谈身份管理之基础篇 - 保障云上安全,从[规范账号使用]开始

简介: 身份和密钥的管理,是企业上云的重中之重;每年国内外都有因为身份和密钥的管理不善,或泄露,或误操作导致严重的生产事故或者数据泄露。本期小编将重点聊聊云上身份的那些值得关注的事儿。

引言

2021年初,国内一起删库跑路事件的判决公布,某企业员工利用其担任公司数据库管理员并掌握公司财务系统root权限的便利,登录公司财务系统服务器删除了财务数据及相关应用程序,致使公司财务系统无法登录,最终被判处有期徒刑7年。

 

这起云上安全事故的发生虽是由于恶意人为所导致的,但也暴露了云上身份权限的风险。而身份和密钥的管理,是企业上云的重中之重;每年国内外都有因为身份和密钥的管理不善,或泄露,或误操作导致严重的生产事故或者数据泄露。本期小编将重点聊聊云上身份的那些值得关注的事儿。

 

第一步,云上安全从保障云账号安全使用开始

我们开始使用阿里云服务前,首先需要注册一个阿里云账号,它相当于操作系统的root或Administrator,所以有时称它为主账号或根账号。我们使用阿里云账号进行资源的购买和服务的开通,也同时对名下所有资源拥有完全控制权限。主账号对应着完全不受限的权限,让我们列举一下因主账号未规范使用所导致的安全隐患:

× 不要使用主账号进行日常操作:不但有误操作的风险,还有账号被盗而导致的数据泄露、数据被删除等更大的风险。

× 不要使用主账号的AccessKey(简称AK):在阿里云,用户可以使用AccessKey构造一个API请求(或者使用云服务SDK)来操作资源。AK一旦暴露公网,将失去整个主账号的控制权限,极大概率造成难以评估的损失,并无法做到及时止血。

 

第二步,启动RAM用户,授予不同权限并分配给不同人员使用

正因为主账号使用风险大,阿里云RAM为用户提供权限受控的子账号(RAM SubUser)和角色(RAM Role)访问云服务,避免让用户直接使用主账号访问。这期将重点谈谈,利用RAM把主账号的权限按需授予账号内的子账号,以及用户常见的问题。

 

RAM用户创建与授权

通过RAM为名下的不同操作员创建独立的RAM用户并授予相应权限。

要点一:员工不要共享账号,包括密码,MFA,AK。

要点二:遵循“最小权限”的授权原则,除此之外,还可以通过限制访问发生时的环境条件,来保障RAM用户的安全使用:

  • 登录场景是否通过MFA校验
  • 限制访问者的登录IP地址
  • 限制访问者的登录时间段
  • 限制访问方式(HTTPS/HTTP)

 

设置合适的密码策略

  • 设置RAM用户密码强度

为了保护账号安全,您可以编辑密码规则,包括密码强度(长度+字符)、密码过期策略 、重复历史密码策略以及错误密码最大重试次数策略进行密码设置。

  • 启用多因素认证

为访问者设置MFA验证,动态口令将消除密码泄露伤害。

 

访问密钥(AccessKey)的规范使用

访问密钥(AccessKey)是RAM用户的长期凭证。如果为RAM用户创建了访问密钥,RAM用户可以通过API或其他开发工具访问阿里云资源。AccessKey包括AccessKey IDAccessKey Secret。其中AccessKey ID用于标识用户,AccessKey Secret是用来验证用户身份合法性的密钥。

1. AccessKeySecret只在首次创建时显示,不提供后续查询:

假设通过API可以查询到其他的AccessKeySecret,那所有的AccessKey都有泄露的风险,安全问题防不胜防,因此请在创建AccessKey时及时保存。

2. 一个子用户最多拥有两个AccessKey:

为了保障使用安全, 用户应只使用一个AK,另外一个AK则是用来进行永久AK的定期轮转使用,或者面对泄露情况,进行紧急轮转,已降低损失。

3. AK需要定期轮转:

如果您的访问密钥已经使用3个月以上,建议您及时轮换访问密钥,降低访问密钥被泄露的风险。首先创建用于轮换的第二个访问密钥。再禁用(而不是删除)原来的访问密钥。然后,验证使用访问密钥的所有应用程序或系统是否正常运行。最后删除原来的访问密钥。

