簡介：云上身份安全是當(dāng)今企業(yè)管理者和云上運(yùn)維團(tuán)隊所面臨的挑戰(zhàn)之一，針對云上身份管理不全面所產(chǎn)生的風(fēng)險究竟又哪些？又應(yīng)當(dāng)如何應(yīng)對？本文將結(jié)合案例和最佳實(shí)踐與您分享。

引言

云上身份安全是當(dāng)今企業(yè)管理者和云上運(yùn)維團(tuán)隊所面臨的挑戰(zhàn)之一。例如員工離職后發(fā)現(xiàn)權(quán)限未收回，惡意刪除了大規(guī)模應(yīng)用造成企業(yè)損失慘重；又比如員工密鑰泄露導(dǎo)致被惡意攻擊，造成數(shù)據(jù)泄漏，服務(wù)中斷等影響。這些真實(shí)且震撼的案例還有許多，針對云上身份管理不全面所產(chǎn)生的風(fēng)險究竟又哪些？又應(yīng)當(dāng)如何應(yīng)對？本文將結(jié)合案例和最佳實(shí)踐與您分享。

從員工入職到離職，進(jìn)行賬號的全生命周期管理

典型場景一

員工離職是一個典型的身份管理場景， 員工離職后，企業(yè)沒有回收或清理員工對于賬號的訪問，離職的員工依然可以持續(xù)訪問和管控企業(yè)在云上的資源和數(shù)據(jù)。將直接導(dǎo)致企業(yè)的數(shù)據(jù)泄漏；如果離職員工蓄意破壞，將直接導(dǎo)致企業(yè)的服務(wù)中斷，造成企業(yè)形象、經(jīng)濟(jì)損失。

如何回收離職員工的訪問權(quán)限？遵循「先禁用，后刪除」原則

1. 禁用離職員工賬號的控制臺登錄。

禁用控制臺登錄會較快的將共用賬號的問題暴露出來。如果存在共用的情況，首先重置密碼止血，再為共用的員工分配新賬號。

2. 查看離職員工賬號下是否持有永久AK。

如果有，則先凍結(jié)AK的訪問。員工的賬號中的AK是不能用在生產(chǎn)系統(tǒng)中。如果不確定員工賬號下的AK是否有在生產(chǎn)系統(tǒng)中使用，可以在用戶的AK列表中查看最近使用時間。如果某把AK最近訪問時間至今已經(jīng)有一段時間，則可以放心禁用。如果上一次訪問之間至今時間較短。則可以配合ActionTrail的能力，排查訪問的服務(wù)，以確認(rèn)是否有使用在生產(chǎn)系統(tǒng)中。如果有使用，則盡快做輪轉(zhuǎn)。

3. 先禁用再刪除。

在禁用完離職員工賬號訪問控制臺以及API的訪問能力后，通過ActionTrail服務(wù)的能力，持續(xù)監(jiān)控一段時間是否有活躍，如果在一段時間內(nèi)沒有活躍動作（登錄或API調(diào)用），則可將用戶及其密鑰刪除。

典型場景二

企業(yè)員工在使用阿里云RAM用戶的時候，會設(shè)置用戶的密碼作為登錄控制臺的憑證。可能由于密碼保存不當(dāng)，共享密碼、被釣魚等方式造成泄漏。通過審計的方式發(fā)現(xiàn)有異常登錄的情況，或者發(fā)現(xiàn)有不熟悉的IAM賬號，非自己創(chuàng)建的資源等。均有可能是密碼泄漏導(dǎo)致。密碼泄漏的問題可導(dǎo)致攻擊者冒充員工身份進(jìn)行資源創(chuàng)建和刪除操作，數(shù)據(jù)讀取等操作。造成數(shù)據(jù)泄漏，服務(wù)中斷等影響。

