談身份管理之基礎篇 - 保障雲上安全，從[規範帳號使用]開始

時間 2021-03-11

標籤數據庫安全服務器網絡運維工具開發工具阿里雲 spa 操作系統欄目系統安全简体版

原文原文鏈接

簡介：身份和密鑰的管理，是企業上雲的重中之重；每一年國內外都有由於身份和密鑰的管理不善，或泄露，或誤操做致使嚴重的生產事故或者數據泄露。本期小編將重點聊聊雲上身份的那些值得關注的事兒。

引言

2021年初，國內一塊兒刪庫跑路事件的判決公佈，某企業員工利用其擔任公司數據庫管理員並掌握公司財務系統root權限的便利，登陸公司財務系統服務器刪除了財務數據及相關應用程序，導致公司財務系統沒法登陸，最終被判處有期徒刑7年。數據庫

這起雲上安全事故的發生雖是因爲惡意人爲所致使的，但也暴露了雲上身份權限的風險。而身份和密鑰的管理，是企業上雲的重中之重；每一年國內外都有由於身份和密鑰的管理不善，或泄露，或誤操做致使嚴重的生產事故或者數據泄露。本期小編將重點聊聊雲上身份的那些值得關注的事兒。安全

第一步，雲上安全從保障雲帳號安全使用開始

咱們開始使用阿里雲服務前，首先須要註冊一個阿里雲帳號，它至關於操做系統的root或Administrator，因此有時稱它爲主帳號或根帳號。咱們使用阿里雲帳號進行資源的購買和服務的開通，也同時對名下全部資源擁有徹底控制權限。主帳號對應着徹底不受限的權限，讓咱們列舉一下因主帳號未規範使用所致使的安全隱患：服務器

× 不要使用主帳號進行平常操做：不但有誤操做的風險，還有帳號被盜而致使的數據泄露、數據被刪除等更大的風險。網絡

× 不要使用主帳號的AccessKey（簡稱AK）：在阿里雲，用戶可使用AccessKey構造一個API請求（或者使用雲服務SDK）來操做資源。AK一旦暴露公網，將失去整個主帳號的控制權限，極大機率形成難以評估的損失，並沒有法作到及時止血。運維

第二步，啓動RAM用戶，授予不一樣權限並分配給不一樣人員使用

正由於主帳號使用風險大，阿里雲RAM爲用戶提供權限受控的子帳號（RAM SubUser）和角色（RAM Role）訪問雲服務，避免讓用戶直接使用主帳號訪問。這期將重點談談，利用RAM把主帳號的權限按需授予帳號內的子帳號，以及用戶常見的問題。工具

RAM用戶建立與受權

經過RAM爲名下的不一樣操做員建立獨立的RAM用戶並授予相應權限。開發工具

要點一：員工不要共享帳號，包括密碼，MFA，AK。阿里雲

要點二：遵循「最小權限」的受權原則，除此以外，還能夠經過限制訪問發生時的環境條件，來保障RAM用戶的安全使用：spa

登陸場景是否經過MFA校驗
限制訪問者的登陸IP地址
限制訪問者的登陸時間段
限制訪問方式（HTTPS/HTTP）

設置合適的密碼策略

設置RAM用戶密碼強度

爲了保護帳號安全，您能夠編輯密碼規則，包括密碼強度（長度+字符）、密碼過時策略、重複歷史密碼策略以及錯誤密碼最大重試次數策略進行密碼設置。操作系統

啓用多因素認證

爲訪問者設置MFA驗證，動態口令將消除密碼泄露傷害。

訪問密鑰（AccessKey）的規範使用

訪問密鑰（AccessKey）是RAM用戶的長期憑證。若是爲RAM用戶建立了訪問密鑰，RAM用戶能夠經過API或其餘開發工具訪問阿里雲資源。AccessKey包括AccessKey ID和AccessKey Secret。其中AccessKey ID用於標識用戶，AccessKey Secret是用來驗證用戶身份合法性的密鑰。