带你读《阿里云安全白皮书》(十九)——云上安全重要支柱(13)

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全基线管理CSPM免费试用,1000次1年
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 本文介绍了阿里云在全链路身份管控与精细化授权方面的措施,包括使用短期有效的 STS Token 替代长期有效的 AccessKey (AK),通过 ECS 实例角色和 RRSA 功能实现应用隔离和权限最小化,以及利用 KMS 托管和加密 AK 凭证,减少凭证泄露风险。此外,阿里云还提供了 AK 审计和泄露风控功能,帮助客户管理和保护凭证安全。

点击链接下载查看完整版内容👉:《阿里云安全白皮书(2024版)》

点击链接下载查看上文👉:带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)

全链路身份管控与精细化授权


2 云上凭证保护


凭证是身份的证明,一旦泄露,将可能导致数据泄露、服务器被入侵等后果。凭证分为长期有效的 访问密钥(AccessKey,后文统一称作 AK)与短期有效的 STS Token

image.png

阿里云提供了一系列保护机制,来帮助客户治理凭证泄露风险。


使用 STS Token 代替永久 AK

永久 AK 由于长期有效,泄露后会对云资源安全产生持续威胁。而 STS Token 到期后将自动失效,无需定期轮换。因此推荐用户使用 STS Token 作为程序 访问凭证访问云资源,替代风险更高的永久 AK。


当客户的应用程序部署在阿里云 ECS 实例上,则可以通过“ECS 实例角色” 功能,让 ECS 实例扮演具有某些权限的角色,获取到 STS Token 访问阿里   APIECS 实例角色功能允许客户将一个角色关联到 ECS 实例,在 ECS   实例内部基于 STS Token 临时凭证访问其他云产品的 API。出于安全性考虑,   使用该功能时应当开启“仅加固模式”。


当客户的应用程序部署在阿里云 ACK 容器集群上,则可以基于 RRSARAM   Roles for Service Accounts) 功能, 在容器集群内实现应用隔离的 RAM  角色功能,各个应用可以扮演独立的 RAM 角色,访问阿里云 API。基于  RRSA 功能,客户可以在集群内实现 Pod 级别隔离的应用关联 RAM 角色功  能。各个应用可以扮演独立的 RAM 角色,并使用获取的临时凭证访问云资源, 从而实现应用 RAM 权限最小化以及无永久 AK 访问阿里云 API,避免 AK 泄露。

image.png

对于凭证方面的保护,用户可以通过使用 STS Token 代替永久 AK,实现 “无永久 AK”的效果,根本性解决云上凭证泄露问题。也可以将凭证托管到 KMS 中,以控制泄露风险,便于凭证泄露后到快速轮转。

 

-    AK 凭证加密托管

尽管我们在先前的讨论中提倡采用 STS Token 作为授权手段,但在某些独 特情境下,使用 AK 或许仍然在所难免。在此类情况下,云上客户可以使用 KMS 密钥管理服务管理及使用 RAM 凭据,以此来确保敏感凭证的安全保 管。在客户授予 KMS 管理 RAM 用户 AK 的权限后,即可使用 KMS 提供的 RAM 凭据插件、阿里云 SDKKMS 获取 RAM 凭据值并缓存在应用程序 的内存中,然后向云产品发起请求。


选择将凭证托管到 KMS 上,而不是硬编码到代码中,可以规避代码传播过程 中产生的泄露风险。并且一旦某把凭证泄露,可通过 KMS 立刻进行轮转。

 

-    AK 凭证安全审计

同时,阿里云也为客户提供了 AK 审计功能。通过该功能,客户可以对账号下 AK 使用情况进行深度审查和管理。AK 审计用于查询 AK 的基本信息、访 问的云服务及相关 IP 地址和资源,帮助客户追溯 AK 使用信息,以便快速应 对 AK 泄露等异常事件,或者为轮换 AK 提供决策参考。

 

