阿里云云安全acp认证知识点精讲之云环境安全最佳实践

云环境安全最佳实践

阿里云账号最佳安全实践：

AccessKey是阿里云颁发给用户的一种身份凭证，用于在API调用时进行身份验证。AccessKey是获取用户云资源的钥匙。如果AccessKey泄露，将带来云资源泄露以及被恶意利用等风险。建议您定期检查是否存在AccessKey泄漏。

如果您发现包含AccessKey的敏感信息已在公网泄露，请尽快删除已泄露的代码或信息，并登录阿里云控制台禁用或删除AccessKey。操作步骤如下：

登录阿里云控制台。

单击页面右上角用户菜单下的AccessKey管理。

在安全信息管理页面，单击已泄露的AccessKey操作列表的禁用或删除。

云账号安全实践：

尽量不要使用Github类代码托管服务。特殊情况下，一定要使用的话，建议您自建私有仓库，或搭建企业内部代码托管系统，以防敏感信息泄露，确保代码安全。

采用云上安全产品进行预警、检测，例如使用阿里云提供的云安全中心。云安全中心能够检测到您系统账号的安全漏洞，您可登录到云盾控制台免费开通该服务，并开启自动检测功能。

启用阿里云权限管理机制，包括使用访问控制RAM（Resource Access Management）和阿里云临时安全令牌STS（SecurityToken Service）服务。根据需求使用不同权限的子账号来访问云资源（例如：OSS），或为用户提供访问的临时授权。访问控制更多信息请参见访问控制。阿里云临时安全令牌更多信息请参见阿里云临时安全令牌。

遵循企业上云安全实践，从登录验证、账号授权、权限分配等方面配置RAM，有效地使用RAM进行用户身份管理和资源访问控制。主要的访问控制策略包括：

为主账号和RAM用户启用MFA。

为用户登录配置强密码策略。

定期轮转用户登录密码和访问密钥。

遵循最小授权原则。

使用策略限制条件。

及时撤销用户不再需要的权限。

不要为主账号创建访问密钥。

使用群组给RAM用户分配权限。

将用户管理、权限管理与资源管理分离。

将控制台用户与API用户分离。

遵循OSS安全实践，包括：

不使用主账号访问OSS。

读写分离。

Bucket权限隔离。

使用STS的临时凭证来访问OSS。

在企业内建立安全制度，开展必要的安全意识培训等工作，提升全员安全意识。

点击下方图片可购买阿里云云安全acp认证网络课程，个性化服务，为你的升职加薪之路助力！！！