云环境安全最佳实践
阿里云账号最佳安全实践:
AccessKey是阿里云颁发给用户的一种身份凭证,用于在API调用时进行身份验证。AccessKey是获取用户云资源的钥匙。如果AccessKey泄露,将带来云资源泄露以及被恶意利用等风险。建议您定期检查是否存在AccessKey泄漏。
如果您发现包含AccessKey的敏感信息已在公网泄露,请尽快删除已泄露的代码或信息,并登录阿里云控制台禁用或删除AccessKey。操作步骤如下:
登录阿里云控制台。
单击页面右上角用户菜单下的AccessKey管理。
在安全信息管理页面,单击已泄露的AccessKey操作列表的禁用或删除。
云账号安全实践:
尽量不要使用Github类代码托管服务。特殊情况下,一定要使用的话,建议您自建私有仓库,或搭建企业内部代码托管系统,以防敏感信息泄露,确保代码安全。
采用云上安全产品进行预警、检测,例如使用阿里云提供的云安全中心。云安全中心能够检测到您系统账号的安全漏洞,您可登录到云盾控制台免费开通该服务,并开启自动检测功能。
启用阿里云权限管理机制,包括使用访问控制RAM(Resource Access Management)和阿里云临时安全令牌STS(SecurityToken Service)服务。根据需求使用不同权限的子账号来访问云资源(例如:OSS),或为用户提供访问的临时授权。访问控制更多信息请参见访问控制。阿里云临时安全令牌更多信息请参见阿里云临时安全令牌。
遵循企业上云安全实践,从登录验证、账号授权、权限分配等方面配置RAM,有效地使用RAM进行用户身份管理和资源访问控制。主要的访问控制策略包括:
为主账号和RAM用户启用MFA。
为用户登录配置强密码策略。
定期轮转用户登录密码和访问密钥。
遵循最小授权原则。
使用策略限制条件。
及时撤销用户不再需要的权限。
不要为主账号创建访问密钥。
使用群组给RAM用户分配权限。
将用户管理、权限管理与资源管理分离。
将控制台用户与API用户分离。
遵循OSS安全实践,包括:
不使用主账号访问OSS。
读写分离。
Bucket权限隔离。
使用STS的临时凭证来访问OSS。
在企业内建立安全制度,开展必要的安全意识培训等工作,提升全员安全意识。
热门:阿里云ACP认证考试费用 | 阿里云ACP认证方向 | 阿里云ACP认证证书有效期
推荐:阿里云ACP认证视频课程 | 阿里云ACP认证网络课堂 | 阿里云ACP认证考试大纲下载 | 阿里云ACP网络班招生方案