“身份、凭证和访问管理不足”是云安全联盟（CSA）在 2018 年“云计算 TOP-12 威胁”报告中排名前列的严重安全问题。（这里的严重是指：用户关注度高以及问题出现后的损失较大）云计算安全联盟表示，恶意行为者会伪装成合法用户、操作员或开发人员可以读取，修改和删除数据; 对传输中的数据进行窥探或发布似乎源于合来源的恶意软件。因此，身份不足，凭证或密钥管理不足可能导致未经授权的数据访问，并可能对组织或最终用户造成灾难性的损害。

在对众多企业的调查与观察中，我们发现在企业上云的所有安全威胁中，账号密码或 AK (Access Key)泄露是用户最为担心，也是威胁力度最大的问题。

那么如何面对此类威胁，下文将告诉大家通过哪些措施来避免此类威胁所带来的风险。

账号登陆保护

一、建议启用【虚拟 MFA 认证】(多因素认证)，在登录时进行二次身份验证；

二、建议启用【密码策略设置】，要求密码长度 10 位以上，包含大小写字母、数字、特殊符号，并且设置密码有效期、历史密码检查策略、密码重置约束策略、子用户登录过期时间；

三、建议启用【登录 IP 保护】，设置登录 IP 白名单，只允许白名单范围 IP 能够登录控制台；

四、建议仅允许通过堡垒机对内部专区的云主机进行远程管理。

账号操作保护

建议启用【操作保护】，在控制台进行关键操作时对操作人进行验证，进一步提高账号安全性。

账号权限保护

一、建议使用 IAM(身份管理与资源访问控制)创建子账号将用户管理、权限管理与资源管理分离；

二、建议主/子账号绑定用户的员工邮箱及手机号，可定位具体自然人；

三、子账号遵循最小授权原则，应授予刚好满足用户工作所需权限，不宜过度授权，一旦遇到风险及时撤销用户权限，例如：

四、不再需要的的用户权限应及时撤销处理。

账号操作审计

建议启用【操作审计】(Audit Trail)，保存内部重点账号的所有操作记录，实现精确追踪、还原用户行为审计、资源变更追查及合规审查。

OpenAPI 账号保护

一、v 禁止为根账号创建 AK，由于根账号对名下资源有完全控制权限，为避免因 AK 泄露所带来的灾难性损失；

二、控制台用户与 API 用户分离,禁止一个 IAM 用户同时创建用于控制台操作的登录密码和用于 API 操作的访问密钥，应只给用户创建登录密码，只给系统或应用程序创建访问密钥；

三、子账号 AK 遵循最小授权原则，应授予刚好满足用户工作所需权限，不宜过度授权，例如：

四、应用程序建议启用【IP 白名单】，限制应用程序的访问 IP，所有的数据访问请求应来自于企业内部网络；

五、不再需要的的用户权限应及时撤销处理。

结语

本文介绍了京东云提供的一些账号安全管理最佳实践能力，请掌握并持续遵循这些最佳实践。