干货 | 京东云帐号安全管理最佳实践
在对众多企业的调查与观察中,咱们发如今企业上云的全部安全威胁中,帐号密码或AK (Access Key)泄露是用户最为担忧,也是威胁力度最大的问题。安全
那么如何面对此类威胁,下文将告诉你们经过哪些措施来避免此类威胁所带来的风险。网络
帐号登录保护
**1、**建议启用【虚拟MFA认证】(多因素认证),在登陆时进行二次身份验证;3d
**2、**建议启用【密码策略设置】,要求密码长度10位以上,包含大小写字母、数字、特殊符号,而且设置密码有效期、历史密码检查策略、密码重置约束策略、子用户登陆过时时间;cdn
**3、**建议启用【登陆IP保护】,设置登陆IP白名单,只容许白名单范围IP可以登陆控制台;blog
**4、**建议仅容许经过堡垒机对内部专区的云主机进行远程管理。资源
帐号操做保护
建议启用【操做保护】,在控制台进行关键操做时对操做人进行验证,进一步提升帐号安全性。get
帐号权限保护
**1、**建议使用IAM(身份管理与资源访问控制)建立子帐号将用户管理、权限管理与资源管理分离;it
**2、**建议主/子帐号绑定用户的员工邮箱及手机号,可定位具体天然人;io
**3、**子帐号遵循最小受权原则,应授予恰好知足用户工做所需权限,不宜过分受权,一旦遇到风险及时撤销用户权限,例如:class
**4、**再也不须要的的用户权限应及时撤销处理。
帐号操做审计
建议启用【操做审计】(Audit Trail),保存内部重点帐号的全部操做记录,实现精确追踪、还原用户行为审计、资源变动追查及合规审查。
OpenAPI帐号保护
**1、**禁止为根帐号建立AK,因为根帐号对名下资源有彻底控制权限,为避免因AK泄露所带来的灾难性损失;
**2、**控制台用户与API用户分离,禁止一个IAM用户同时建立用于控制台操做的登陆密码和用于API操做的访问密钥,应只给用户建立登陆密码,只给系统或应用程序建立访问密钥;
**3、**子帐号AK遵循最小受权原则,应授予恰好知足用户工做所需权限,不宜过分受权,例如:
**4、**应用程序建议启用【IP白名单】,限制应用程序的访问IP,全部的数据访问请求应来自于企业内部网络;
**5、**再也不须要的的用户权限应及时撤销处理。
结语
本文介绍了京东云提供的一些帐号安全管理最佳实践能力,请掌握并持续遵循这些最佳实践。
点击“阅读原文”
使用京东云来体验最佳实践