写点什么

基于京东云的账号安全管理实操

  • 2019-10-22
  • 本文字数:1070 字

    阅读完需:约 4 分钟

基于京东云的账号安全管理实操

“身份、凭证和访问管理不足”是云安全联盟(CSA)在 2018 年“云计算 TOP-12 威胁”报告中排名前列的严重安全问题。(这里的严重是指:用户关注度高以及问题出现后的损失较大)云计算安全联盟表示,恶意行为者会伪装成合法用户、操作员或开发人员可以读取,修改和删除数据; 对传输中的数据进行窥探或发布似乎源于合来源的恶意软件。因此,身份不足,凭证或密钥管理不足可能导致未经授权的数据访问,并可能对组织或最终用户造成灾难性的损害。


在对众多企业的调查与观察中,我们发现在企业上云的所有安全威胁中,账号密码或 AK (Access Key)泄露是用户最为担心,也是威胁力度最大的问题。


那么如何面对此类威胁,下文将告诉大家通过哪些措施来避免此类威胁所带来的风险。

账号登陆保护

一、建议启用【虚拟 MFA 认证】(多因素认证),在登录时进行二次身份验证;



二、建议启用【密码策略设置】,要求密码长度 10 位以上,包含大小写字母、数字、特殊符号,并且设置密码有效期、历史密码检查策略、密码重置约束策略、子用户登录过期时间;



三、建议启用【登录 IP 保护】,设置登录 IP 白名单,只允许白名单范围 IP 能够登录控制台;



四、建议仅允许通过堡垒机对内部专区的云主机进行远程管理。

账号操作保护

建议启用【操作保护】,在控制台进行关键操作时对操作人进行验证,进一步提高账号安全性。


账号权限保护

一、建议使用 IAM(身份管理与资源访问控制)创建子账号将用户管理、权限管理与资源管理分离;


二、建议主/子账号绑定用户的员工邮箱及手机号,可定位具体自然人;


三、子账号遵循最小授权原则,应授予刚好满足用户工作所需权限,不宜过度授权,一旦遇到风险及时撤销用户权限,例如:



四、不再需要的的用户权限应及时撤销处理。

账号操作审计

建议启用【操作审计】(Audit Trail),保存内部重点账号的所有操作记录,实现精确追踪、还原用户行为审计、资源变更追查及合规审查。

OpenAPI 账号保护

一、v 禁止为根账号创建 AK,由于根账号对名下资源有完全控制权限,为避免因 AK 泄露所带来的灾难性损失;


二、控制台用户与 API 用户分离,禁止一个 IAM 用户同时创建用于控制台操作的登录密码和用于 API 操作的访问密钥,应只给用户创建登录密码,只给系统或应用程序创建访问密钥;


三、子账号 AK 遵循最小授权原则,应授予刚好满足用户工作所需权限,不宜过度授权,例如:



四、应用程序建议启用【IP 白名单】,限制应用程序的访问 IP,所有的数据访问请求应来自于企业内部网络;


五、不再需要的的用户权限应及时撤销处理。

结语

本文介绍了京东云提供的一些账号安全管理最佳实践能力,请掌握并持续遵循这些最佳实践。


2019-10-22 19:131434

评论

发布
暂无评论
发现更多内容

看准六点,帮你选对客户体验管理(CEM)系统

科技怪咖

从事DevOps工作应该掌握哪些语言及工具

穿过生命散发芬芳

DevOps 8月月更

数据库中存媒体文件的字段用什么类型?一文带你了解二进制大对象BLOB

wljslmz

数据库 8月月更

头脑风暴:最长回文子序列

HelloWorld杰少

LeetCode 8月月更

仅用3年!青软集团跃升华为云教育类目伙伴TOP2

科技怪咖

开源一夏 |分布式事务--TCC解决方案

六月的雨在InfoQ

开源 分布式事务 TCC 最终一致性 8月月更

云途加油站 | 一文读懂 Dynatrace 与Amazon Lambda 的“双剑合璧心法”

亚马逊云科技 (Amazon Web Services)

数据库 Serverless Lambda

计算机接口技术复习题(1-6章)

乌龟哥哥

8月月更

[CSS入门到进阶] 外国前端开发者说的 Intrinsic Ratios in css 是什么意思?

HullQin

CSS JavaScript html 前端 8月月更

悲观锁和乐观锁的区别以及实现方式

浅羽技术

Java 面试 面试题 秋招 8月月更

4.0 SDK Workshop 纪实:一起体验多人、多屏幕共享新功能

声网

人工智能 音视频

Flu tter开发小技巧

坚果

开源 8月月更

新元联手倍市得,以数字化手段实现人才公租房项目满意度持续监测

科技怪咖

数衍科技与超市发达成合作,共同探索数字小票的新应用

科技怪咖

基于STM32设计的拼图小游戏

DS小龙哥

8月月更

自动化测试如何解决日志问题

老张

自动化测试 日志处理

皮皮APP夏日防溺水公益讲座 联动武汉长江救援队筑建生命安全线

联营汇聚

解决 Flutter 嵌套过深,是选择函数还是自定义类组件?

岛上码农

flutter ios 前端 安卓开发 8月月更

C/CPP中int和string的互相转换详解与多解例题分析

CtrlX

c c++ 后端 数据类型 8月月更

ARMS实践|日志在可观测场景下的应用

阿里巴巴中间件

阿里云 云原生 可观测

风险组件已经升级到最新版本,仍然提示风险,如何快速解决——kaptcha 安全漏洞

墨菲安全

Kaptcha 漏洞修复 开源安全 漏洞检测 开源安全与治理

直播预告 | PolarDB-X 动手实践系列—— PolarDB-X on OSS 冷热数据分离存储

阿里云数据库开源

数据库 阿里云 开源 分布式 PolarDB-X

老板问我要ROI,我让他先挑宽门or窄门

科技怪咖

每日一R「14」错误处理

Samson

学习笔记 8月月更 ​Rust

微博系统“微博评论”高性能高可用计算架构

张立奎

Python 教程之输入输出(9)—— print() 中的 sep 参数

海拥(haiyong.site)

Python 8月月更

Dockerfile 定制专属镜像

CTO技术共享

【数据结构实践】从0到1带你利用Python实现自定义集合

迷彩

数据结构 集合运算 8月月更 自定义集合

分布式雪花算法

源字节1号

前端开发 后端开发

合成资产赛道风云突变,Linear Finance有望成为最具潜力的黑马

鳄鱼视界

数据点按时间间隔以及数据值分割数据块

waitmoon

算法 SLO

基于京东云的账号安全管理实操_架构_赵猛_InfoQ精选文章