最佳实践系列:企业云账号安全管理

简介: 在企业上云的所有安全威胁之中,最严重的威胁莫过于账号密码或AK (Access Key)泄露。一旦泄露密码或AK,最坏情况可能导致你的企业破产,就像CodeSpaces因密码泄露而被勒索者删除AWS上所有数据及备份一样。 也许你会侥幸认为“这不会发生在我身上吧?”,未必!根据CSA 2016对AWS客户的安全威胁分析报告,特权账户密码/AK等敏感数据泄露已经成为云安全Top-12威胁之首。

在企业上云的所有安全威胁之中,最严重的威胁莫过于账号密码或AK (Access Key)泄露。一旦泄露密码或AK,最坏情况可能导致你的企业破产,就像CodeSpaces因密码泄露而被勒索者删除AWS上所有数据及备份一样。

也许你会侥幸认为“这不会发生在我身上吧?”,未必!根据CSA 2016对AWS客户的安全威胁分析报告,特权账户密码/AK等敏感数据泄露已经成为云安全Top-12威胁之首。

image.png

很有可能,你的账号密码和AK早已落入他人之手。 那还有什么补救措施吗?有的,它就是RAM服务!RAM是阿里云为你企业上云所免费提供的身份管理与访问控制服务。通过RAM最佳实践,你可以从根本上降低或避免因为账号密码或AK泄露所导致的信息安全风险。

话不多说,即刻动手开启RAM最佳实践!

禁止云账号密码共享

账号密码泄露的罪魁祸首之一就是多人共享云账号密码,很多人都知道的“秘密”就不是秘密了。共享账号密码的问题很多,除了更容易泄露之外,你也会无法限制每个人的权限,而且无法审计或追踪每个人都干了些什么。

解决云账号共享问题的办法就是为每个员工创建独立的RAM用户账号,让员工使用RAM用户账号进行日常工作。

进入RAM控制台开始管理你的用户。

开启MFA

MFA (Multi-Factor Authentication) 是一种简单有效的最佳安全实践方法,它能够在用户名和密码之外再额外增加一层安全保护。启用 MFA 后,用户登录阿里云网站时,系统将要求输入用户名和密码(第一安全要素),然后要求输入来自MFA设备或手机短信的一次性验证码(第二安全要素)。这些多重要素结合将为您的账户提供更高的安全保护,密码泄露不再是问题。

  • 为云账号开启MFA:
    打开“账号管理” -> “安全设置”,进入“虚拟MFA”进行设置。

image.png

  • 为RAM用户开启MFA:
    打开“RAM控制台” -> “用户管理”,选择用户,进入用户详情页进行操作。

image.png

集中设置RAM用户登录安全策略

你可以在RAM中设置所有用户的密码强度及登录限制。比如,要求所有RAM用户的密码长度不低于10个字符,而且必须同时包含小写字母、大写字母、数字及特殊字符;密码每90天轮转;禁止最近3次密码重复使用;1小时内最多5次试错。不管多“高(变)级(态)”的安全需求,RAM几乎都可以满足!

image.png

此外,你还可以通过安全设置功能,设定RAM用户登录掩码以限制用户的登录源IP。进一步,你还可以控制登录Session过期时间,可以控制RAM用户是否可以自助管理密码、AK和MFA。

image.png

使用RAM小AK取代云账号大AK

云账号AK俗称“大AK”,它具有该账户的所有资源API访问权限,而且无法设置多因素认证!如果大AK一旦丢失,风险极不可控。因此强烈建议删除“大AK”,马上开始使用RAM用户AK(俗称“小AK”)来进行API调用。

进入AK控制台之后,阿里云会引导用户快速创建RAM用户AK。

image.png

限制RAM小AK的访问源IP地址

假设你的企业IP出口地址范围是42.120.72.0/22,根据你企业的安全管理策略,要求所有的数据访问请求必须来自于你的企业网络,要能确保万一AK泄露到外网那也不能访问你的云上数据。

首先,你可以创建一条自定义授权策略(DenyAccessPolicyWithIpConditions),拒绝所指IP范围之外的所有请求。

image.png

然后,给RAM用户组(假设为oss-readers用户组)授权,如下图样例所示,包括允许访问OSS的授权策略和DenyAccessPolicyWithIpConditions策略。

image.png

目录
相关文章
|
7月前
|
机器学习/深度学习 运维 监控
企业云上成本管理解决方案
介绍企业客户云上成本管理的挑战、需求及解决方案。
179 0
|
7月前
|
运维 监控 安全
构建多账号云环境的解决方案|多账号配置统一合规审计
配置审计(Cloud Config)是提供了面向资源配置的审计服务,可以持续监控资源的配置变更,并在变更时自动触发合规评估,确保持续性合规。为了解决企业运维和安全人员业检查资源合规配置的效率难题,配置审计为客户提供了多账号的统一审计能力。用户可以在管理账号或者委派账号中统一设置合规基线并应用,从而可以实时查看企业下经过汇总的不合规资源。
64031 36
|
7月前
|
存储 安全 数据安全/隐私保护
全方位的安全账号管理
如今,特权账户范围广、数量大且极不稳定是当前各行业面临黑客等攻击行为的最大安全隐患。而且,由于特权账户的权限极大,一旦其被攻击者破解,就能完全掌控组织的IT基础设施,从而引发防护控制失效、机密数据泄露、商业诈骗和扰乱企业正常运作的严重后果。
84 0
全方位的安全账号管理
|
新零售 运维 安全
构建多账号云环境的解决方案|云防火墙企业多账号统一管理最佳实践
云防火墙通过与资源目录RD深度集成,可帮助企业将云上多个业务账号进行统一集中安全管控,大大提升运维效率。通过多账号统一管理能力,用户无需采购和运维多套云防火墙,仅需采购和运维一套,即可实现安全策略统一下发和防护效果统一分析审计等,更好满足企业网络安全集中化管控需求,并大大降低成本。
50403 6
|
存储 云安全 运维
构建多账号云环境的解决方案|云安全中心多账号统一安全运营
为解决安全管理人员对企业下属的多个云产品的安全运营效率问题,云安全中心威胁分析结合资源管理服务,为客户提供多账号管理统一安全运营方案。通过指定委派管理员,即可在控制台统一多账号安全运营工作,免除在多个账号间频繁登录登出的烦恼。 
597 0
|
运维 监控 安全
|
SQL 运维 监控
《云上企业财务经营解决方案》——四、企业云上成本管理解决方案(上)
《云上企业财务经营解决方案》——四、企业云上成本管理解决方案(上)
|
机器学习/深度学习 运维 监控
《云上企业财务经营解决方案》——四、企业云上成本管理解决方案(下)
《云上企业财务经营解决方案》——四、企业云上成本管理解决方案(下)
|
数据安全/隐私保护
3-企业权限管理-产品添加
3-企业权限管理-产品添加
3-企业权限管理-产品添加
|
运维 安全 数据安全/隐私保护
账号体系问题可能会造成哪些数据安全风险
账号体系问题可能会造成哪些数据安全风险
367 0