如何處置員工密碼泄漏？兩步快速止血

1. 通過重置用戶的密碼進(jìn)行登錄阻斷，防止攻擊者使用已經(jīng)泄漏的密碼進(jìn)一步登錄。

2. 通過審計日志檢查是否有新創(chuàng)建的賬號或AK。如果有，則對新生成的賬號禁用登錄，并禁用AK。

如何防止密碼泄漏？三招降低風(fēng)險

1. 加強(qiáng)密碼本身保護(hù)是重中之重，從創(chuàng)建用戶那刻開始：

-設(shè)置足夠的密碼強(qiáng)度，設(shè)置密碼復(fù)用的限制。減少弱密碼或舊密碼的時候

-設(shè)置密碼的過期時間，定期更換密碼。

-對于登錄密碼錯誤設(shè)置嚴(yán)格的阻斷策略。一段時間內(nèi)密碼錯誤次數(shù)過多將凍結(jié)登錄。

2. 登錄保護(hù)，啟用MFA：

MFA為除密碼以外的新的認(rèn)證因素。當(dāng)用戶密碼嚴(yán)重通過后，還需要輸入正確的MFA Code才可以驗(yàn)證通過。阿里云的MFA是基于TOTP協(xié)議的動態(tài)口令，每30秒生成一個新的6位數(shù)口令。當(dāng)密碼泄漏被攻擊者使用，攻擊者無法獲取MFA動態(tài)口令也將導(dǎo)致登錄失敗。

3. 審計異常的登錄行為：

通過ActionTrail中的登錄成功和失敗的日志，通過UA，IP等方式定位疑似異常登錄行為的用戶。并通過重置密碼，啟用MFA等方式進(jìn)行保護(hù)。

在阿里云，進(jìn)行員工入職，離職場景身份管理的最佳實(shí)踐

一家企業(yè)的員工入職和離職，涉及到分配云平臺的賬號的時候。云上的賬號身份的生命周期管理需要和本地的員工的身份管理統(tǒng)一處理。

用戶入職

-分配新賬號：通過阿里云控制臺或集成IMS OpenAPI同步創(chuàng)建用戶，不要與其他用戶共用，否則將導(dǎo)致不可審計，無法回收權(quán)限的問題。

-為賬號分配密碼：在目錄級別配置密碼強(qiáng)度及合適的密碼生命周期，為用戶創(chuàng)建合適的密碼，開啟MFA，配置合適的登錄策略

-為賬號分配密鑰：區(qū)分員工使用的賬號和服務(wù)使用的賬號，員工使用的賬號開啟永久AK，使用CloudShell替代。服務(wù)使用的賬號保護(hù)好AK Secret，有條件定期做輪轉(zhuǎn)。

員工離職

-遵循先禁用，后刪除的原則，禁用用戶的控制臺登錄，禁用用戶的AK，有問題可及時回滾配置。

-通過OpenAPI的方式集成在本地IDP，或通過控制臺的方式進(jìn)行關(guān)聯(lián)操作。

-離職員工刪除：人員離職一段時間后，通過CredentialReport和ActionTrail的審計日志確認(rèn)不活躍后，刪除不活躍的賬號和AK。

生命周期內(nèi)定期審計

使用ActionTrail和CredentialReport，對員工的賬號活躍度以及操作記錄做持續(xù)審計，發(fā)現(xiàn)不活躍的賬號并及時整改。

一勞永逸的解決身份管理和認(rèn)證的統(tǒng)一問題

通常在企業(yè)內(nèi)，分配和回收員工的工作由HR的系統(tǒng)觸發(fā)，(或企業(yè)自己的云管平臺觸發(fā))，上云賬號的管理員/系統(tǒng)接受到了這個事件后，人肉/系統(tǒng)自動分配或回收用戶的登錄權(quán)限。但是這里可能要依賴人肉管理，或依賴企業(yè)開發(fā)系統(tǒng)去實(shí)現(xiàn)。因此也給企業(yè)的管理帶來了額外的管理和研發(fā)審計的成本。一旦忘記操作或系統(tǒng)存在bug，將給企業(yè)的數(shù)據(jù)安全和生產(chǎn)穩(wěn)定性帶來風(fēng)險。

