云上账户安全防护简介
基础安全防护,数据安全防护,应用安全防护都是横向安全防护,这里介绍以下纵向安全防护:云上账户安全防护。云上账户安全防护包括
- 身份认证:Authentication
- 账号管理:Accouont
- 访问授权:authorization
- 操作审计:Aduit
- 应用管理:Application
身份认证
什么是身份认证
身份认证是指通过凭证信息认证用户的真实身份。它通常是指通过登录密码或访问密钥(Access Key,AK)来进行认证
用于身份认证的凭证信息对于用户来讲是秘密信息,用户必须妥善保护好身份凭证信息的安全。
1.账号密码认证
用户可以使用云账号(主账号)或其云账号下RAM用户的密码登录阿里云控制台并对其云上资源进行操作
阿里云的账号密码规范,登录安全风控策略由阿里云统一管理
云账号下子用户(RAM用户)的密码策略可以由客户自己设定
2.Access Key AK 认证
Access Key是用户调用云服务API的身份凭证,用于在用户通过API访问访问阿里云资源时对用户进行身份认证。一个账号可以生产多个Access key,Access Key 可以进行创建,冻结,激活和删除操作
Access Key包括:访问密钥AK ID 和 密码访问密钥AK Secret
- AK ID: 标识用户
- AK Secret:验证用户身份的合法性
3.STS 认证
STS(Security Token Services) 是为RAM用户、阿里云服务、身份提供商等受信实体提供的短期访问资源的权限凭证的云服务
STS 访问令牌是一个三元组
- 安全令牌:Security Token
- 访问密钥ID:Access Key ID
- 密码访问密钥: Access Key Secret
4.MFA认证
MFA是一种简单有效的最佳安全实践方法,它能够在用户名和密码之外再额外增加一层安全保护。启用MFA之后,用户登录阿里云时系统要求输入多重安全要素。
5.SSO认证
阿里云支持基于SAML 2.0的单点登录(Single Sign On,SSO),可以支持企业客户使用企业自由身份系统(作为Indentity Provider)的登录服务登录访问阿里云(作为Service Provider)。
阿里云提供两种SSO机制:
- 用户SSO
- 角色SSO
6. SSH 密钥对
阿里云SSH密钥对是一种安全便捷的登录认证方式,由公钥和私钥组成,仅支持Linux实例。在本地或者另外一个实例中,用户可以使用私钥通过SSH命令 或 相关工具登录之前有公钥配置的实例,而不需要输入密码
要使用SSH密钥对登录Linux实例,必须先创建一个密钥对,并在创建实例时指定密钥对或者创建实例后绑定密钥对,然后使用私钥连接实例
账号管理
账号安全的指导原则
账号安全的3个指导原则,分别是:登录验证,账号授权,权限分配
账号安全策略
阿里云针对租户账号提供账号登录双因素验证机制MFA,密码安全策略,和审计功能,以确保云服务账号的安全性
访问控制RAM
访问控制RAM
访问控制RAM(Resource Access Management)是阿里云为客户提供的用户身份管理与资源访问控制服务,是一个稳定可靠的集中式访问控制服务。
使用RAM,可以创建、管理用户账号(比如员工,系统或应用程序),并可以控制这些用户账号对名下资源具有的操作权限
RAM的使用场景:
- 集中控制RAM用户及其密钥:在云账号下创建并管理用户及其访问密钥,并可以为用户绑定/解绑多因素认证设备
- 集中控制RAM用户的访问权限:为每个用户或用户组绑定一个或多个授权策略,限制用户对指定资源的操作权限
- 集中控制RAM用户的资源访问方式:要求用户必须使用安全信道(如SSL),指定时间范围,以及在指定源IP条件下才能操作指定的云资源
RAM功能特点
- 集中式身份管理:提供独立的用户身份管理(IdProvider),支持与其它身份系统(如 企业本地账号)打通以实现SSO
- 集中式权限管理:精细授权,自由控制
- 统一访问控制:通过RAM/STS可以控制用户对任意云产品的访问
- 集中记录用户行为:高清记录所有重要的资源操作
- 统一账单:所有用户共享主账号的账单
Account + Authentication + Authorization + Audit
RAM应用场景
- 企业子账号管理与分权
- 不同企业之间的资源操作与授权管理
- 云服务之间的资源代理操作与授权管理
- 身份联盟与授权管理
- 针对不可信客户端App的临时授权管理
RAM用户与RAM角色
操作审计
堡垒机
堡垒机其实就是一台可以接收SSL/RDP的协议服务器。所有运维人员都需要先远程登录堡垒机,然后从堡垒机登录其它服务器中进行运维操作
阿里云堡垒机是云盾提供的一个核心系统运维和安全审计管控平台。有以下功能
- 操作审计
- 权限控制
- 安全认证
- 高效运维
操作审计Action Trail
阿里云Action Trail为用户提供统一的云资源操作安全日志管理,记录云账号下的用户登录及资源访问操作,包括操作人、操作时间、源IP地址、资源对象、操作名称及操作状态
数据库审计
阿里云数据库审计服务是一款专业,主动,实时监控数据库安全的审计产品,可用于审计阿里云平台中的RDS云数据库,ECS自建数据库和NoSQL数据库