-    AK 泄露风控

长期不使用的访问凭据容易发生泄露,且闲置时间越长,暴露风险越高。为帮 助控制 AK 泄露后产生的实际损失,若识别到 AK 泄露,阿里云会对该 AK 行限制性保护,泄露期间访问阿里云指定高危 API 时会提示报错,防止风险 进一步扩大。并会及时通知账号管理员,关注 AK 泄露风险。


同时,将针对长期未登录的 RAM 用户自动禁用控制台登录,针对长期未使用  AccessKey 自动禁用使用。

相关文章
|
26天前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
26天前
|
存储 云安全 安全
带你读《阿里云安全白皮书》(二十一)——云上安全重要支柱(15)
阿里云安全白皮书(2024版)详细介绍了其在面对线上威胁时的快速响应与恢复能力。通过一体化的安全运营能力,阿里云帮助客户在极端威胁下快速感知、响应风险并恢复数据及服务。白皮书还涵盖了全面的资产梳理、及时的威胁情报分析、高效的风险识别与治理、专业的安全服务等内容,旨在为企业提供全方位的安全保障。
|
26天前
|
云安全 监控 安全
带你读《阿里云安全白皮书》(二十三)——云上安全建设最佳实践
淘宝作为全球最大规模、峰值性能要求最高的电商交易平台,基于阿里云成功通过了多年“双11”峰值考验。淘宝的安全体系涵盖了系统安全、网络安全、账号与凭据安全、云资源安全等多个方面,通过阿里云提供的多种安全产品和服务,确保了业务的稳定运行和数据的安全。淘宝的安全实践不仅为自身业务提供了坚实的保障,也为其他行业的云上安全建设提供了宝贵的经验和参考。
|
26天前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(二十二)——云上安全重要支柱(16)
在全球化背景下,阿里云高度重视云平台的安全合规建设,确保客户在不同地区和行业能够满足监管要求。阿里云通过140多项安全合规认证,提供全面的专业安全合规服务和便捷高效的安全合规产品,帮助企业高效且低成本地实现安全合规目标。更多详情可参见阿里云官网“阿里云信任中心 - 阿里云合规”。
|
27天前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(二十)——云上安全重要支柱(14)
本文介绍了阿里云在企业多账号管理和身份权限管理方面的解决方案。针对中大型企业面临的账号管理复杂性和安全合规挑战,阿里云提供了资源目录(Resource Directory)和Control Policy等工具,实现账号的有序管理和权限的精细控制。此外,阿里云还支持企业内部身份与云上身份的关联与映射,通过单点登录(SSO)简化身份管理,降低安全风险。这些措施有助于企业在云上实现高效、安全的资源管理。
|
27天前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
27天前
|
云安全 安全 网络安全
带你读《阿里云安全白皮书》(十一)——云上安全重要支柱(5)
阿里云通过内部红蓝对抗体系,常态化模拟真实场景下的APT攻击,持续提升平台安全性。蓝军团队采用MITRE ATT&CK框架,系统模拟外部攻击,红军团队则进行持续防守。整个过程包括攻击规划、执行和复盘修复阶段,确保及时发现并修复安全漏洞,提升整体防御水平。
|
27天前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。
|
27天前
|
云安全 存储 运维
带你读《阿里云安全白皮书》(十七)——云上安全重要支柱(11)
阿里云提供了《阿里云安全白皮书(2024版)》,介绍客户数据安全保护技术能力。针对敏感行业,阿里云推出了专属区域和云盒两种形态,确保数据本地存储和合规要求,同时提供标准的公有云产品。此外,阿里云数据安全中心提供敏感数据识别、细粒度数据审计、数据脱敏/列加密、数据泄露检测与防护等四大功能,全面保障数据安全。
|
27天前
|
云安全 安全 测试技术
带你读《阿里云安全白皮书》(十三)——云上安全重要支柱(7)
阿里云通过全方位红蓝对抗反向校验,引入国内外优秀的第三方渗透测试服务,确保云平台及产品的安全性达到国际领先水平。同时,通过外部安全生态建设,与白帽社区合作,建立阿里安全响应中心(ASRC)和先知平台,提升整体安全水位。

热门文章

最新文章