企业上云最佳实践:账号安全管理之 RAM 访问控制

本文涉及的产品
对象存储 OSS,20GB 3个月
对象存储 OSS,恶意文件检测 1000次 1年
对象存储 OSS,内容安全 1000次 1年
简介: 企业上云往往会面临各种各样的安全威胁,数据丢失、系统漏洞、账号共享、外部攻击等等不一而足。

数字化时代背景下,越来越多的企业选择上云。企业上云不仅可以驱动流程创新和业务创新,还会为企业带来新的利润增长点,呈现出更为弹性化、安全化、智能化、高效化的运维特性。

然而企业上云往往会面临各种各样的安全威胁,数据丢失、系统漏洞、账号共享、外部攻击等等不一而足。其中最严重的威胁莫过于账号密码或 AK (Access Key)泄露——也许你会侥幸认为“这不会发生在我身上”,但是根据 CSA 2016 对 某知名云服务商的客户安全威胁分析报告,特权账户密码 / AK 等敏感数据泄露已成为云安全 Top 12 威胁之首,所以你的账号密码和 AK 很有可能早已落入他人之手。

一旦泄露密码或 AK,势必会造成数据丢失,严重情况下甚至会导致企业破产。那么面对密码或 AK泄露,企业应如何补救?阿里云 RAM 服务为你解答。

0f8cf0876592c988d71004ccac276f68e3c1f424 

近来一些大型的安全事故,譬如2017年7月19日,道琼斯220万客户信息从某知名云服务商外泄;9月8日,美国信用机构Equifax的1.43亿用户信息泄露;11月30日,美国防部100GB顶级机密数据在某知名云服务商上曝光;12月2日,美国国家信用联合会NCF 111G 数据在某知名云服务商上遭遇泄露......,数不胜数。那么,如何才能从根本上降低或避免因为账号密码或 AK 泄露所导致的信息安全风险,近日,阿里云为企业上云提供了免费的身份管理与访问控制服务RAM,在降低上述风险的同时,还支持通过 阿里云APP 在手机端进行管控操作,全方位保护账号安全。

 “同学们,都醒醒,老师开始划重点了!”

重点1:禁止云账号密码共享

账号密码泄露的罪魁祸首之一就是多人共享云账号密码,很多人都知道的“秘密”就不是秘密了。共享账号密码存在很多问题,不仅容易泄露,而且还无法限制每个人的权限,无法审计和追踪单独个人的具体行为。

解决云账号共享问题的办法就是为每个员工创建独立的 RAM 用户账号,让员工使用 RAM 用户账号进行日常工作。

点击此处,即刻进入 RAM控制台 开始管理你的用户。

重点2:开启 MFA

MFA(Multi-Factor Authentication)是一种简单有效的安全实践方法,它能在用户名和密码之外再额外增加一层安全保护。启用 MFA 后,用户在登录阿里云网站时,系统将要求输入用户名和密码(第一安全要素),然后要求输入来自 MFA 设备或手机短信的一次性验证码(第二安全要素)——多重要素的结合将为你的账户提供更全面的安全保护,密码泄露不再是问题。

步骤1:在你的私人移动设备上安装好支持 MFA 的应用 App,推荐使用阿里云官方出品的移动客户端 “阿里云APP”;

步骤2:为你的云账号开启 MFA:登录 PC 端控制台,进入“账号管理” -> “安全设置”,选择 “虚拟 MFA” 进行设置;

39ccb052e73c0d7e4f7ba0c18a4c68436454a326 

步骤3:为 RAM 用户开启 MFA:访问 “ RAM 控制台” -> “用户管理”,选择用户,进入用户详情页进行操作。

ed46f5c3fbd28a2baf436cb5b5681c3af12546f5 

重点3:使用群组给 RAM 用户分配权限

当你的组织拥有较多员工,或他们分管不同的业务,更好的做法是创建与人员工作职责相关的群组(如 admins、developers、accounting 等),为每个群组绑定相应的授权策略,群组内所有用户共享相同的权限,便于统一管理。

而且当组织人员再次扩充时,只需在创建新用户时直接将他添加到特定群组中,无需重复配置权限。当组织人员发生调动时,也只需更改用户所属的群组即可——这些操作都可以在 阿里云APP 上便捷完成,动动手指轻松搞定。

重点4:遵循最小授权原则,及时撤销不再需要的权限

最小授权原则是安全设计的基本原则,当你给 RAM 用户授权时,请授予他刚好满足工作所需的权限,不能过度授权。

比如在组织中,如果 Developers 组员(或者一个应用系统)的工作职责只需要读取 OSS 存储桶里的数据,那么就只给这个组(或应用系统)授予 OSS 资源的只读权限,而不授权 OSS 资源的所有权限,更不要授予对所有产品资源的访问权限。

当你的某位组织人员因工作职责变更而不再使用权限时,还应该及时将该用户的权限撤销。当然,就算你出差在外也完全不用担心,阿里云APP 提供了完整的 RAM 管理功能,随时随地帮助解决燃眉之急。

RAM 同样支持 API 用户(系统或应用程序)的访问授权,你可以为程序创建专属的 RAM 用户,并分配访问密钥 AccessKey。

重点5实践刚需——使用 RAM 小 AK 取代云账号大 AK ”

