使用CFW防护企业资源
背景信息
华为云提供了企业项目管理(Enterprise Project Management Service,EPS)服务,帮助企业管理云上的人、财、物、权、业务,规范企业在华为云上的操作,满足企业云上IT治理诉求。
用户可以根据组织架构规划企业项目,统一管理分布在不同区域的资源,还可以为每个企业项目设置拥有不同权限的“用户”和“用户组”。
应用场景
大企业按照分公司或部门的维度管理业务时,难以划分账单和分配资源,此时可以使用企业项目管理服务:
- 将不同的业务赋予不同的企业项目,按照企业项目的维度产生账单,方便预算管理和分账处理。
- 通过给用户和用户组授权不同的企业项目,实现更精细化的资源管理。
本文介绍企业通过EPS管理业务时如何规划云防火墙。
资源和成本规划
|
资源 |
资源说明 |
数量 |
成本说明 |
|---|---|---|---|
|
企业项目(Enterprise Project Management Service) |
EPS,管理企业资源。 |
至少2个 |
企业项目管理为免费服务。 |
|
云防火墙(Cloud Firewall) |
CFW,提供云上资源防护。 |
至少2个 |
具体的计费方式及标准请参考CFW计费说明。 |
|
弹性公网IP(Elastic IP) |
(可选)EIP,云上资源。 |
按业务需求配置 |
具体的计费方式及标准请参考EIP计费说明。 |
|
虚拟私有云(Virtual Private Cloud) |
(可选)VPC,云上资源。 |
按业务需求配置 |
具体的计费方式及标准请参考VPC计费说明。 |
|
企业路由器(Enterprise Router) |
(可选)ER,连接VPC到云防火墙的流量。 云防火墙防护VPC时,依赖ER服务引流。 |
至少1个 |
具体的计费方式及标准请参考ER计费说明。 |
应用示例
某企业有A、B两个业务在云上,每个业务分为生产和测试两个业务团队,该企业按照以下维度创建企业项目:
- A、B两个业务需要分开管理,则该企业为A业务创建了企业项目“A_生产”、“A_测试”,为B业务创建了企业项目“B_生产”、“B_测试”;在购买云上资源时,将资源按业务团队绑定到对应的企业项目中。
- 该企业为安全部门创建了企业项目“安全”,在购买安全产品时,将产品绑定在“安全”下,以便财务团队区分账单以及管理安全相关的预算使用情况。
- 生产环境需要防护EIP和VPC,安全管理员购买了专业版防火墙;
- 测试环境需要防护EIP,安全管理员购买了标准版防火墙。
防火墙在每个环境中由AB两个业务共用,账单由安全部门承担,如图2所示。
企业可以在统一身份认证(Identity and Access Management,IAM)中对子账号进行企业项目级别的授权,达到隔离不同业务资源的效果,以安全管理员和测试环境管理员为例:
- 该企业授权安全管理员所有企业项目的权限,因此安全管理员可以在两个防火墙上看到资源,在两个防火墙上配置不同的防护策略以及安全防护模式,在不同环境上开启防护:
- 在生产环境的云防火墙上,针对企业项目“A_生产”、“B_生产”下的弹性公网IP以及虚拟私有云都开启了防护。
- 在测试环境的云防火墙上,针对企业项目“A_测试”、“B_测试”下的弹性公网IP开启了防护。
- 该企业授权测试环境管理员“A_测试”、“B_测试”以及“安全”的企业项目,因此测试环境管理员可以操作账号中的两个防火墙,由于未获得生产环境资源的授权,测试管理员在防火墙的资源管理页,无法纳管生产环境的资源(EIP/VPC),只能看到测试环境上的资源信息。
