中，更容易满足基于合规标准的审计要求，因为相较于多重审核工作流和由单一全能管理员审核所有政策，用户访问及其在服务上执行的功能的可视性更高。这可以通过生成详细报告简化例行审计，报告中说明特定管理员随着时间推移实施的安全变更的时间顺序。

管理员的可用性

多管理员管理支持有助于避免拥有单一访问点的局限性，并通过提供多个管理员各自的访问级别增强可用性。这可以导致更少的中断，特别是在需要对安全配置执行及时更改的时期。

与 AWS Organizations 的集成

您可以通过 Firewall Manager 控制台或 AWS Organizations 控制台启用受信任访问。为此，您需要使用 AWS Organizations 管理账户登录，并将组织内分配给安全工具的账户配置为 Firewall Manager 管理账户。完成后，后续的多管理员 Firewall Manager 操作也可以通过 AWS API 执行。通过组织中的账户，您可以快速分配资源、分组多个账户，并对账户或组应用治理政策。这简化了需要跨账户管理的服务的操作开销。

关键用例

Firewall Manager 中的多管理员支持解锁了与基于角色的管理员访问相关的几种用例。关键用例总结如下。

基于角色的访问

多管理员支持允许根据管理员的工作职能相对于正在管理的服务来定义不同的管理员角色。例如，一个管理员可能被分配管理网络防火墙以保护其 VPC，而另一个管理员则可能被分配管理 Web 应用程序防火墙AWS WAF，二者均使用 Firewall Manager。

用户跟踪与责任

在多管理员配置环境中，每位 Firewall Manager 管理员的活动根据公司合规标准被记录和存档。这在处理安全事件的故障排除以及遵循审计标准时是非常有用的。

遵循安全框架的合规性

特定行业的法规，例如支付卡行业PCI，以及行业特定立法，例如 HIPAA，要求不同职能的角色具有受限访问、控制和任务分离。未能遵守这些标准可能会导致罚款。随着行政范围扩展至政策类型，客户可以根据合规框架中规定的用户角色指南分配管理特定防火墙政策的责任。

基于区域的特权

许多州或联邦框架，如加州消费者隐私法CCPA，要求管理员遵守自定义区域要求，例如数据主权或隐私要求。多管理员 Firewall Manager 支持通过简化向熟悉特定地区规定的管理员分配区域，使组织更容易遵循这些框架。

飞驰加速器免费一小时

图 1：AWS Firewall Manager 的多管理员支持用例

如何实施 Firewall Manager 的多管理员支持

要在 Firewall Manager 上配置多管理员支持，请执行以下步骤：

在组织的管理账户的 AWS Organizations 控制台中，展开 Root 文件夹以查看组织中的各种账户。选择分配给 Firewall Manager 管理员的 默认管理员账户。默认管理员账户应是与 AWS Organizations 管理账户分开的专用安全账户，例如安全工具账户。

图 2：AWS Organizations 控制台概述

导航至 Firewall Manager，在左侧导航菜单中选择 设置。

图 3：更新政策类型的 AWS Firewall Manager 设置

在 设置 中，选择一个账户。在 政策类型 下，选择 AWS Network Firewall 以允许一个管理员跨账户和区域管理特定防火墙。选择 编辑 显示图 4 中的 详细信息 菜单。

图 4：选择可以由此管理账户管理的政策类型为 AWS Network Firewall

您选择的结果在图 5 中显示。管理员被授予在所有区域和所有账户设置 AWS Network Firewall 策略的权限。

图 5：管理员被授予在所有区域和所有账户设置 Network Firewall 策略的权限

在第二个用例中，您将识别出管理员应被限制的多个子账户。如图 6 所示，默认情况下并没有为管理员限制的子账户或 OU，直到您选择 编辑 并进行选择。

图 6：管理员的管理范围详细信息

为了实现第二个用例，您选择 编辑 ，然后添加多个子账户或您需要限制管理员的 OU，如图 7 所示。

图 7：添加多个子账户或您需要限制管理员的 OU

第三个用例涉及授予管理员特定 AWS 区域的权限。在这种情况下，您再次进入 编辑管理员账户 页面，但这次在 区域 下，选择 美国西部北加州，以仅限制管理员的权限到选定区域。

图 8：仅限制管理员的权限到美国西部北加州区域

结论

大型企业需要操作化安全政策管理的策略，以便它们能够跨组织边界实施政策，处理安全服务的政策更改，并遵守审计和合规性要求。Firewall Manager 中的多管理员支持提供了一个框架，管理员可以利用该框架来组织其跨职能角色的工作流程，以帮助保持适当的安全水平，同时提供管理员所需的自主性。

您可以通过 AWS 管理控制台开始使用 Firewall Manager 的多管理员功能。要了解更多信息，请参考服务 文档。

如果您对这篇文章有反馈，请在评论部分提交评论。如果您对这篇文章有疑问，请 联系 AWS 支持。

Mun Hossain

Mun 是 AWS 的首席安全服务专家。Mun 制定市场策略并优先考虑有助于服务路线图方向的客户信号。在加入 AWS 之前，Mun 是 Cisco 一系列网络安全产品的高级产品管理总监。Mun 拥有网络安全风险与战略的硕士学位以及工商管理硕士学位。

标签：AWS Firewall Manager、AWS Organizations、安全博客