云账号AK俗称“大 AK”,它具有该账户的所有资源 API 访问权限,而且无法设置多因素认证,这就意味着大 AK一旦丢失,风险极不可控。因此强烈建议删除“大 AK”,使用 RAM 用户AK(俗称“小 AK”)来进行 API 调用则更为安全。

进入 AK 控制台之后,阿里云会引导用户快速创建 RAM 用户 AK。

87abd15aad5d3a31bf75bf2ba057a2da0e984a8f 

实践进阶自定义策略,限制 RAM 小 AK 的访问源 IP 地址

假设企业 IP 出口的地址范围是 42.120.72.0/22,要求所有的数据访问请求必须来自于你的企业网络,同时要确保万一 AK 泄露到外网那也不能访问云上数据——这该怎么实现呢?以下分享一个实例。

首先,你需要创建一条自定义授权策略( DenyAccessPolicyWithIpConditions ),拒绝所指 IP 范围之外的所有请求。

dfe0a897d3f01105ce3df8aed9b89162fe0ec4af 

然后,给 RAM 用户组(假设为 oss-readers 用户组)授权,如下图样例所示,包括允许访问 OSS 的授权策略和DenyAccessPolicyWithIpConditions 策略。

0abe9801a7ee19720ae03e40097d41009ca71748 

通过以下的重点讲解和实践示例,相信你对阿里云 RAM 服务有了全面的认知。话不多说,即刻动手开启 RAM 最佳实践吧!

相关实践学习
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
目录
相关文章
|
4天前
|
弹性计算 安全 API
访问控制(RAM)|凭证安全管理与最佳实践
本文分享将为您介绍从访问云资源的人员/程序身份两种身份类型,介绍云上凭证的认证方式、安全风险及凭证管理的最佳实践。
102505 7
|
4天前
|
弹性计算 运维 Devops
云效产品使用报错问题之云效绑定的是RAM账号,忘记密码如何解决
本合集将整理呈现用户在使用过程中遇到的报错及其对应的解决办法,包括但不限于账户权限设置错误、项目配置不正确、代码提交冲突、构建任务执行失败、测试环境异常、需求流转阻塞等问题。阿里云云效是一站式企业级研发协同和DevOps平台,为企业提供从需求规划、开发、测试、发布到运维、运营的全流程端到端服务和工具支撑,致力于提升企业的研发效能和创新能力。
|
4天前
|
弹性计算 安全 API
访问控制(RAM)|云上安全使用AccessKey的最佳实践
集中管控AK/SK的生命周期,可以极大降低AK/SK管理和使用成本,同时通过加密和轮转的方式,保证AK/SK的安全使用,本次分享为您介绍产品原理,以及具体的使用步骤。
101984 4
|
4天前
|
弹性计算 运维 安全
访问控制(RAM)|云上程序使用临时凭证的最佳实践
STS临时访问凭证是阿里云提供的一种临时访问权限管理服务,通过STS获取可以自定义时效和访问权限的临时身份凭证,减少长期访问密钥(AccessKey)泄露的风险。本文将为您介绍产品原理,以及具体的使用步骤。
151108 5
|
4天前
|
云安全 弹性计算 安全
AK泄露了,怎么办?
AccessKey(包含AccessKey ID和Secret)是程序访问的凭证,无异于打开云上资源的大门钥匙,保管好AK是保障云上安全最重要的事情,甚至没有之一。
105643 7
|
4天前
|
数据库 数据安全/隐私保护
在阿里云中,访问控制(Resource Access Management,简称RAM)是权限管理系统,主要用于控制账号在阿里云中
在阿里云中,访问控制(Resource Access Management,简称RAM)是权限管理系统,主要用于控制账号在阿里云中
529 3
|
4天前
|
安全 网络安全 数据安全/隐私保护
【专栏】IT 知识百科:访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限
【4月更文挑战第28天】访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限。ACL工作原理包括定义规则、匹配规则和执行操作。标准ACL基于源IP过滤,扩展ACL则提供更多筛选条件。时间及用户基础的ACL提供更细化的控制。优点在于增强安全性和精细管理,但管理复杂性和性能影响也是挑战。未来,ACL将趋向智能化和自动化,与更多安全技术结合,以提升网络安全。**
|
4天前
|
网络虚拟化 数据安全/隐私保护 数据中心
【专栏】对比了思科与华为网络设备的基本配置、接口、VLAN、路由、访问控制列表及其它关键命令
【4月更文挑战第28天】本文对比了思科与华为网络设备的基本配置、接口、VLAN、路由、访问控制列表及其它关键命令。尽管两者在很多操作上相似,如设备命名(思科:`hostname`,华为:`sysname`)、查看版本信息(思科:`show version`,华为:`display version`),但在某些方面存在差异,如接口速率设置(两者都使用`speed`和`duplex`,但命令结构略有不同)和VLAN配置(华为的`port hybrid`命令)。
|
4天前
|
网络协议 网络安全 网络性能优化
网络技术基础(14)——ACL访问控制列表
【3月更文挑战第3天】刚加完班又去南京出差了,实在是太忙了。。。。
|
9月前
|
网络安全 数据安全/隐私保护
访问控制列表与SSH结合使用,为网络设备保驾护航,提高安全性
访问控制列表与SSH结合使用,为网络设备保驾护航,提高安全性
97 0
访问控制列表与SSH结合使用,为网络设备保驾护航,提高安全性