免费素材库网站,怎么自己电脑做网站服务器,电子商务网站建设实训实践总结,深圳宝安医院的网站建设简介#xff1a; 身份和密钥的管理#xff0c;是企业上云的重中之重#xff1b;每年国内外都有因为身份和密钥的管理不善#xff0c;或泄露#xff0c;或误操作导致严重的生产事故或者数据泄露。本期小编将重点聊聊云上身份的那些值得关注的事儿。 引言
2021年初#xf… 简介 身份和密钥的管理是企业上云的重中之重每年国内外都有因为身份和密钥的管理不善或泄露或误操作导致严重的生产事故或者数据泄露。本期小编将重点聊聊云上身份的那些值得关注的事儿。 引言
2021年初国内一起删库跑路事件的判决公布某企业员工利用其担任公司数据库管理员并掌握公司财务系统root权限的便利登录公司财务系统服务器删除了财务数据及相关应用程序致使公司财务系统无法登录最终被判处有期徒刑7年。 这起云上安全事故的发生虽是由于恶意人为所导致的但也暴露了云上身份权限的风险。而身份和密钥的管理是企业上云的重中之重每年国内外都有因为身份和密钥的管理不善或泄露或误操作导致严重的生产事故或者数据泄露。本期小编将重点聊聊云上身份的那些值得关注的事儿。 第一步云上安全从保障云账号安全使用开始
我们开始使用阿里云服务前首先需要注册一个阿里云账号它相当于操作系统的root或Administrator所以有时称它为主账号或根账号。我们使用阿里云账号进行资源的购买和服务的开通也同时对名下所有资源拥有完全控制权限。主账号对应着完全不受限的权限让我们列举一下因主账号未规范使用所导致的安全隐患
× 不要使用主账号进行日常操作不但有误操作的风险还有账号被盗而导致的数据泄露、数据被删除等更大的风险。
× 不要使用主账号的AccessKey简称AK在阿里云用户可以使用AccessKey构造一个API请求或者使用云服务SDK来操作资源。AK一旦暴露公网将失去整个主账号的控制权限极大概率造成难以评估的损失并无法做到及时止血。 第二步启动RAM用户授予不同权限并分配给不同人员使用
正因为主账号使用风险大阿里云RAM为用户提供权限受控的子账号RAM SubUser和角色RAM Role访问云服务避免让用户直接使用主账号访问。这期将重点谈谈利用RAM把主账号的权限按需授予账号内的子账号以及用户常见的问题。 RAM用户创建与授权
通过RAM为名下的不同操作员创建独立的RAM用户并授予相应权限。
要点一员工不要共享账号包括密码MFAAK。
要点二遵循“最小权限”的授权原则除此之外还可以通过限制访问发生时的环境条件来保障RAM用户的安全使用
登录场景是否通过MFA校验限制访问者的登录IP地址限制访问者的登录时间段限制访问方式HTTPS/HTTP设置合适的密码策略
设置RAM用户密码强度
为了保护账号安全您可以编辑密码规则包括密码强度长度字符、密码过期策略 、重复历史密码策略以及错误密码最大重试次数策略进行密码设置。
启用多因素认证
为访问者设置MFA验证动态口令将消除密码泄露伤害。 访问密钥AccessKey的规范使用
访问密钥AccessKey是RAM用户的长期凭证。如果为RAM用户创建了访问密钥RAM用户可以通过API或其他开发工具访问阿里云资源。AccessKey包括AccessKey ID和AccessKey Secret。其中AccessKey ID用于标识用户AccessKey Secret是用来验证用户身份合法性的密钥。
1. AccessKeySecret只在首次创建时显示不提供后续查询
假设通过API可以查询到其他的AccessKeySecret那所有的AccessKey都有泄露的风险安全问题防不胜防因此请在创建AccessKey时及时保存。
2. 一个子用户最多拥有两个AccessKey
为了保障使用安全 用户应只使用一个AK另外一个AK则是用来进行永久AK的定期轮转使用或者面对泄露情况进行紧急轮转已降低损失。
3. AK需要定期轮转
如果您的访问密钥已经使用3个月以上建议您及时轮换访问密钥降低访问密钥被泄露的风险。首先创建用于轮换的第二个访问密钥。再禁用而不是删除原来的访问密钥。然后验证使用访问密钥的所有应用程序或系统是否正常运行。最后删除原来的访问密钥。 定期审计账号的使用回收不活跃的身份密钥
通过ActionTrail可以查看用户对资源实例进行操作的记录。通过用户凭证报告CredentialReport全局把控员工的密钥情况密码登录记录、AK使用记录、AK轮转记录。身份/密钥先禁用再删除
身份/密钥需要遵循先禁用再删除的原则避免删除正在只用的AK影响业务进度造成生产事故
确认密钥不在使用禁用密钥随时可恢复密钥禁用一段时间后确认无任何不良影响再删除密钥最佳实践分享保持企业云账号最基本的安全性、运维便捷性而进行的最小化配置。
初创企业IT治理样板间
初创企业样板间是保持企业云账号最基本的安全性、运维便捷性而进行的最小化配置降低初创企业随着规模扩大逐渐提升的云上风险让初创企业可以快速实现
主账号安全权限可控网络隔离
同时可以通过控制台操作、Terraform代码、CLI代码这3种方式进行快速启用。 原文链接
本文为阿里云原创内容未经允许不得转载
