云上账户安全防护简介

基础安全防护,数据安全防护,应用安全防护都是横向安全防护,这里介绍以下纵向安全防护:云上账户安全防护。云上账户安全防护包括

  • 身份认证:Authentication
  • 账号管理:Accouont
  • 访问授权:authorization
  • 操作审计:Aduit
  • 应用管理:Application

云上账户安全防护-编程知识网

身份认证

什么是身份认证

身份认证是指通过凭证信息认证用户的真实身份。它通常是指通过登录密码或访问密钥(Access Key,AK)来进行认证

用于身份认证的凭证信息对于用户来讲是秘密信息,用户必须妥善保护好身份凭证信息的安全。

云上账户安全防护-编程知识网

1.账号密码认证

用户可以使用云账号(主账号)或其云账号下RAM用户的密码登录阿里云控制台并对其云上资源进行操作

阿里云的账号密码规范,登录安全风控策略由阿里云统一管理

云账号下子用户(RAM用户)的密码策略可以由客户自己设定

2.Access Key AK 认证

Access Key是用户调用云服务API的身份凭证,用于在用户通过API访问访问阿里云资源时对用户进行身份认证。一个账号可以生产多个Access key,Access Key 可以进行创建,冻结,激活和删除操作

Access Key包括:访问密钥AK ID 和 密码访问密钥AK Secret

  • AK ID: 标识用户
  • AK Secret:验证用户身份的合法性

3.STS 认证

STS(Security Token Services) 是为RAM用户、阿里云服务、身份提供商等受信实体提供的短期访问资源的权限凭证的云服务

STS 访问令牌是一个三元组

  • 安全令牌:Security Token
  • 访问密钥ID:Access Key ID
  • 密码访问密钥: Access Key Secret

云上账户安全防护-编程知识网

4.MFA认证

MFA是一种简单有效的最佳安全实践方法,它能够在用户名和密码之外再额外增加一层安全保护。启用MFA之后,用户登录阿里云时系统要求输入多重安全要素。

云上账户安全防护-编程知识网

5.SSO认证

阿里云支持基于SAML 2.0的单点登录(Single Sign On,SSO),可以支持企业客户使用企业自由身份系统(作为Indentity Provider)的登录服务登录访问阿里云(作为Service Provider)。

阿里云提供两种SSO机制:

  • 用户SSO 
  • 角色SSO

云上账户安全防护-编程知识网

6. SSH 密钥对

阿里云SSH密钥对是一种安全便捷的登录认证方式,由公钥和私钥组成,仅支持Linux实例。在本地或者另外一个实例中,用户可以使用私钥通过SSH命令 或 相关工具登录之前有公钥配置的实例,而不需要输入密码

要使用SSH密钥对登录Linux实例,必须先创建一个密钥对,并在创建实例时指定密钥对或者创建实例后绑定密钥对,然后使用私钥连接实例

云上账户安全防护-编程知识网

账号管理

账号安全的指导原则

账号安全的3个指导原则,分别是:登录验证,账号授权,权限分配

云上账户安全防护-编程知识网

账号安全策略

阿里云针对租户账号提供账号登录双因素验证机制MFA,密码安全策略,和审计功能,以确保云服务账号的安全性

 云上账户安全防护-编程知识网

访问控制RAM

访问控制RAM

访问控制RAM(Resource Access Management)是阿里云为客户提供的用户身份管理与资源访问控制服务,是一个稳定可靠的集中式访问控制服务

使用RAM,可以创建、管理用户账号(比如员工,系统或应用程序),并可以控制这些用户账号对名下资源具有的操作权限

RAM的使用场景:

  • 集中控制RAM用户及其密钥:在云账号下创建并管理用户及其访问密钥,并可以为用户绑定/解绑多因素认证设备
  • 集中控制RAM用户的访问权限:为每个用户或用户组绑定一个或多个授权策略,限制用户对指定资源的操作权限
  • 集中控制RAM用户的资源访问方式:要求用户必须使用安全信道(如SSL),指定时间范围,以及在指定源IP条件下才能操作指定的云资源

RAM功能特点

  1. 集中式身份管理:提供独立的用户身份管理(IdProvider),支持与其它身份系统(如 企业本地账号)打通以实现SSO
  2. 集中式权限管理:精细授权,自由控制
  3. 统一访问控制:通过RAM/STS可以控制用户对任意云产品的访问
  4. 集中记录用户行为:高清记录所有重要的资源操作
  5. 统一账单:所有用户共享主账号的账单

Account + Authentication + Authorization + Audit

云上账户安全防护-编程知识网

RAM应用场景

  1. 企业子账号管理与分权
  2. 不同企业之间的资源操作与授权管理
  3. 云服务之间的资源代理操作与授权管理
  4. 身份联盟与授权管理
  5. 针对不可信客户端App的临时授权管理

云上账户安全防护-编程知识网

RAM用户与RAM角色

云上账户安全防护-编程知识网

操作审计

堡垒机

堡垒机其实就是一台可以接收SSL/RDP的协议服务器。所有运维人员都需要先远程登录堡垒机,然后从堡垒机登录其它服务器中进行运维操作

云上账户安全防护-编程知识网

阿里云堡垒机是云盾提供的一个核心系统运维和安全审计管控平台。有以下功能

  • 操作审计
  • 权限控制
  • 安全认证
  • 高效运维

云上账户安全防护-编程知识网

操作审计Action Trail

阿里云Action Trail为用户提供统一的云资源操作安全日志管理,记录云账号下的用户登录及资源访问操作,包括操作人、操作时间、源IP地址、资源对象、操作名称及操作状态

云上账户安全防护-编程知识网

数据库审计

阿里云数据库审计服务是一款专业,主动,实时监控数据库安全的审计产品,可用于审计阿里云平台中的RDS云数据库,ECS自建数据库和NoSQL数据库

云上账户安全防护-编程知识网