 

定期审计账号的使用,回收不活跃的身份密钥

  • 通过ActionTrail可以查看用户对资源实例进行操作的记录。
  • 通过用户凭证报告(CredentialReport)全局把控员工的密钥情况:密码登录记录、AK使用记录、AK轮转记录。

 

身份/密钥先禁用再删除

身份/密钥需要遵循先禁用再删除的原则,避免删除正在只用的AK,影响业务进度,造成生产事故:

  • 确认密钥不在使用
  • 禁用密钥,随时可恢复
  • 密钥禁用一段时间后,确认无任何不良影响,再删除密钥

 

最佳实践分享:保持企业云账号最基本的安全性、运维便捷性而进行的最小化配置。

初创企业IT治理样板间

初创企业样板间是保持企业云账号最基本的安全性、运维便捷性而进行的最小化配置,降低初创企业随着规模扩大逐渐提升的云上风险,让初创企业可以快速实现:

  • 主账号安全
  • 权限可控
  • 网络隔离

同时可以通过控制台操作、Terraform代码、CLI代码这3种方式进行快速启用。

原文链接

本文为阿里云原创内容,未经允许不得转载

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/514106.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

开课啦 dubbo-go 微服务升级实战

简介: 杭州开课啦教育科技有限公司是一家致力于为中小学生提供学习辅导的在线教育公司,目前公司后端服务基础设施主要依托于阿里云原生,其中包含计算、网络、存储以及 Kubernetes 服务。 技术选型背景 2020 年是开课啦公司发展壮大的一年&am…

gui界面设计心得体会 python_Python笔记-GUI界面设计(tkinter)

文章目录前言相关介绍一、函数方法介绍二、导入tkinter库三、窗口[1]. 创建[2]. 设置标题[3]. 设置大小[4]. 设置背景色[5]. 删除窗口四、按钮[1]. 创建[2]. 放置按钮(绝对位置)[3]. 放置按钮(相对位置)[4]. 代码五、单行文本[1]. 创建[2]. 代码前言此篇文章介绍的是有关图形用…

阿里云科技驱动“数字化转型”,助力中小企业发展“突围”

2020年至2021年的新冠疫情, 让全世界进入了困难模式,国家的经济运行不得不放缓脚步。这不仅给每个人造成了很多不便,更是给人们所依赖的企业组织,造成了巨大的影响。每一个微观个体所感受的只是自己身边肉眼可见的影响&#xff0c…

这些中秋礼盒绝了,悄悄惊艳互联网人

整理 | 王晓曼出品 | 程序人生 (ID:coder _life)来了来了它们来了,2021年腾讯、阿里、百度、字节等诸多互联网大厂带着他们的中秋礼盒来了!“八月十五月儿圆,中秋月饼香又甜”,没有月饼的中秋节…

想成为全栈工程师,要做到哪几点?

简介: 如何成为一名全栈工程师?需要具备哪些技术积累?成为全栈工程师有哪些好处?希望本文能为期望成为全栈工程师的同学提供一点帮助,和同学们一起分享交流。 作为开发者,我们不过度区分服务端 server 客户…

DDD as Code:如何用代码诠释领域驱动设计?

简介: 相较于常规的MVC架构,DDD更抽象、更难以理解,各个开发者对DDD的解释也不尽相同。那么哪种设计方式才更好?在学习时如何知道哪种DDD更正统,没有被别人带歪?本文尝试使用“DDD as Code”的概念&#xf…

谈身份管理之进阶篇 - 快速了解从管理到治理的最佳方案

简介: 云上身份安全是当今企业管理者和云上运维团队所面临的挑战之一,针对云上身份管理不全面所产生的风险究竟又哪些?又应当如何应对?本文将结合案例和最佳实践与您分享。 引言 云上身份安全是当今企业管理者和云上运维团队所面…

报名倒计时 | TeaTalk 深圳站邀您共话安全云世界

对越发复杂的网络环境,保障网络安全势不可挡,为此国家也对应颁布了系列规章政策。除相关政策外,网络安全及云安全也同时被列入国家规划重点发展方向,随着“十三五”规划逐渐落实,“十四五”规划制定实施,推…

KubeNode:阿里巴巴云原生 容器基础设施运维实践

简介: 目前 KubeNode 已经覆盖了阿里巴巴集团的所有的 ASI 集群,接下来,将随着阿里巴巴集团“统一资源池”的项目,推进 KubeNode 覆盖更大的范围、更多的场景,让云原生的容器基础设施运维架构发挥更大的价值。 阿里巴巴…

扫盲贴|如何评价一款App的稳定性和质量?

