不同的企業(yè)管理模式可能導(dǎo)致身份權(quán)限管理中面對(duì)不同的風(fēng)險(xiǎn)，常見的風(fēng)險(xiǎn)如下：

• 高權(quán)限風(fēng)險(xiǎn)。活躍的管控賬號(hào)直接為主賬號(hào)或具備管理員權(quán)限的子賬號(hào)，可能給運(yùn)維人員的誤操作提供了更大的空間，對(duì)資源錯(cuò)誤的變更、釋放、主機(jī)升級(jí)都可能造成業(yè)務(wù)中斷。

• 較弱的認(rèn)證機(jī)制和密碼策略。這可能增加賬號(hào)被盜用的可能性，進(jìn)而遭到惡意破壞和數(shù)據(jù)竊取。

• 閑置的有效賬號(hào)。長期閑置的具備一定權(quán)限的賬號(hào)可能是離職員工的曾用賬號(hào)，閑置賬號(hào)不及時(shí)回收可能成為安全管理的盲區(qū)，被惡意利用。

• 缺乏操作審計(jì)監(jiān)管。企業(yè)不監(jiān)控和收集云上的訪問事件，將無法及時(shí)發(fā)現(xiàn)訪問事件背后的惡意意圖，如高頻的登錄失敗、無權(quán)限訪問、異常訪問等。在真正發(fā)生惡意操作后也難以復(fù)盤和追責(zé)。

企業(yè)的權(quán)限管理人員在日常工作中可能需要解答下面幾個(gè)問題：

• 為什么需要進(jìn)行身份權(quán)限風(fēng)險(xiǎn)治理？收益是什么？

• 應(yīng)該什么時(shí)候采取風(fēng)險(xiǎn)治理措施？

企業(yè)應(yīng)根據(jù)云上運(yùn)維人員數(shù)量、運(yùn)維人員的工作邊界、需托管的業(yè)務(wù)數(shù)量、需托管的云上IT規(guī)模、具體托管的業(yè)務(wù)內(nèi)容等實(shí)際情況來制定自己的身份權(quán)限治理基線，以下提供較通用的基線策略，可以作為參考：

• 賬號(hào)基本安全

  • 為云賬號(hào)開啟多因素認(rèn)證（MFA）。

  • 避免使用主賬號(hào)訪問密鑰（AK）。

• 使用訪問控制

  • 使用云平臺(tái)的訪問控制產(chǎn)品。避免直接使用主賬號(hào)，通過創(chuàng)建子賬號(hào)并授予最小必要權(quán)限來進(jìn)行云上管控。

  • 為所有子賬號(hào)開啟多因素認(rèn)證（MFA）。

  • 限定云上活躍的子賬號(hào)和角色白名單。

  • 必須采用強(qiáng)密碼策略。

    • 密碼有效期不超過90天。

    • 密碼最小長度不小于8位。

    • 密碼中必須包含大小寫字母、數(shù)字、特殊符號(hào)。

    • 禁止使用前3次使用過的密碼。

    • 一小時(shí)內(nèi)最多允許輸入5次錯(cuò)誤密碼進(jìn)行登錄。

  • 避免同一個(gè)子賬號(hào)同時(shí)具備控制臺(tái)登錄權(quán)限和AK訪問權(quán)限。

  • 避免存在空的用戶組和未放入用戶組的子賬號(hào)，對(duì)用戶組授權(quán)避免直接對(duì)子賬號(hào)授權(quán)。

  • 避免長期存在未授權(quán)的子賬號(hào)，或未綁定到子賬號(hào)的權(quán)限策略。

  • 僅為有限的人員設(shè)置管理員權(quán)限，并嚴(yán)格禁止賬號(hào)共享使用。

  • 預(yù)定義固定的用戶名、角色名和相應(yīng)權(quán)限，變更時(shí)收到告警并自動(dòng)修復(fù)。

  • 使用Policy Conditions精確權(quán)限的生效條件，例如：

    • 使用IP條件，限制僅能在公司或通過VPN來管控阿里云資源。

    • 使用時(shí)間條件，限制僅允許在工作時(shí)間進(jìn)行資源變更。

• 充分審計(jì)

  • 將所有賬號(hào)的操作事件統(tǒng)一歸集到權(quán)限隔離的審計(jì)賬號(hào)，并做安全分析。

  • 當(dāng)認(rèn)證協(xié)議和密碼策略發(fā)現(xiàn)變更時(shí)需收到告警。

  • 當(dāng)根賬號(hào)活躍時(shí)收到告警。

  • 定期對(duì)比子賬號(hào)實(shí)際操作行為和授權(quán)策略，避免冗余授權(quán)。

• 持續(xù)治理

  • 使用云上具備監(jiān)控和持續(xù)檢測能力的治理工具。

  • 開啟云平臺(tái)推薦的治理基線，結(jié)合企業(yè)自身實(shí)際需求實(shí)現(xiàn)自定義策略。