乾貨 | 京東雲賬號安全管理最佳實踐
在對眾多企業的調查與觀察中,我們發現在企業上雲的所有安全威脅中,賬號密碼或AK (Access Key)洩露是使用者最為擔心,也是威脅力度最大的問題。
那麼如何面對此類威脅,下文將告訴大家透過哪些措施來避免此類威脅所帶來的風險。
賬號 登陸 保護
一、
建議啟用【虛擬MFA認證】(多因素認證),在登入時進行二次身份驗證;
二、 建議啟用【密碼策略設定】,要求密碼長度10位以上,包含大小寫字母、數字、特殊符號,並且設定密碼有效期、歷史密碼檢查策略、密碼重置約束策略、子使用者登入過期時間;
三、 建議啟用【登入IP保護】,設定登入IP白名單,只允許白名單範圍IP能夠登入控制檯;
四、 建議僅允許透過堡壘機對內部專區的雲主機進行遠端管理。
賬號 操作 保護
建議啟用【操作保護】,在控制檯進行關鍵操作時對操作人進行驗證,進一步提高賬號安全性。
賬號 許可權 保護
一、 建議使用IAM(身份管理與資源訪問控制)建立子賬號將使用者管理、許可權管理與資源管理分離;
二、 建議主/子賬號繫結使用者的員工郵箱及手機號,可定位具體自然人;
三、 子賬號遵循最小授權原則,應授予剛好滿足使用者工作所需許可權,不宜過度授權,一旦遇到風險及時撤銷使用者許可權,例如:
四、
不再需要的的使用者許可權應及時撤銷處理。
賬號 操作審計
建議啟用【操作審計】(Audit Trail),儲存內部重點賬號的所有操作記錄,實現精確追蹤、還原使用者行為審計、資源變更追查及合規審查。
OpenAPI 賬號保護
一、 禁止為根賬號建立AK,由於根賬號對名下資源有完全控制許可權,為避免因AK洩露所帶來的災難性損失;
二、 控制檯使用者與API使用者分離,禁止一個IAM使用者同時建立用於控制檯操作的登入密碼和用於API操作的訪問金鑰,應只給使用者建立登入密碼,只給系統或應用程式建立訪問金鑰;
三、 子賬號AK遵循最小授權原則,應授予剛好滿足使用者工作所需許可權,不宜過度授權,例如:
四、 應用程式建議啟用【IP白名單】,限制應用程式的訪問IP,所有的資料訪問請求應來自於企業內部網路;
五、 不再需要的的使用者許可權應及時撤銷處理。
結語
本文介紹了京東雲提供的一些賬號安全管理最佳實踐能力,請掌握並持續遵循這些最佳實踐。
點選“ 閱讀原文 ”
使用京東雲來體驗最佳實踐
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69912185/viewspace-2647589/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 乾貨 | 京東雲部署Wordpress最佳實踐
- 乾貨 | 京東雲域名註冊及備案最佳實踐
- 前端乾貨之JS最佳實踐前端JS
- 【乾貨】分庫分表最佳實踐
- 實現容器安全管理的最佳實踐
- 京東雲TiDB SQL最佳化的最佳實踐TiDBSQL
- 京東雲Kubernetes叢集最佳實踐
- 乾貨 | 獨創分散式網路負載均衡最佳實踐分散式負載
- 無影雲電腦居家辦公最佳實踐(便捷賬號)
- 乾貨|敏捷實踐重構敏捷
- MongoDB最佳安全實踐MongoDB
- Dockerfile 安全最佳實踐Docker
- 網路安全管理-使用者賬號
- 京東雲的雲原生理念及 Serverless 最佳實踐Server
- HTTPS安全最佳實踐HTTP
- HTTPS最佳安全實踐HTTP
- 乾貨分享,如何做好抖音自媒體?打造百萬級賬號
- Git 最佳實踐:分支管理Git
- 乾貨 | 移動安全管理多場景全解析
- 7個API安全最佳實踐API
- 20 個 OpenSSH 最佳安全實踐
- 乾貨 | 京東雲資料庫RDS SQL Server高可用概述資料庫SQLServer
- 搜狐號多賬號管理工具,管理多個自媒體賬號
- Nacos配置管理最佳實踐
- Java 日誌管理最佳實踐Java
- Maven最佳實踐:管理依賴Maven
- 乾貨 | CDN搭配OSS最佳實踐 ——搭建動靜態分離的應用架構應用架構
- 【乾貨分享】研效最佳化實踐:AI演算法助力深層BUG挖掘AI演算法
- 奈學乾貨分享:分散式CAP實踐分析分散式
- 乾貨:PHP與大資料開發實踐PHP大資料
- 技術乾貨|品高雲的SDN實踐
- Kubernetes 最佳安全實踐指南
- [譯]使用者賬戶、授權和密碼管理的 12 個最佳實踐密碼
- 京東短網址高可用提升最佳實踐 | 京東雲技術團隊
- 大魚號多賬號管理工具,管理200+自媒體賬號
- Docker容器日誌管理最佳實踐Docker
- lerna管理前端packages的最佳實踐前端Package
- 事務管理最佳實踐全面解析