写点什么

基于京东云的账号安全管理实操

  • 2019-10-22
  • 本文字数:1070 字

    阅读完需:约 4 分钟

基于京东云的账号安全管理实操

“身份、凭证和访问管理不足”是云安全联盟(CSA)在 2018 年“云计算 TOP-12 威胁”报告中排名前列的严重安全问题。(这里的严重是指:用户关注度高以及问题出现后的损失较大)云计算安全联盟表示,恶意行为者会伪装成合法用户、操作员或开发人员可以读取,修改和删除数据; 对传输中的数据进行窥探或发布似乎源于合来源的恶意软件。因此,身份不足,凭证或密钥管理不足可能导致未经授权的数据访问,并可能对组织或最终用户造成灾难性的损害。


在对众多企业的调查与观察中,我们发现在企业上云的所有安全威胁中,账号密码或 AK (Access Key)泄露是用户最为担心,也是威胁力度最大的问题。


那么如何面对此类威胁,下文将告诉大家通过哪些措施来避免此类威胁所带来的风险。

账号登陆保护

一、建议启用【虚拟 MFA 认证】(多因素认证),在登录时进行二次身份验证;



二、建议启用【密码策略设置】,要求密码长度 10 位以上,包含大小写字母、数字、特殊符号,并且设置密码有效期、历史密码检查策略、密码重置约束策略、子用户登录过期时间;



三、建议启用【登录 IP 保护】,设置登录 IP 白名单,只允许白名单范围 IP 能够登录控制台;



四、建议仅允许通过堡垒机对内部专区的云主机进行远程管理。

账号操作保护

建议启用【操作保护】,在控制台进行关键操作时对操作人进行验证,进一步提高账号安全性。


账号权限保护

一、建议使用 IAM(身份管理与资源访问控制)创建子账号将用户管理、权限管理与资源管理分离;


二、建议主/子账号绑定用户的员工邮箱及手机号,可定位具体自然人;


三、子账号遵循最小授权原则,应授予刚好满足用户工作所需权限,不宜过度授权,一旦遇到风险及时撤销用户权限,例如:



四、不再需要的的用户权限应及时撤销处理。

账号操作审计

建议启用【操作审计】(Audit Trail),保存内部重点账号的所有操作记录,实现精确追踪、还原用户行为审计、资源变更追查及合规审查。

OpenAPI 账号保护

一、v 禁止为根账号创建 AK,由于根账号对名下资源有完全控制权限,为避免因 AK 泄露所带来的灾难性损失;


二、控制台用户与 API 用户分离,禁止一个 IAM 用户同时创建用于控制台操作的登录密码和用于 API 操作的访问密钥,应只给用户创建登录密码,只给系统或应用程序创建访问密钥;


三、子账号 AK 遵循最小授权原则,应授予刚好满足用户工作所需权限,不宜过度授权,例如:



四、应用程序建议启用【IP 白名单】,限制应用程序的访问 IP,所有的数据访问请求应来自于企业内部网络;


五、不再需要的的用户权限应及时撤销处理。

结语

本文介绍了京东云提供的一些账号安全管理最佳实践能力,请掌握并持续遵循这些最佳实践。


2019-10-22 19:131500

评论

发布
暂无评论
发现更多内容

数据库运维实操优质文章文档分享(含Oracle、MySQL等) | 2024年9月刊

墨天轮

MySQL 数据库 oracle postgresql 国产数据库

03.建造者模式设计思想

杨充

NFTScan | 10.14~10.20 NFT 市场热点汇总

NFT Research

NFT\ NFTScan

几行代码带你用TinyEngine低代码引擎开发侧边栏插件

华为云开发者联盟

开源 前端开发 低代码 TinyEngine

谁说Linux不能玩游戏!deepin 23 通通拿下,超详细游戏教程合集!

nn-30

Linux 操作系统 游戏 deepin 黑神话悟空

鸿蒙开发案例:围住神经猫

zhongcx

免费API的探索之旅:获取、调用与创新实践

幂简集成

API 免费API

观测云AI助手上线,让观测云使用更简单高效

观测云

人工智能

Adobe Premiere Pro 2025(PR2025) 直装版

你的猪会飞吗

pr2025下载 pr2025软件

一文彻底弄懂MySQL的MVCC多版本控制器

不在线第一只蜗牛

MySQL

东北三省鸿蒙生态加速落地,150余款鸿蒙原生应用上架,多家政企内部办公应用启动鸿蒙化

最新动态

一文读懂什么是数据即产品(Data as a Product,DaaP)

tapdata

数据即产品DaaP 企业数据战略 数据产品与数据服务 数据治理与合规 元数据管理与数据血缘

揭秘阿里巴巴1688商品详情API:探索其返回值的丰富性与多样性

代码忍者

pinduoduo API API 性能测试

望繁信科技荣获2022年度创新产品与解决方案大奖

望繁信科技

数字化转型 流程挖掘 流程资产 流程智能 数字北极星

数造科技荣获2024DAMA中国“数据治理创新奖”

数造万象

人工智能 大数据 数据治理 科技 数据管理

MoE++: 颜水成团队与北大袁粒团队推出新一代MoE架构,专家推理速度倍增,性能全面提升

新消费日报

2025年中国-深圳国际碳纤维复合材料产业展会

秋硕展览

企业级 RAG 全链路优化关键技术

阿里云大数据AI技术

阿里云 云栖大会 rag AI搜索

基于京东云的账号安全管理实操_架构_赵猛_InfoQ精选文章