企业上云最佳实践:账号安全管理之 RAM 访问控制

  • 时间:
  • 浏览:1

 

通过以下的重点讲解和实践示例,相信你对阿里云 RAM 服务有了全面的认知。话越来过多说,即刻动手开启 RAM 最佳实践吧!

账号密码泄露的罪魁祸首之一可是多人共享云账号密码,可是人都知道的“秘密”就有的是秘密了。共享账号密码处于可是问题报告 ,不仅容易泄露,过后还无法限制每另一方的权限,无法审计和追踪单独另一方的具体行为。

假设企业 IP 出口的地址范围是 42.120.72.0/22,要求所有的数据访问请求还并能并能 来自于你的企业网络,同还并能并能 确保万一 AK 泄露到外网那可是让人访问云上数据——这该怎么能么会实现呢?以下分享2个实例。

最小授权原则是安全设计的基本原则,当你给 RAM 用户授权时,请授予他刚好满足工作所需的权限,还并能 过度授权。

数字化时代背景下,越来过多的企业选者上云。企业上云不仅还并能驱动流程创新和业务创新,过后为企业带来新的利润增长点,呈现出更为弹性化、安全化、智能化、高效化的运维内控 。

过后,给 RAM 用户组(假设为 oss-readers 用户组)授权,如下图样例所示,包括允许访问 OSS 的授权策略和DenyAccessPolicyWithIpConditions 策略。

 “同学们,都醒醒,老师过后过后开使划重点了!”

点击此处,即刻进入 RAM控制台 过后过后开使管理你的用户。

 

 

步骤1:在你的私人移动设备上安装好支持 MFA 的应用 App,推荐使用阿里云官方出品的移动客户端 “阿里云APP”;

近来过后 大型的安全事故,譬如2017年7月19日,道琼斯26万客户信息从某知名云服务商外泄;9月8日,美国信用机构Equifax的1.43亿用户信息泄露;11月150日,美国防部1150GB顶级机密数据在某知名云服务商上曝光;12月2日,美国国家信用联合会NCF 111G 数据在某知名云服务商上遭遇泄露......,数不胜数。没办法 ,怎么里能 并能从根本上降低或补救可能性账号密码或 AK 泄露所原因 的信息安全风险,近日,阿里云为企业上云提供了免费的身份管理与访问控制服务RAM,在降低上述风险的同去,还支持通过 阿里云APP 在手机端进行管控操作,全方位保护账号安全。

首先,你还并能并能 创建二根自定义授权策略( DenyAccessPolicyWithIpConditions ),拒绝所指 IP 范围之外的所有请求。

然而企业上云往往会面临各种各样的安全威胁,数据丢失、系统漏洞、账号共享、内控 攻击等等不一而足。其中最严重的威胁莫过于账号密码或 AK (Access Key)泄露——是我不好让人侥幸认为“这不让处于在我身上”,过后根据 CSA 2016 对 某知名云服务商的客户安全威胁分析报告,特权账户密码 / AK 等敏感数据泄露已成为云安全 Top 12 威胁之首,可是你的账号密码和 AK 很有可能性早已落入他人之手。

一旦泄露密码或 AK,势必会造成数据丢失,严重情形下甚至会原因 企业破产。没办法 面对密码或 AK泄露,企业应怎么里能 补救?阿里云 RAM 服务为你解答。

 

步骤3:为 RAM 用户开启 MFA:访问 “ RAM 控制台” -> “用户管理”,选者用户,进入用户详情页进行操作。

当你的组织拥有较多员工,或亲戚亲戚大伙分管不同的业务,更好的做法是创建与人员工作职责相关的群组(如 admins、developers、accounting 等),为每个群组绑定相应的授权策略,群组内所有用户共享相同的权限,便于统一管理。

比如在组织中,可能性 Developers 组员(可能性2个应用系统)的工作职责只还并能并能 读取 OSS 存储桶里的数据,没办法 就只给這個 组(或应用系统)授予 OSS 资源的只读权限,而不授权 OSS 资源的所有权限,更过多授予对所有产品资源的访问权限。

MFA(Multi-Factor Authentication)是有一种简单有效的安全实践方法,它能在用户名和密码之外再额外增加一层安全保护。启用 MFA 后,用户在登录阿里云网站时,系统将要求输入用户名和密码(第一安全主次),过后要求输入来自 MFA 设备或手机短信的一次性验证码(第二安全主次)——多重主次的结合将为你的账户提供更全面的安全保护,密码泄露不再是问题报告 。

步骤2:为你的云账号开启 MFA:登录 PC 端控制台,进入“账号管理” -> “安全设置”,选者 “虚拟 MFA” 进行设置;

 

RAM 同样支持 API 用户(系统或应用系统系统进程)的访问授权,让人为系统系统进程创建专属的 RAM 用户,并分配访问密钥 AccessKey。

补救云账号共享问题报告 的方法可是为每个员工创建独立的 RAM 用户账号,让员工使用 RAM 用户账号进行日常工作。

云账号AK俗称“大 AK”,它具有该账户的所有资源 API 访问权限,过后无法设置多因素认证,这就原因 大 AK一旦丢失,风险极不可控。过后强烈建议删除“大 AK”,使用 RAM 用户AK(俗称“小 AK”)来进行 API 调用则更为安全。

 

当你的某位组织人员因工作职责变更而不再使用权限时,还应该及时将该用户的权限归还。当然,就算你出差在外也全版不让担心,阿里云APP 提供了全版的 RAM 管理功能,随时随地帮助补救燃眉之急。

过后当组织人员再次扩充时,只需在创建新用户时直接将他换成到特定群组中,不让重复配置权限。当组织人员处于调动时,也只需更改用户所属的群组即可——哪此操作都还并能在 阿里云APP 上便捷完成,动动手指轻松搞掂。

进入 AK 控制台完后 ,阿里云会引导用户快速创建 RAM 用户 AK。