簡介： 身份和密鑰的管理，是企業(yè)上云的重中之重；每年國內(nèi)外都有因?yàn)樯矸莺兔荑€的管理不善，或泄露，或誤操作導(dǎo)致嚴(yán)重的生產(chǎn)事故或者數(shù)據(jù)泄露。本期小編將重點(diǎn)聊聊云上身份的那些值得關(guān)注的事兒。

引言

2021年初，國內(nèi)一起刪庫跑路事件的判決公布，某企業(yè)員工利用其擔(dān)任公司數(shù)據(jù)庫管理員并掌握公司財務(wù)系統(tǒng)root權(quán)限的便利，登錄公司財務(wù)系統(tǒng)服務(wù)器刪除了財務(wù)數(shù)據(jù)及相關(guān)應(yīng)用程序，致使公司財務(wù)系統(tǒng)無法登錄，最終被判處有期徒刑7年。

?

這起云上安全事故的發(fā)生雖是由于惡意人為所導(dǎo)致的，但也暴露了云上身份權(quán)限的風(fēng)險。而身份和密鑰的管理，是企業(yè)上云的重中之重；每年國內(nèi)外都有因?yàn)樯矸莺兔荑€的管理不善，或泄露，或誤操作導(dǎo)致嚴(yán)重的生產(chǎn)事故或者數(shù)據(jù)泄露。本期小編將重點(diǎn)聊聊云上身份的那些值得關(guān)注的事兒。

?

第一步，云上安全從保障云賬號安全使用開始

我們開始使用阿里云服務(wù)前，首先需要注冊一個阿里云賬號，它相當(dāng)于操作系統(tǒng)的root或Administrator，所以有時稱它為主賬號或根賬號。我們使用阿里云賬號進(jìn)行資源的購買和服務(wù)的開通，也同時對名下所有資源擁有完全控制權(quán)限。主賬號對應(yīng)著完全不受限的權(quán)限，讓我們列舉一下因主賬號未規(guī)范使用所導(dǎo)致的安全隱患：

×?不要使用主賬號進(jìn)行日常操作：不但有誤操作的風(fēng)險，還有賬號被盜而導(dǎo)致的數(shù)據(jù)泄露、數(shù)據(jù)被刪除等更大的風(fēng)險。

×?不要使用主賬號的AccessKey（簡稱AK）：在阿里云，用戶可以使用AccessKey構(gòu)造一個API請求（或者使用云服務(wù)SDK）來操作資源。AK一旦暴露公網(wǎng)，將失去整個主賬號的控制權(quán)限，極大概率造成難以評估的損失，并無法做到及時止血。

?

第二步，啟動RAM用戶，授予不同權(quán)限并分配給不同人員使用

正因?yàn)橹髻~號使用風(fēng)險大，阿里云RAM為用戶提供權(quán)限受控的子賬號（RAM SubUser）和角色（RAM Role）訪問云服務(wù)，避免讓用戶直接使用主賬號訪問。這期將重點(diǎn)談?wù)?#xff0c;利用RAM把主賬號的權(quán)限按需授予賬號內(nèi)的子賬號，以及用戶常見的問題。

?

RAM用戶創(chuàng)建與授權(quán)

通過RAM為名下的不同操作員創(chuàng)建獨(dú)立的RAM用戶并授予相應(yīng)權(quán)限。

要點(diǎn)一：員工不要共享賬號，包括密碼，MFA，AK。

要點(diǎn)二：遵循“最小權(quán)限”的授權(quán)原則，除此之外，還可以通過限制訪問發(fā)生時的環(huán)境條件，來保障RAM用戶的安全使用：

• 登錄場景是否通過MFA校驗(yàn)
• 限制訪問者的登錄IP地址
• 限制訪問者的登錄時間段
• 限制訪問方式（HTTPS/HTTP）

?