简介: 我们不应该为了掩盖代码质量问题,通过手动try catch去规避某些问题,这样有可能会打断用户的正常使用,并造成感知性的阻断反馈,应该从用户使用APP时的真实感知出发,当出现问题时及时捕获和处理问题。 …

聊聊 5G 云专线

作者|小枣君来源|鲜枣课堂通过本文,和大家分享探讨一下 5G 云专线。我们从今天文章的标题开始说起吧。5G、云、专线,分开的3个词,作为通信人,大家应该都懂(专线可能陌生一点)。但是,合起来之后&…

谈AK管理之基础篇 - 如何进行访问密钥的全生命周期管理?

简介: 我们也常有听说例如AK被外部攻击者恶意获取,或者员工无心从github泄露的案例,最终导致安全事故或生产事故的发生。AK的应用场景极为广泛,因此做好AK的管理和治理就尤为重要了。本文将通过两种AK使用不安全的典型案例&#x…

2021信服云创新峰会:托管云成上云第三种选择

9月17日,以“万物皆可云”为主题的信服云创新峰会成功举办。中国工程院院士、中国科学院计算技术研究所研究员倪光南,IDC咨询(北京)有限公司副总裁/首席分析师武连峰,深信服科技股份有限公司创始人、CEO何朝曦&#xf…

三只松鼠:阿里云数据中台基座上的多渠道、多业态生长

简介: 刚刚过去的2020年,对三只松鼠来说更像是一座认知分水岭,三只松鼠CEO章燎原坦言“要忘记流量时代,并习惯放缓增长”,而随后的重要一步,就是以披荆斩棘的姿态进入数据中台建设新赛道。 刚刚过去的2020年…

浅谈专有云MQ存储空间的清理机制

简介: 浅谈专有云MQ存储空间的清理机制 在近⼀年的项⽬保障过程中,对专有云MQ产品的存储⽔位清理模式⼀直存疑,总想一探究竟但又苦于工作繁忙、精力有限,直到最近⼀次项⽬保障过程中再次出现了类似的问题,⼤家对MQ Bro…

气象气候应用在Intel最新处理器Icelake上的性能测评

浪潮HPC实验室 一、Intel第三代至强可扩展处理器(Icelake)性能大升级 Intel于今年发布了第三代至强可扩展处理器系列产品(代号Ice Lake),与上一代至强可扩展处理器系列产品(代号Cascade Lake)相比,第三代…

评审恩仇录——我为什么愿意执行代码评审

简介: 代码评审带来的好处不言自明, 但企业业务快速发展的诉求与代码评审推动落地两者之间, 往往存在矛盾。在如今快速发展的互联网时代,数字化、智能化已经是基础能力,单纯只靠人肉审查的时代已经过去了,基于各种自动化检查能力的…

AI+混合云模式,如何最大化挖掘数据价值?

9月8日,IBM举行了“科技一席谈”线上媒体访谈会,此次访谈以“数据与AI”为主题,由IBM 大中华区科技事业部、客户成功管理部总经理朱辉,IBM 中国混合云与 AI 华东及华南大区总经理许伟杰作主题分享。 在数字化转型的时代&#xff…

阿里云贾扬清:大数据和人工智能一体化是必然趋势

简介: 拥抱“融合”是大数据演进的新方向,⼤数据⼈⼯智能⼀体化是⼤数据发展的必然⽅向,而人工智能是⼤数据业务发展的终极出⼝ 。 12月13日,阿里云计算平台负责人贾扬清在Flink Forward Asia 2020 峰会上指出,拥抱“融…

云效安全那些事儿—访问控制与数据安全

简介: 云效 Codeup 提供了代码 GPG 签名,拒绝未签名的提交;支持代码属主验证,约束提交记录属主。 在质量管控上,云效 Codeup 精细化读写权限管控,支持代码提交卡点机制,保障提交质量。 接下来我…