那么，有沒有更好的辦法，不額外給員工頒發(fā)阿里云RAM用戶的登錄密碼，將登錄認(rèn)證集中在企業(yè)本地的員工系統(tǒng)？答案是有的，企業(yè)可以通過使用以下兩種方式將身份管理和身份認(rèn)證統(tǒng)一到本地IDP進(jìn)行集中管理：

方案一：使用SSO將身份認(rèn)證統(tǒng)一到本地IDP。

阿里云作為SP（Service provider），支持SAML協(xié)議。企業(yè)本地身份系統(tǒng)可以使用SAML 協(xié)議，打通本地到云上的控制臺訪問。無需在云上額外的為用戶配置訪問控制臺的認(rèn)證方式。

企業(yè)的管理員首先配置好企業(yè)本地IDP和阿里云賬號的信任關(guān)系，用戶在企業(yè)本地IDP認(rèn)證完成后，企業(yè)IDP向阿里云發(fā)起SAML SSO。基于配置好的信任關(guān)系，阿里云側(cè)按照SAML SSO中描述的身份信息和session信息生成登錄態(tài)。完成了指定身份的登錄。目前登錄行為包含兩種方式：

1）基于RAM用戶的SAML SSO

企業(yè)用戶通過OpenAPI或SCIM將企業(yè)員工的信息同步到云上，通過SAML Response中指定的用戶確定阿里云RAM的用戶，以指定用戶的身份登錄到阿里云上。好處是以RAM用戶的身份登錄到阿里云的控制臺，權(quán)限可以根據(jù)用戶做定制。

2）基于RAM角色的SAML SSO

企業(yè)通過OpenAPI或控制臺創(chuàng)建角色并授予權(quán)限，通過SAML Response中指定的角色確定阿里云的RAM的角色，以指定角色的身份登錄到阿里云上。好處是以RAM角色的身份登錄到阿里云的控制臺，無需配置額外的身份，企業(yè)員工可以共用角色。

企業(yè)基于這兩種方式SSO到阿里云控制臺，只需在本地的IDP維護(hù)認(rèn)證信息，無需為員工在阿里云的RAM賬號上創(chuàng)建密碼。員工只需要保管好自己在企業(yè)IDP中的密碼即可。同時當(dāng)員工發(fā)生離職后，企業(yè)只需要回收本地員工的賬號，員工無法直接訪問云端的賬號。

方案二：使用IMS OpenAPI/SCIM將員工身份管理統(tǒng)一到本地IDP

IMS 提供OpenAPI供企業(yè)管理系統(tǒng)集成，當(dāng)本地員工發(fā)生入職，離職或調(diào)崗的時候，可以通過IMS 的OpenAPI在云端進(jìn)行異步的管理動作。
企業(yè)服務(wù)如果支持SCIM，可以通過RAM提供的SCIM接口，自動的管理用戶的新增和刪除操作。（員工對應(yīng)的賬號的AK不要用于生產(chǎn)系統(tǒng)，如果企業(yè)員工發(fā)生離職或者調(diào)崗，觸發(fā)了云端賬號的刪除動作，將直接刪除賬號。對應(yīng)的AK一并刪除。如果員工賬號的AK用于生產(chǎn)系統(tǒng)，可能直接導(dǎo)致故障）。

總結(jié)

阿里云企業(yè)IT治理身份管理高級技術(shù)專家冬山結(jié)合產(chǎn)品研發(fā)和客戶服務(wù)的經(jīng)驗(yàn)總結(jié)了核心原則：“對于身份管理的最佳實(shí)踐，核心是『統(tǒng)一管理身份和認(rèn)證』，并『進(jìn)行定期的用戶認(rèn)證審計』。”

原文鏈接

本文為阿里云原創(chuàng)內(nèi)容，未經(jīng)允許不得轉(zhuǎn)載

總結(jié)

以上是生活随笔為你收集整理的谈身份管理之进阶篇的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。