設(shè)置合適的密碼策略

• 設(shè)置RAM用戶密碼強(qiáng)度

為了保護(hù)賬號安全，您可以編輯密碼規(guī)則，包括密碼強(qiáng)度（長度+字符）、密碼過期策略 、重復(fù)歷史密碼策略以及錯誤密碼最大重試次數(shù)策略進(jìn)行密碼設(shè)置。

• 啟用多因素認(rèn)證

為訪問者設(shè)置MFA驗(yàn)證，動態(tài)口令將消除密碼泄露傷害。

?

訪問密鑰（AccessKey）的規(guī)范使用

訪問密鑰（AccessKey）是RAM用戶的長期憑證。如果為RAM用戶創(chuàng)建了訪問密鑰，RAM用戶可以通過API或其他開發(fā)工具訪問阿里云資源。AccessKey包括AccessKey ID和AccessKey Secret。其中AccessKey ID用于標(biāo)識用戶，AccessKey Secret是用來驗(yàn)證用戶身份合法性的密鑰。

1. AccessKeySecret只在首次創(chuàng)建時顯示，不提供后續(xù)查詢：

假設(shè)通過API可以查詢到其他的AccessKeySecret，那所有的AccessKey都有泄露的風(fēng)險，安全問題防不勝防，因此請在創(chuàng)建AccessKey時及時保存。

2. 一個子用戶最多擁有兩個AccessKey：

為了保障使用安全， 用戶應(yīng)只使用一個AK，另外一個AK則是用來進(jìn)行永久AK的定期輪轉(zhuǎn)使用，或者面對泄露情況，進(jìn)行緊急輪轉(zhuǎn)，已降低損失。

3. AK需要定期輪轉(zhuǎn)：

如果您的訪問密鑰已經(jīng)使用3個月以上，建議您及時輪換訪問密鑰，降低訪問密鑰被泄露的風(fēng)險。首先創(chuàng)建用于輪換的第二個訪問密鑰。再禁用（而不是刪除）原來的訪問密鑰。然后，驗(yàn)證使用訪問密鑰的所有應(yīng)用程序或系統(tǒng)是否正常運(yùn)行。最后刪除原來的訪問密鑰。

?

定期審計賬號的使用，回收不活躍的身份密鑰

• 通過ActionTrail可以查看用戶對資源實(shí)例進(jìn)行操作的記錄。
• 通過用戶憑證報告（CredentialReport）全局把控員工的密鑰情況：密碼登錄記錄、AK使用記錄、AK輪轉(zhuǎn)記錄。

?

身份/密鑰先禁用再刪除

身份/密鑰需要遵循先禁用再刪除的原則，避免刪除正在只用的AK，影響業(yè)務(wù)進(jìn)度，造成生產(chǎn)事故：

• 確認(rèn)密鑰不在使用
• 禁用密鑰，隨時可恢復(fù)
• 密鑰禁用一段時間后，確認(rèn)無任何不良影響，再刪除密鑰

?

最佳實(shí)踐分享：保持企業(yè)云賬號最基本的安全性、運(yùn)維便捷性而進(jìn)行的最小化配置。

初創(chuàng)企業(yè)IT治理樣板間

初創(chuàng)企業(yè)樣板間是保持企業(yè)云賬號最基本的安全性、運(yùn)維便捷性而進(jìn)行的最小化配置，降低初創(chuàng)企業(yè)隨著規(guī)模擴(kuò)大逐漸提升的云上風(fēng)險，讓初創(chuàng)企業(yè)可以快速實(shí)現(xiàn)：

• 主賬號安全
• 權(quán)限可控
• 網(wǎng)絡(luò)隔離

同時可以通過控制臺操作、Terraform代碼、CLI代碼這3種方式進(jìn)行快速啟用。

原文鏈接

本文為阿里云原創(chuàng)內(nèi)容，未經(jīng)允許不得轉(zhuǎn)載

總結(jié)

以上是生活随笔為你收集整理的谈身份管理之基础篇 - 保障云上安全，从[规范账号使用]开始的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。