企业云上安全事件突发,这五个问题值得运维大佬们日常自查!
簡介:?近日媒體報道,某SaaS公司由于內部員工惡意刪庫,導致業務停擺、市值蒸發超10億。如何避免類似事件發生,是值得技術和企業管理人員共同關注的問題。
引言
近日媒體報道,某SaaS公司由于內部員工惡意刪庫,導致業務停擺、市值蒸發超10億。如何避免類似事件發生,是值得技術和企業管理人員共同關注的問題。從技術上看,核心數據庫的高風險操作保護可以用類似阿里云DMS這樣的產品來管理。但是從企業管理的層面看,您企業的云上賬號是否安全?資源權限是否控制得當?也是值得關注的問題。
訪問控制五個自查點
調研機構Cybersecurity Insiders指出,云安全面臨的Top2威脅就是“濫用員工憑證和不正確的訪問控制”。對上云企業來說,賬號安全和資源合理授權是構筑立體防護體系的第一道門鎖。
實際上,許多企業的重視度遠遠不夠,阿里云的安全運維專家為您準備了五個訪問控制自查問題,您可以看到自己的企業是不是盡可能規避了由于權限過大而引發的潛在風險:
- 使用阿里云主賬號進行日常操作
- 為員工建了RAM用戶,但是授權過大
- 對高權限RAM用戶和高危操作沒有訪問條件控制
- 沒有定期審計用戶的權限和登錄信息
- 缺乏權限的管理制度和流程
完成了自查,如果您的回答都是“否”,那恭喜您規避了訪問控制的主要風險!如果您某一點存在問題,我們為您提供了解決方案。
解決之道
問題一:主賬號濫用
阿里云主賬號相當于Linux操作系統的root用戶,具有一個賬號內的全部資源管理權限。如果日常工作中一直使用主賬號,不但有誤操作的風險,還有賬號被盜而導致的數據泄露、數據被刪除等更大的風險。
因此,應該只有在必須的情況下(如:進行企業實名認證),才應該使用主賬號。您還應該為主賬號設置復雜的密碼,開啟多因素認證(MFA)等保護措施。
關于如何管理主賬號,詳見:
設置主賬號登錄密碼
為主賬號設置MFA
在日常工作中,應該使用RAM用戶。訪問控制(RAM)是阿里云提供的身份和權限管理服務,您可以使用RAM創建多個用戶,授予不同權限并分配給不同人員使用。
關于如何創建RAM用戶并授權,詳見:
創建RAM用戶
為RAM用戶授權
?
理解阿里云的主賬號和用戶
問題二:權限過大
這是常見問題,很多企業貪圖操作方便,為所有RAM用戶都配置管理員權限。其中有任何一個賬號被盜,任何一個人誤操作,都有可能造成嚴重的安全事故。正確的做法是根據人員職責,只為其授予最小夠用的權限。阿里云RAM為每個產品提供了只讀權限和讀寫權限兩個默認權限策略,同時還提供強大的自定義權限策略。您可以根據員工職責授予合適的策略,還可以把相同職責的用戶添加到用戶組,并為用戶組統一授權。
雖然RAM提供了強大的授權能力,但進行過于復雜的權限管理往往也是一件費時費力的苦差事——而且一旦出錯,可能后果嚴重。為了降低權限管理的復雜度,您應該從資源管理入手:思考哪些資源是同一個系統、同一個團隊或同一個環境所使用的,將這些資源加入同一個資源組,相應的使用者就只需要授予資源組內的管理員或只讀權限,不必針對單個資源進行授權了。
使用用戶組根據角色進行授權
使用資源組進行按項目的資源授權
?
理解阿里云的授權
問題三:高危操作管控不足
有些用戶擁有較高的權限,有的操作具有較高的危險性,針對這些用戶和操作,管控力度顯然需要更大。除了更仔細的檢查權限分配情況,有哪些辦法可以更進一步呢?這里介紹一種行之有效的訪問控制方式,即限制訪問發生時的環境條件:
- 限制訪問者的登錄IP地址
- 限制訪問者的登錄時間段
- 限制訪問方式(HTTPS/HTTP)
- 為訪問者設置MFA驗證
基于這些信息,您可以控制對高危操作的權限生效條件。例如,只允許通過辦公網IP進行敏感信息的讀取操作,只允許使用了MFA認證的用戶進行資源刪除操作等。阿里云RAM服務內置了基于這些環境條件的授權能力,您可以酌情使用。
問題四:忽視持續合規審計??
有了良好的權限控制,您賬號里的用戶已經可以各司其職的開始工作了。但是仍不能放松警惕,持續性的管理和審計不但是規避風險的重要方式,也是很多行業的合規要求。為了實現這個目的,您需要采取幾個有效的做法:
- 定期在RAM控制臺首頁下載用戶憑證報告,獲取賬號中所有用戶的密碼、MFA設備和AccessKey(程序訪問密鑰)的使用情況摘要,從而幫助您及時發現并清理不再使用的用戶或配置錯誤的用戶,以避免不必要的風險。
- 使用操作審計產品獲取云上管控操作的歷史記錄,并進一步導出到OSS對象存儲、LOG日志存儲,以及您自己公司的日志系統中,實現高危操作的審計和報警。
- 阿里云的很多產品,如堡壘機、數據庫審計、OSS,提供了針對操作系統、數據庫等的詳細訪問日志。您可以訪問這些產品從而獲取到日志信息。
- 阿里云日志服務提供了聚合多款產品訪問日志數據的日志審計功能。您可以一站式的獲取到所有已經接入的產品日志信息。
問題五:制度和流程不完善
無論如何細致的分配權限,總有些用戶是需要獲取較高的權限的,例如這次事件中的核心運維同學,沒有權限就無法完成本職工作。因此,純粹的技術手段無法避免一切風險,您還應該思考采取什么樣的制度和流程,以防范最終的“合法入侵”,例如,我們推薦您至少考慮以下制度和流程:
- 人員和程序使用云產品的許可制度;
- 權限的申請和審批流程,特別是針對高危權限;
- 內部審查制度;
- 定期對以上制度進行審閱和修正。
總結
以上是由阿里云企業IT治理的工程師們結合企業一線的真實問題,整理的關于賬號安全和權限精細化管理的指南。如您有更多疑問,可以通過您對接的阿里云工作人員與我們聯系,深入交流;還可以關注公眾號“Aliyun開放平臺”,給我們留言提問。
?
總結
以上是生活随笔為你收集整理的企业云上安全事件突发,这五个问题值得运维大佬们日常自查!的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Java经典面试题整理及答案详解(五)
- 下一篇: 在地理文本处理技术上,高德有哪些技巧?