云上账户安全防护简介

基础安全防护，数据安全防护，应用安全防护都是横向安全防护，这里介绍以下纵向安全防护：云上账户安全防护。云上账户安全防护包括

• 身份认证：Authentication
• 账号管理：Accouont
• 访问授权：authorization
• 操作审计：Aduit
• 应用管理：Application

身份认证

什么是身份认证

身份认证是指通过凭证信息认证用户的真实身份。它通常是指通过登录密码或访问密钥(Access Key，AK)来进行认证

用于身份认证的凭证信息对于用户来讲是秘密信息，用户必须妥善保护好身份凭证信息的安全。

1.账号密码认证

用户可以使用云账号（主账号）或其云账号下RAM用户的密码登录阿里云控制台并对其云上资源进行操作

阿里云的账号密码规范，登录安全风控策略由阿里云统一管理

云账号下子用户（RAM用户）的密码策略可以由客户自己设定

2.Access Key AK 认证

Access Key是用户调用云服务API的身份凭证，用于在用户通过API访问访问阿里云资源时对用户进行身份认证。一个账号可以生产多个Access key，Access Key 可以进行创建，冻结，激活和删除操作

Access Key包括：访问密钥AK ID 和 密码访问密钥AK Secret

• AK ID: 标识用户
• AK Secret：验证用户身份的合法性

3.STS 认证

STS(Security Token Services) 是为RAM用户、阿里云服务、身份提供商等受信实体提供的短期访问资源的权限凭证的云服务

STS 访问令牌是一个三元组

• 安全令牌：Security Token
• 访问密钥ID：Access Key ID
• 密码访问密钥： Access Key Secret

4.MFA认证

MFA是一种简单有效的最佳安全实践方法，它能够在用户名和密码之外再额外增加一层安全保护。启用MFA之后，用户登录阿里云时系统要求输入多重安全要素。

5.SSO认证

阿里云支持基于SAML 2.0的单点登录（Single Sign On，SSO），可以支持企业客户使用企业自由身份系统（作为Indentity Provider）的登录服务登录访问阿里云（作为Service Provider）。

阿里云提供两种SSO机制：

• 用户SSO 
• 角色SSO

6. SSH 密钥对

阿里云SSH密钥对是一种安全便捷的登录认证方式，由公钥和私钥组成，仅支持Linux实例。在本地或者另外一个实例中，用户可以使用私钥通过SSH命令 或 相关工具登录之前有公钥配置的实例，而不需要输入密码

要使用SSH密钥对登录Linux实例，必须先创建一个密钥对，并在创建实例时指定密钥对或者创建实例后绑定密钥对，然后使用私钥连接实例

账号管理

账号安全的指导原则

账号安全的3个指导原则，分别是：登录验证，账号授权，权限分配

账号安全策略

阿里云针对租户账号提供账号登录双因素验证机制MFA，密码安全策略，和审计功能，以确保云服务账号的安全性

访问控制RAM

访问控制RAM

访问控制RAM(Resource Access Management)是阿里云为客户提供的用户身份管理与资源访问控制服务，是一个稳定可靠的集中式访问控制服务。

使用RAM，可以创建、管理用户账号（比如员工，系统或应用程序），并可以控制这些用户账号对名下资源具有的操作权限

RAM的使用场景：

• 集中控制RAM用户及其密钥：在云账号下创建并管理用户及其访问密钥，并可以为用户绑定/解绑多因素认证设备
• 集中控制RAM用户的访问权限：为每个用户或用户组绑定一个或多个授权策略，限制用户对指定资源的操作权限
• 集中控制RAM用户的资源访问方式：要求用户必须使用安全信道（如SSL），指定时间范围，以及在指定源IP条件下才能操作指定的云资源

RAM功能特点

1. 集中式身份管理：提供独立的用户身份管理（IdProvider），支持与其它身份系统（如 企业本地账号）打通以实现SSO
2. 集中式权限管理：精细授权，自由控制
3. 统一访问控制：通过RAM/STS可以控制用户对任意云产品的访问
4. 集中记录用户行为：高清记录所有重要的资源操作
5. 统一账单：所有用户共享主账号的账单

Account + Authentication + Authorization + Audit

RAM应用场景

1. 企业子账号管理与分权
2. 不同企业之间的资源操作与授权管理
3. 云服务之间的资源代理操作与授权管理
4. 身份联盟与授权管理
5. 针对不可信客户端App的临时授权管理

RAM用户与RAM角色

操作审计

堡垒机

堡垒机其实就是一台可以接收SSL/RDP的协议服务器。所有运维人员都需要先远程登录堡垒机，然后从堡垒机登录其它服务器中进行运维操作

阿里云堡垒机是云盾提供的一个核心系统运维和安全审计管控平台。有以下功能

• 操作审计
• 权限控制
• 安全认证
• 高效运维

操作审计Action Trail

阿里云Action Trail为用户提供统一的云资源操作安全日志管理，记录云账号下的用户登录及资源访问操作，包括操作人、操作时间、源IP地址、资源对象、操作名称及操作状态

数据库审计

阿里云数据库审计服务是一款专业，主动，实时监控数据库安全的审计产品，可用于审计阿里云平台中的RDS云数据库，ECS自建数据库和NoSQL数据库