摘要:賬號操作保護建議啟用操作保護,在控制臺進行關(guān)鍵操作時對操作人進行驗證����,進一步提高賬號安全性。結(jié)語本文介紹了京東云提供的一些賬號安全管理最佳實踐能力��,請掌握并持續(xù)遵循這些最佳實踐�����。
在對眾多企業(yè)的調(diào)查與觀察中����,我們發(fā)現(xiàn)在企業(yè)上云的所有安全威脅中����,賬號密碼或AK (Access Key)泄露是用戶最為擔心��,也是威脅力度最大的問題�。
那么如何面對此類威脅,下文將告訴大家通過哪些措施來避免此類威脅所帶來的風險�����。
賬號登陸保護
一��、建議啟用【虛擬MFA認證】(多因素認證)�����,在登錄時進行二次身份驗證��;
二����、建議啟用【密碼策略設(shè)置】,要求密碼長度10位以上�,包含大小寫字母���、數(shù)字、特殊符號�����,并且設(shè)置密碼有效期�、歷史密碼檢查策略、密碼重置約束策略�、子用戶登錄過期時間;
三���、建議啟用【登錄IP保護】�����,設(shè)置登錄IP白名單,只允許白名單范圍IP能夠登錄控制臺�����;
四����、建議僅允許通過堡壘機對內(nèi)部專區(qū)的云主機進行遠程管理����。
賬號操作保護
建議啟用【操作保護】�����,在控制臺進行關(guān)鍵操作時對操作人進行驗證��,進一步提高賬號安全性���。
賬號權(quán)限保護
一��、建議使用IAM(身份管理與資源訪問控制)創(chuàng)建子賬號將用戶管理�、權(quán)限管理與資源管理分離�����;
二�、建議主/子賬號綁定用戶的員工郵箱及手機號,可定位具體自然人��;
三���、子賬號遵循最小授權(quán)原則�,應(yīng)授予剛好滿足用戶工作所需權(quán)限,不宜過度授權(quán)�����,一旦遇到風險及時撤銷用戶權(quán)限��,例如:
四����、不再需要的的用戶權(quán)限應(yīng)及時撤銷處理。
賬號操作審計
建議啟用【操作審計】(Audit Trail)���,保存內(nèi)部重點賬號的所有操作記錄��,實現(xiàn)精確追蹤�����、還原用戶行為審計、資源變更追查及合規(guī)審查�����。
OpenAPI賬號保護
一�����、禁止為根賬號創(chuàng)建AK,由于根賬號對名下資源有完全控制權(quán)限���,為避免因AK泄露所帶來的災(zāi)難性損失�;
二�����、控制臺用戶與API用戶分離,禁止一個IAM用戶同時創(chuàng)建用于控制臺操作的登錄密碼和用于API操作的訪問密鑰��,應(yīng)只給用戶創(chuàng)建登錄密碼�����,只給系統(tǒng)或應(yīng)用程序創(chuàng)建訪問密鑰���;
三���、子賬號AK遵循最小授權(quán)原則,應(yīng)授予剛好滿足用戶工作所需權(quán)限�����,不宜過度授權(quán),例如:
IP白名單】�,限制應(yīng)用程序的訪問IP,所有的數(shù)據(jù)訪問請求應(yīng)來自于企業(yè)內(nèi)部網(wǎng)絡(luò)���;
四���、應(yīng)用程序建議啟用【IP白名單】,限制應(yīng)用程序的訪問IP����,所有的數(shù)據(jù)訪問請求應(yīng)來自于企業(yè)內(nèi)部網(wǎng)絡(luò);
五����、不再需要的用戶權(quán)限應(yīng)及時撤銷處理。
結(jié)語
本文介紹了京東云提供的一些賬號安全管理最佳實踐能力��,請掌握并持續(xù)遵循這些最佳實踐�����。
點擊使用“京東云”來體驗最佳實踐
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/25541.html
