带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
访问控制,不限时长
简介: 随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。

点击链接下载查看完整版内容👉:《阿里云安全白皮书(2024版)》

点击链接下载查看上文👉:带你读《阿里云安全白皮书》(十七)——云上安全重要支柱(11)

全链路身份管控与精细化授权


随着数智化发展的深入,企业需维护大量的资产和数据。这导致访问和管理这些资产和数据的身 份权限体系变得极其复杂。


阿里云提供了细粒度的权限管理能力以及完整的身份、凭证保护方案,覆盖了阿里云全链路的产 品品类,以满足各种场景下、不同体量的客户对数据资产访问控制策略的需求,从而保护其数据 资产的安全性。


同时云平台具备标准性、可扩展性,同时云平台具备标准性、可扩展性,能够帮助企业将云上身份与企业内部身份关联起来,构成一张身份网络。在提升企业安全效率的同时,又减少了风险暴 露面。在提升企业安全效率的同时,又减少了风险暴露面。

 

 

1 云上身份与细粒度权限管理

 

阿里云的身份体系中,云账号为云上资源的载体,默认拥有账号内资源的所有管控权限,同时用 户可以通过为员工和程序应用创建 RAM 用户、RAM 角色身份,并分配不同的权限,来满足不 同场景的使用需要。身份与权限体系相当于云上资源的门锁,若门锁不安全,云上资源的安全性 也无从谈起。


主账号及 RAM 用户支持通过用户名密码登录阿里云管理控制台,为避免账号 密码泄露引入安全风险,用户可以对账号启用多重身份验证(MFAMulti- factor Authentication),通过多因素核身的方式(如输入短信验证码), 来帮助客户控制账号密码泄露的风险。拥有 RAM 访问控制权限的管理员还可 以配置 RAM 用户的密码策略、MFA 验证规则,以及通过最小化权限授权, 来进一步控制用户密码被盗带来的风险。


为进一步控制云上账号被盗后产生的风险,阿里云将陆续为所有 RAM 用户开 启登录时强制进行 MFA 多因素认证,有效地阻止用户被盗用登录。当有迹象 表明用户控制台密码存在泄露风险时,阿里云会对 RAM 用户进行临时限制登 录保护,客户需要重置 RAM 用户密码后才能重新登录使用。


RAM 用户和 RAM 角色的权限,可以通过访问控RAM 来进行限制。访问 控制 RAMResource Access Management 是阿里云提供的管理用户 身份与资源访问权限的服务。客户可以使用 RAM 访问控制产品创建代表员 工或应用程序的 RAM 用户,并可以控制这些 RAM 用户对资源的操作权限。 阿里云支持客户为不同场景、不同员工创建不同的 RAM 用户,按需为用户 分配最小权限,从而降低企业的信息安全风险。RAM 机制支持用户组功能,  以支持对职责相同的多个 RAM 用户进行批量管理。

image.png


相关文章
|
1天前
|
云安全 安全 网络安全
带你读《阿里云安全白皮书》(十一)——云上安全重要支柱(5)
阿里云通过内部红蓝对抗体系,常态化模拟真实场景下的APT攻击,持续提升平台安全性。蓝军团队采用MITRE ATT&CK框架,系统模拟外部攻击,红军团队则进行持续防守。整个过程包括攻击规划、执行和复盘修复阶段,确保及时发现并修复安全漏洞,提升整体防御水平。
|
1天前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。
|
1天前
|
云安全 存储 运维
带你读《阿里云安全白皮书》(十七)——云上安全重要支柱(11)
阿里云提供了《阿里云安全白皮书(2024版)》,介绍客户数据安全保护技术能力。针对敏感行业,阿里云推出了专属区域和云盒两种形态,确保数据本地存储和合规要求,同时提供标准的公有云产品。此外,阿里云数据安全中心提供敏感数据识别、细粒度数据审计、数据脱敏/列加密、数据泄露检测与防护等四大功能,全面保障数据安全。
|
1天前
|
云安全 弹性计算 安全
带你读《阿里云安全白皮书》(十九)——云上安全重要支柱(13)
本文介绍了阿里云在全链路身份管控与精细化授权方面的措施,包括使用短期有效的 STS Token 替代长期有效的 AccessKey (AK),通过 ECS 实例角色和 RRSA 功能实现应用隔离和权限最小化,以及利用 KMS 托管和加密 AK 凭证,减少凭证泄露风险。此外,阿里云还提供了 AK 审计和泄露风控功能,帮助客户管理和保护凭证安全。
|
1天前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(十五)——云上安全重要支柱(9)
阿里云提供全面的数据安全保护措施,包括数据操作审计、全链路加解密、细粒度访问控制、可信计算和数据本地化存储等,确保客户数据的安全与合规。《阿里云安全白皮书(2024版)》详细介绍了这些技术能力,可点击链接下载完整版内容。
|
1天前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(二十)——云上安全重要支柱(14)
本文介绍了阿里云在企业多账号管理和身份权限管理方面的解决方案。针对中大型企业面临的账号管理复杂性和安全合规挑战,阿里云提供了资源目录(Resource Directory)和Control Policy等工具,实现账号的有序管理和权限的精细控制。此外,阿里云还支持企业内部身份与云上身份的关联与映射,通过单点登录(SSO)简化身份管理,降低安全风险。这些措施有助于企业在云上实现高效、安全的资源管理。
|
23小时前
|
云安全 存储 数据采集
带你读《阿里云安全白皮书》(十四)——云上安全重要支柱(8)
阿里云致力于保障客户数据安全,承诺客户完全拥有数据主权,未经授权不访问、使用或移动客户数据。阿里云通过严格的租户隔离、零信任架构和多层次的数据安全保护技术,确保数据安全。同时,阿里云遵循国内外多项法律法规,并通过了多项权威认证,全面保障客户数据的安全与合规。
|
1天前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(十六)——云上安全重要支柱(10)
阿里云提供了全面的数据安全保护措施,包括细粒度访问控制策略、网络访问控制、私网访问通道、RAM权限管理、安全组能力、可信计算与机密计算等,确保客户数据的主权和机密性。
|
1天前
|
云安全 安全 测试技术
带你读《阿里云安全白皮书》(十三)——云上安全重要支柱(7)
阿里云通过全方位红蓝对抗反向校验,引入国内外优秀的第三方渗透测试服务,确保云平台及产品的安全性达到国际领先水平。同时,通过外部安全生态建设,与白帽社区合作,建立阿里安全响应中心(ASRC)和先知平台,提升整体安全水位。
|
1天前
|
云安全 运维 监控
带你读《阿里云安全白皮书》(七)——云上安全重要支柱
阿里云秉持“多层防护、全面覆盖”理念,深入贯彻DevSecOps,将安全工具和流程无缝集成至产品研发各阶段,确保安全效果不依赖单一环节。通过威胁建模、安全编码插件、自动化漏洞扫描等手段,前置风险发现,提升安全治理效率。