最佳实践系列:企业云账号安全管理

简介: 在企业上云的所有安全威胁之中,最严重的威胁莫过于账号密码或AK (Access Key)泄露。一旦泄露密码或AK,最坏情况可能导致你的企业破产,就像CodeSpaces因密码泄露而被勒索者删除AWS上所有数据及备份一样。 也许你会侥幸认为“这不会发生在我身上吧?”,未必!根据CSA 2016对AWS客户的安全威胁分析报告,特权账户密码/AK等敏感数据泄露已经成为云安全Top-12威胁之首。

在企业上云的所有安全威胁之中,最严重的威胁莫过于账号密码或AK (Access Key)泄露。一旦泄露密码或AK,最坏情况可能导致你的企业破产,就像CodeSpaces因密码泄露而被勒索者删除AWS上所有数据及备份一样。

也许你会侥幸认为“这不会发生在我身上吧?”,未必!根据CSA 2016对AWS客户的安全威胁分析报告,特权账户密码/AK等敏感数据泄露已经成为云安全Top-12威胁之首。

image.png

很有可能,你的账号密码和AK早已落入他人之手。 那还有什么补救措施吗?有的,它就是RAM服务!RAM是阿里云为你企业上云所免费提供的身份管理与访问控制服务。通过RAM最佳实践,你可以从根本上降低或避免因为账号密码或AK泄露所导致的信息安全风险。

话不多说,即刻动手开启RAM最佳实践!

禁止云账号密码共享

账号密码泄露的罪魁祸首之一就是多人共享云账号密码,很多人都知道的“秘密”就不是秘密了。共享账号密码的问题很多,除了更容易泄露之外,你也会无法限制每个人的权限,而且无法审计或追踪每个人都干了些什么。

解决云账号共享问题的办法就是为每个员工创建独立的RAM用户账号,让员工使用RAM用户账号进行日常工作。

进入RAM控制台开始管理你的用户。

开启MFA

MFA (Multi-Factor Authentication) 是一种简单有效的最佳安全实践方法,它能够在用户名和密码之外再额外增加一层安全保护。启用 MFA 后,用户登录阿里云网站时,系统将要求输入用户名和密码(第一安全要素),然后要求输入来自MFA设备或手机短信的一次性验证码(第二安全要素)。这些多重要素结合将为您的账户提供更高的安全保护,密码泄露不再是问题。

  • 为云账号开启MFA:
    打开“账号管理” -> “安全设置”,进入“虚拟MFA”进行设置。

image.png

  • 为RAM用户开启MFA:
    打开“RAM控制台” -> “用户管理”,选择用户,进入用户详情页进行操作。

image.png

集中设置RAM用户登录安全策略

你可以在RAM中设置所有用户的密码强度及登录限制。比如,要求所有RAM用户的密码长度不低于10个字符,而且必须同时包含小写字母、大写字母、数字及特殊字符;密码每90天轮转;禁止最近3次密码重复使用;1小时内最多5次试错。不管多“高(变)级(态)”的安全需求,RAM几乎都可以满足!

image.png

此外,你还可以通过安全设置功能,设定RAM用户登录掩码以限制用户的登录源IP。进一步,你还可以控制登录Session过期时间,可以控制RAM用户是否可以自助管理密码、AK和MFA。

image.png

使用RAM小AK取代云账号大AK

云账号AK俗称“大AK”,它具有该账户的所有资源API访问权限,而且无法设置多因素认证!如果大AK一旦丢失,风险极不可控。因此强烈建议删除“大AK”,马上开始使用RAM用户AK(俗称“小AK”)来进行API调用。

进入AK控制台之后,阿里云会引导用户快速创建RAM用户AK。

image.png

限制RAM小AK的访问源IP地址

假设你的企业IP出口地址范围是42.120.72.0/22,根据你企业的安全管理策略,要求所有的数据访问请求必须来自于你的企业网络,要能确保万一AK泄露到外网那也不能访问你的云上数据。

