摘要:賬號(hào)操作保護(hù)建議啟用操作保護(hù)�����,在控制臺(tái)進(jìn)行關(guān)鍵操作時(shí)對(duì)操作人進(jìn)行驗(yàn)證,進(jìn)一步提高賬號(hào)安全性�。結(jié)語(yǔ)本文介紹了京東云提供的一些賬號(hào)安全管理最佳實(shí)踐能力,請(qǐng)掌握并持續(xù)遵循這些最佳實(shí)踐���。
在對(duì)眾多企業(yè)的調(diào)查與觀察中��,我們發(fā)現(xiàn)在企業(yè)上云的所有安全威脅中�����,賬號(hào)密碼或AK (Access Key)泄露是用戶最為擔(dān)心��,也是威脅力度最大的問(wèn)題��。
那么如何面對(duì)此類威脅�,下文將告訴大家通過(guò)哪些措施來(lái)避免此類威脅所帶來(lái)的風(fēng)險(xiǎn)。
賬號(hào)登陸保護(hù)
一��、建議啟用【虛擬MFA認(rèn)證】(多因素認(rèn)證)�����,在登錄時(shí)進(jìn)行二次身份驗(yàn)證�;
二、建議啟用【密碼策略設(shè)置】��,要求密碼長(zhǎng)度10位以上���,包含大小寫字母�、數(shù)字����、特殊符號(hào),并且設(shè)置密碼有效期��、歷史密碼檢查策略、密碼重置約束策略�、子用戶登錄過(guò)期時(shí)間;
三�����、建議啟用【登錄IP保護(hù)】�����,設(shè)置登錄IP白名單���,只允許白名單范圍IP能夠登錄控制臺(tái)����;
四����、建議僅允許通過(guò)堡壘機(jī)對(duì)內(nèi)部專區(qū)的云主機(jī)進(jìn)行遠(yuǎn)程管理����。
賬號(hào)操作保護(hù)
建議啟用【操作保護(hù)】,在控制臺(tái)進(jìn)行關(guān)鍵操作時(shí)對(duì)操作人進(jìn)行驗(yàn)證����,進(jìn)一步提高賬號(hào)安全性��。
賬號(hào)權(quán)限保護(hù)
一����、建議使用IAM(身份管理與資源訪問(wèn)控制)創(chuàng)建子賬號(hào)將用戶管理�、權(quán)限管理與資源管理分離;
二�����、建議主/子賬號(hào)綁定用戶的員工郵箱及手機(jī)號(hào)��,可定位具體自然人��;
三��、子賬號(hào)遵循最小授權(quán)原則��,應(yīng)授予剛好滿足用戶工作所需權(quán)限��,不宜過(guò)度授權(quán)��,一旦遇到風(fēng)險(xiǎn)及時(shí)撤銷用戶權(quán)限����,例如:
四�、不再需要的的用戶權(quán)限應(yīng)及時(shí)撤銷處理���。
賬號(hào)操作審計(jì)
建議啟用【操作審計(jì)】(Audit Trail)�,保存內(nèi)部重點(diǎn)賬號(hào)的所有操作記錄�����,實(shí)現(xiàn)精確追蹤�、還原用戶行為審計(jì)、資源變更追查及合規(guī)審查�����。
OpenAPI賬號(hào)保護(hù)
一�、禁止為根賬號(hào)創(chuàng)建AK,由于根賬號(hào)對(duì)名下資源有完全控制權(quán)限�,為避免因AK泄露所帶來(lái)的災(zāi)難性損失;
二����、控制臺(tái)用戶與API用戶分離,禁止一個(gè)IAM用戶同時(shí)創(chuàng)建用于控制臺(tái)操作的登錄密碼和用于API操作的訪問(wèn)密鑰�����,應(yīng)只給用戶創(chuàng)建登錄密碼,只給系統(tǒng)或應(yīng)用程序創(chuàng)建訪問(wèn)密鑰�����;
三��、子賬號(hào)AK遵循最小授權(quán)原則�����,應(yīng)授予剛好滿足用戶工作所需權(quán)限�,不宜過(guò)度授權(quán),例如:
IP白名單】�����,限制應(yīng)用程序的訪問(wèn)IP��,所有的數(shù)據(jù)訪問(wèn)請(qǐng)求應(yīng)來(lái)自于企業(yè)內(nèi)部網(wǎng)絡(luò)���;
四��、應(yīng)用程序建議啟用【IP白名單】���,限制應(yīng)用程序的訪問(wèn)IP�����,所有的數(shù)據(jù)訪問(wèn)請(qǐng)求應(yīng)來(lái)自于企業(yè)內(nèi)部網(wǎng)絡(luò)��;
五���、不再需要的用戶權(quán)限應(yīng)及時(shí)撤銷處理。
結(jié)語(yǔ)
本文介紹了京東云提供的一些賬號(hào)安全管理最佳實(shí)踐能力���,請(qǐng)掌握并持續(xù)遵循這些最佳實(shí)踐���。
點(diǎn)擊使用“京東云”來(lái)體驗(yàn)最佳實(shí)踐
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/25541.html
