“AI 技术+人才”如何成为企业增长新引擎?戳此了解>>> 了解详情
写点什么

基于京东云的账号安全管理实操

  • 2019-10-22
  • 本文字数:1070 字

    阅读完需:约 4 分钟

基于京东云的账号安全管理实操

“身份、凭证和访问管理不足”是云安全联盟(CSA)在 2018 年“云计算 TOP-12 威胁”报告中排名前列的严重安全问题。(这里的严重是指:用户关注度高以及问题出现后的损失较大)云计算安全联盟表示,恶意行为者会伪装成合法用户、操作员或开发人员可以读取,修改和删除数据; 对传输中的数据进行窥探或发布似乎源于合来源的恶意软件。因此,身份不足,凭证或密钥管理不足可能导致未经授权的数据访问,并可能对组织或最终用户造成灾难性的损害。


在对众多企业的调查与观察中,我们发现在企业上云的所有安全威胁中,账号密码或 AK (Access Key)泄露是用户最为担心,也是威胁力度最大的问题。


那么如何面对此类威胁,下文将告诉大家通过哪些措施来避免此类威胁所带来的风险。

账号登陆保护

一、建议启用【虚拟 MFA 认证】(多因素认证),在登录时进行二次身份验证;



二、建议启用【密码策略设置】,要求密码长度 10 位以上,包含大小写字母、数字、特殊符号,并且设置密码有效期、历史密码检查策略、密码重置约束策略、子用户登录过期时间;



三、建议启用【登录 IP 保护】,设置登录 IP 白名单,只允许白名单范围 IP 能够登录控制台;



四、建议仅允许通过堡垒机对内部专区的云主机进行远程管理。

账号操作保护

建议启用【操作保护】,在控制台进行关键操作时对操作人进行验证,进一步提高账号安全性。


账号权限保护

一、建议使用 IAM(身份管理与资源访问控制)创建子账号将用户管理、权限管理与资源管理分离;


二、建议主/子账号绑定用户的员工邮箱及手机号,可定位具体自然人;


三、子账号遵循最小授权原则,应授予刚好满足用户工作所需权限,不宜过度授权,一旦遇到风险及时撤销用户权限,例如:



四、不再需要的的用户权限应及时撤销处理。

账号操作审计

建议启用【操作审计】(Audit Trail),保存内部重点账号的所有操作记录,实现精确追踪、还原用户行为审计、资源变更追查及合规审查。

OpenAPI 账号保护

一、v 禁止为根账号创建 AK,由于根账号对名下资源有完全控制权限,为避免因 AK 泄露所带来的灾难性损失;


二、控制台用户与 API 用户分离,禁止一个 IAM 用户同时创建用于控制台操作的登录密码和用于 API 操作的访问密钥,应只给用户创建登录密码,只给系统或应用程序创建访问密钥;


三、子账号 AK 遵循最小授权原则,应授予刚好满足用户工作所需权限,不宜过度授权,例如:



四、应用程序建议启用【IP 白名单】,限制应用程序的访问 IP,所有的数据访问请求应来自于企业内部网络;


五、不再需要的的用户权限应及时撤销处理。

结语

本文介绍了京东云提供的一些账号安全管理最佳实践能力,请掌握并持续遵循这些最佳实践。


2019-10-22 19:131115

评论

发布
暂无评论
发现更多内容

ABBYY16绿色免费pdf编辑器下载

茶色酒

ABBYY16

2023-02-24:请用go语言调用ffmpeg,解码mp4文件并保存为YUV420SP格式文件,采用YUV420P转YUV420SP的方式。

福大大架构师每日一题

golang ffmpeg 福大大

2023年1月综合预订类APP用户洞察——旅游市场复苏明显,三年需求春节集中释放

易观分析

App 旅游 后疫情时代

2023最新版网络安全保姆级指南,手把手带你从零基础进阶渗透攻防工程师

网络安全学海

黑客 网络安全 信息安全 计算机 渗透测试

Oracle在“AI云战”比AWS、Azure的优势:多云、无竞争、收费低训练快

B Impact

SaaS 行业垂直数据库需求5点思考:成本、计费、库表量、多云、低代码

B Impact

7 理解企业的战略

涛哥 数字产品和业务架构

企业架构 业务架构 战略

收割不易,五面Alibaba终拿Java岗offer

程序知音

Java java面试 Java进阶 后端技术 Java面试八股文

技术科普|模糊测试背后的2个核心逻辑

云起无垠

模糊测试

DNSPod十问简丽荣:国产数据库的月亮与六便士

酷克数据HashData

会声会影2023终极版下载安装教程

茶色酒

会声会影2023

FL Studio2023中文电脑版本下载

茶色酒

FL Studio2023

Python学生管理系统

漫步桔田

零基础解读ChatPGT:对人类未来工作是威胁还是帮助?

华为云开发者联盟

人工智能 华为云 ChatGPT 企业号 2 月 PK 榜 华为云开发者联盟

推荐系统[八]算法实践总结V1:淘宝逛逛and阿里飞猪个性化推荐:召回算法实践总结【冷启动召回、复购召回、用户行为召回等算法实战】

汀丶人工智能

自然语言处理 推荐系统 推荐算法 推荐引擎算法

JVM课程作业

追随哆咪

你知道CleanMyMac是什么吗软件?好用吗

茶色酒

CleanMyMac X2023

可观测性最佳实践|阿里云事件总线 EventBridge 最佳实践

观测云

可观测性 云服务 可观测 观测云 可观测性用观测云

数据库行业的 “叛逆者”:大数据已“死”,MotherDuck 当立

CnosDB

数据库 时序数据库 开源社区 CnosDB

Stripe 不再受硅谷宠爱:高层与销售分裂、限制型股票拖后腿

B Impact

最新攻略!掌握这些技巧,推特视频下载so easy!

frank

twitter

Airbyte,数据集成的未来

CnosDB

数据库 时序数据库 开源社区 CnosDB

金三银四吃透这份微服务笔记,面试保准涨10K+

小小怪下士

Java 程序员 面试 微服务

Python银行取款系统

漫步桔田

JPEX宣布将在香港申请加密货币交易牌照,促进全球生态布局

股市老人

FL Studio21水果最新完整版音乐编曲软件

茶色酒

FL Studio 21 FL Studio21

Tapdata Connector 实用指南:实时数仓场景之数据实时同步至 ClickHouse

tapdata

数据库 实时数仓

极光笔记 | 埋点体系建设与实施方法论

极光JIGUANG

精细化运营 数据埋点 用户运营

详解Apache Sentry->Ranger平滑升级方案

华为云开发者联盟

开发 华为云 企业号 2 月 PK 榜 华为云开发者联盟

吞吐量最高提升 400%!百度智能云联合 NVIDIA 完成首批 17 个自动驾驶模型优化

Baidu AICLOUD

自动驾驶 模型训练

华为云 UCS (On-Premises):运行在您本地数据中心的CCE集群

华为云开发者联盟

云计算 后端 华为云 企业号 2 月 PK 榜 华为云开发者联盟

基于京东云的账号安全管理实操_架构_赵猛_InfoQ精选文章