首先,你可以创建一条自定义授权策略(DenyAccessPolicyWithIpConditions),拒绝所指IP范围之外的所有请求。

image.png

然后,给RAM用户组(假设为oss-readers用户组)授权,如下图样例所示,包括允许访问OSS的授权策略和DenyAccessPolicyWithIpConditions策略。

image.png

目录
相关文章
|
运维 安全 Cloud Native
阿里云安全中心:全方位智能化安全管理系统值得买!
阿里云安全中心:全方位智能化安全管理系统值得买!
198 0
|
7月前
|
运维 监控 安全
网络安全产品之认识4A统一安全管理平台
随着业务网的发展,网络规模迅速扩大,安全问题不断出现。传统的账号口令管理、访问控制及审计措施已无法满足企业业务发展的需求。过去每个业务网系统常常各自维护一套用户信息数据,这种方式使得管理变得复杂且难以统一。同时,孤立地以日志形式审计操作者在系统内的操作行为,也使得审计过程变得繁琐和低效。因此,4A统一安全管理平台解决方案应运而生。
1083 0
|
7月前
|
存储 安全 数据安全/隐私保护
全方位的安全账号管理
如今,特权账户范围广、数量大且极不稳定是当前各行业面临黑客等攻击行为的最大安全隐患。而且,由于特权账户的权限极大,一旦其被攻击者破解,就能完全掌控组织的IT基础设施,从而引发防护控制失效、机密数据泄露、商业诈骗和扰乱企业正常运作的严重后果。
81 0
全方位的安全账号管理
|
新零售 运维 安全
构建多账号云环境的解决方案|云防火墙企业多账号统一管理最佳实践
云防火墙通过与资源目录RD深度集成,可帮助企业将云上多个业务账号进行统一集中安全管控,大大提升运维效率。通过多账号统一管理能力,用户无需采购和运维多套云防火墙,仅需采购和运维一套,即可实现安全策略统一下发和防护效果统一分析审计等,更好满足企业网络安全集中化管控需求,并大大降低成本。
50392 6
|
存储 云安全 运维
构建多账号云环境的解决方案|云安全中心多账号统一安全运营
为解决安全管理人员对企业下属的多个云产品的安全运营效率问题,云安全中心威胁分析结合资源管理服务,为客户提供多账号管理统一安全运营方案。通过指定委派管理员,即可在控制台统一多账号安全运营工作,免除在多个账号间频繁登录登出的烦恼。 
594 0
|
运维 监控 安全
|
人工智能 Cloud Native 安全
阿里云新品发布会周刊第103期 丨 阿里云多账号管控与网络安全集中化管理能力升级
2019年-2023年,中国金融云解决方案市场年复合增长率将达到40.2%,2023年,市场规模将达到35.9亿美元,而建设核心将重点围绕数据管理与分析展开。本次发布会,阿里云原生多模数据库Lindorm联合智臾科技DolphinDB正式发布金融时序大数据量化分析解决方案。
1052 0
阿里云新品发布会周刊第103期 丨  阿里云多账号管控与网络安全集中化管理能力升级
|
云安全 弹性计算 运维
阿里云黄瑞瑞:业务在哪里,云安全服务就跟在哪里
以实战攻防和原生安全能力来确保防护的有效性,构建安全云上体系。
941 0
阿里云黄瑞瑞:业务在哪里,云安全服务就跟在哪里
|
运维 监控 安全
阿里云多账号管控与网络安全集中化管理能力升级发布
助力企业上云过程中的多账号管控和网络安全管理。
417 0
|
存储 安全 关系型数据库
企业上云数据安全
企业是否选择上公共云,或者哪些系统或数据上公共云,对数据安全的关心是重要因素之一。本最佳实践重点在于介绍狭义的数据加密存储安全范畴,即首先使用SDDP产品进行敏感数据发现和分级分类,然后对高级别敏感数据进行按需、不同类型的全链路加密存储。
641 0
企业上云数据安全