乾貨 | 京東雲帳號安全管理最佳實踐

在對衆多企業的調查與觀察中，咱們發如今企業上雲的全部安全威脅中，帳號密碼或AK (Access Key)泄露是用戶最爲擔憂，也是威脅力度最大的問題。

那麼如何面對此類威脅，下文將告訴你們經過哪些措施來避免此類威脅所帶來的風險。

帳號登錄保護

**1、**建議啓用【虛擬MFA認證】(多因素認證)，在登陸時進行二次身份驗證；

**2、**建議啓用【密碼策略設置】，要求密碼長度10位以上，包含大小寫字母、數字、特殊符號，而且設置密碼有效期、歷史密碼檢查策略、密碼重置約束策略、子用戶登陸過時時間；

**3、**建議啓用【登陸IP保護】，設置登陸IP白名單，只容許白名單範圍IP可以登陸控制檯；

**4、**建議僅容許經過堡壘機對內部專區的雲主機進行遠程管理。

帳號操做保護

建議啓用【操做保護】，在控制檯進行關鍵操做時對操做人進行驗證，進一步提升帳號安全性。

帳號權限保護

**1、**建議使用IAM(身份管理與資源訪問控制)建立子帳號將用戶管理、權限管理與資源管理分離；

**2、**建議主/子帳號綁定用戶的員工郵箱及手機號，可定位具體天然人；

**3、**子帳號遵循最小受權原則，應授予恰好知足用戶工做所需權限，不宜過分受權，一旦遇到風險及時撤銷用戶權限，例如：

**4、**再也不須要的的用戶權限應及時撤銷處理。

帳號操做審計

建議啓用【操做審計】(Audit Trail)，保存內部重點帳號的全部操做記錄，實現精確追蹤、還原用戶行爲審計、資源變動追查及合規審查。

OpenAPI帳號保護

**1、**禁止爲根帳號建立AK，因爲根帳號對名下資源有徹底控制權限，爲避免因AK泄露所帶來的災難性損失；

**2、**控制檯用戶與API用戶分離,禁止一個IAM用戶同時建立用於控制檯操做的登陸密碼和用於API操做的訪問密鑰，應只給用戶建立登陸密碼，只給系統或應用程序建立訪問密鑰；

**3、**子帳號AK遵循最小受權原則，應授予恰好知足用戶工做所需權限，不宜過分受權，例如：

**4、**應用程序建議啓用【IP白名單】，限制應用程序的訪問IP，全部的數據訪問請求應來自於企業內部網絡；

**5、**再也不須要的的用戶權限應及時撤銷處理。

結語

本文介紹了京東雲提供的一些帳號安全管理最佳實踐能力，請掌握並持續遵循這些最佳實踐。

點擊「閱讀原文」

使用京東雲來體驗最佳實踐

---

閱讀原文