内网应用组建议策略
2、搭建从运维工作地到阿里云的加密运维通道,用户可以在阿里云安全市场购买专业的VPN设备来搭建加密运维通道,保证运维流量不被劫持。
运维用的VPN一般建议采用L2TP/IPSEC VPN,可以采用Site To Site或拨号两种模式。如果是有大量运维人员在固定办公地点办公可以使用Site to Site模式,建立一条从运维办公地到公共云的长连接加密通道,公共云上的安全管理组网段就相当于本地运维网络的延伸。如果运维人员较少并且经常移动办公,可以采用拨号VPN的模式,需要运维时再拨号连入安全管理组网段。当然也可以同时采用这两种模式,兼顾固定地点和移动办公运维。
最后再建议如果使用拨号模式VPN时,一定要启用双因素认证,配合数字证书或动态口令令牌使用,提高VPN接入安全性。
3、使用阿里云RAM,将阿里云主账号与日常运维账号分离,限定运维账号管理权限和范围。这样即使运维账号信息泄露也不会危及整个云基础设施安全。RAM最佳实践如下:
为根账户和RAM用户启用MFA
建议您为根账户绑定MFA,每次使用根账户时都强制使用多因素认证。如果您创建了RAM用户,并且给用户授予了高风险操作权限(比如,停止虚拟机,删除存储桶),那么建议您给RAM用户绑定MFA。详细了解多因素认证请参考管理MFA设备
使用群组给RAM用户分配权限
一般情况下,您不必对RAM用户直接绑定授权策略,更方便的做法是创建与人员工作职责相关的群组(如admins、developers、accounting等),为每个群组绑定合适的授权策略,然后把用户加入这些群组。群组内的所有用户共享相同的权限。这样,如果您需要修改群组内所有人的权限,只需在一处修改即可。当您的组织人员发生调动时,您只需更改用户所属的群组即可。
将用户管理、权限管理与资源管理分离
一个好的分权体系应该支持权力制衡,尽可能地降低安全风险。在使用RAM时,您应该考虑创建不同的RAM用户,其职责分别是RAM用户管理、RAM权限权限、以及各产品的资源操作管理。
为用户登录配置强密码策略
如果您允许用户更改登录密码,那么应该要求他们创建强密码并且定期轮换。您可以通过RAM控制台为RAM用户创建密码策略,如最短长度、是否需要非字母字符、必须进行轮换的频率等等。
定期轮转用户登录密码和访问密钥
建议您或RAM用户要定期轮换登录密码或访问密钥。在您不知情的时候,如果出现凭证泄露,那么凭证的使用期限也是受限制的。您可以通过设置密码策略来强制RAM用户轮换登录密码或访问密钥的周期。
撤销用户不再需要的权限
当一个用户由于工作职责变更而不再使用权限时,您应该及时将该用户的权限进行撤销。这样,如果在不知情的时候,当用户的访问凭证泄露时对您带来的安全风险最小。
将控制台用户与API用户分离
不建议给一个RAM用户同时创建用于控制台操作的登录密码和用于API操作的访问密钥。通常只给员工创建登录密码,给系统或应用程序只创建访问密钥。
使用策略限制条件来增强安全性
建议您给用户授权时设置策略限制条件,这样可以增强安全性。比如,授权用户Alice可以关停ECS实例,限制条件是Alice必须在指定时间、并且您公司网络中执行该操作。
不要为根账户创建访问密钥
由于根账户对名下资源有完全控制权限,所以为了避免因访问密钥泄露所带来的灾难性损失,我们不建议创建根账号访问密钥并使用该密钥进行日常工作。创建根账号的访问密钥需要通过登录阿里云控制台才能完成,该操作需要多因素认证,并且还支持严格的风控检查。只要根账户不主动创建访问密钥,账号名下的资产安全风险可控。
遵循最小授权原则
最小授权原则是安全设计的基本原则。当您需要给用户授权时,请授予刚好满足他工作所需的权限,而不要过渡授权。比如,在您的组织中,如果Developers组员(或者一个应用系统)的工作职责只需要读取OSS存储桶里的数据,那么就只给这个组(或应用系统)授予OSS资源的只读权限,而不要授权OSS资源的所有权限,更不要授予对所有产品资源的访问权限。
4、Linux使用密钥登录,不要使用账号密码登录,一劳永逸的解决账号暴力破解问题。具体配置方法如下:
Ubuntu 14.04.1为例,设置步骤如下:
一、生成密钥的公钥和私钥