腾讯云账号安全管理方案
原创
随着云时代的到来,目前越来越多的企业选择上云,然而企业上云往往面临各种各样的安全威胁,密码泄露、账号共享、数据丢失、系统漏洞、外部攻击等等。
一旦出现这类安全威胁,可能会导致数据丢失,严重情况甚至导致企业高额损失或者破产。
账号安全主要面临的威胁 | |
|---|---|
1.AK/密码/敏感数据泄露 | 2.身份、凭证、访问和密钥管理不足 |
3.不安全的接口和 API | 4.恶意的内部人员 |
5.账户劫持 | 6.数据丢失 |
近来一些大型的安全事故,譬如:
2020年2月23日微盟由于程序员删库导致300万家商户生意基本停摆;
2017年11月美国防部100GB顶级机密数据在某知名云服务商上曝光;
2010年1月百度域名服务器(DNS)被篡改出现11小时访问故障;
2009年由于DNS遭遇黑客攻击,暴风影音曾引发出大规模的断网事件等,数不胜数。
如何才能从根本上降级或者避免因为账号密码泄露及账号权限较大等导致的信息安全风险,腾讯云为企业提供了账号安全管理方案,详细了解如下:
1. 账号概念介绍
1.1 什么是主账号?
腾讯云官网入口注册成功,生成的账号为主账号。
1.2 什么是访问管理CAM?
访问管理(Cloud Access Management,CAM)是腾讯云提供的一套 Web 服务,用于帮助客户安全地管理腾讯云账户的访问权限,资源管理和使用权限。通过 CAM,您可以创建、管理和销毁用户(组),并通过身份管理和策略管理控制哪些账号可以使用哪些腾讯云资源。
支持“CAM”的产品列表:访问管理-支持 CAM 的产品-文档中心-腾讯云
1.3 什么是子用户?
由主账号创建,完全归属于创建该子用户的主账号。
创建指引:访问管理-子用户创建-文档中心-腾讯云
2. 账号安全管理最佳实践
2.1 主账号安全管理最佳实践
2.1.1 主账号安全保管
主账号拥有账号下所有云资源的管理权限,请尽量不要使用主账号的身份凭证访问腾讯云,更不要将身份凭证共享给他人,同时为了避免因访问密钥泄露带来的安全风险,不建议您为主账号创建访问密钥并使用该访问密钥进行日常工作。
2.1.2 账号配置强密码策略
账号密码是保证您账号安全性最重要的凭证,请您妥善保管,并在条件允许的情况下定期更换,建议设置密码策略,例如:密码长度、密码中必须包含元素等。
主账号密码设置请参考:账号密码
2.13 开启 MFA 设备
为增强账号安全性,建议您为账号绑定 MFA,对于支持邮箱登录或者微信登录的强烈推荐进行 MFA 二次验证。
绑定虚拟 MFA 设备的详细操作步骤可以参考如下链接:账号相关 绑定虚拟 MFA 设备 - 操作指南 - 文档中心 - 腾讯云
2.14 开启账号安全保护
为确保账号的安全,确保账号下数据安全,建议开启登录保护、操作保护。
开启账号保护后,登录或者敏感操作时需要进行二次身份校验(验证方式:开启微信扫码验证;启用MFA设备;开启手机验证码校验)。
控制台操作截图:
账号设置操作路径:控制台-账号中心-安全设置-账号保护/操作保护,如下图:
开启后页面显示如图:
2.1.5 开启异地登录保护
异地登录是指账号登录的 IP 地址为非常用登录城市。开启异地登录保护后,系统会根据登录的 IP 地址是否所属常用登录城市进行判断。若账号在非常用城市登录,则需进行身份校验。
异地登录保护设置参考:异地登录保护
控制台操作截图:
账号设置操作路径:控制台-账号中心-安全设置-异地登录保护,如下图:
2.1.6 监控账号的操作记录
您可以使用腾讯云云审计的日志记录功能来确定账户中进行了哪些操作,以及使用了哪些资源。日志文件会显示操作的时间和日期、操作的源 IP、哪些操作因权限不足而失败等。相关信息请参考:查看操作记录。
更多信息
您可以通过下载用户凭证报告获取腾讯云所有子账号及其用户凭证状态,包含控制台登录密码、访问密钥和账号安全设置。您可以使用该报告进行合规性审计。
相关信息请参考:下载安全分析报告
2.2 子账号安全管理最佳实践
2.2.1 使用不同的子账号管理用户、权限和资源
建议同一个子账号不同时管理用户、权限和资源。应该让部分子账户管理用户,部分子账号管理权限,部分子账号管理其他云资源。
相关设置请参考:用户类型
2.2.2 使用组给子账号分配权限
按照工作职责定义好组,并给组分配相应的管理权限。然后把用户分配到对应的组里。这样,当您修改组的权限时,组里相关用户的权限随即发生变更。另外,当组织架构发生调整时,只需要更新用户和组的关系即可。
相关设置请参考:用户组
2.2.3 最小权限原则
最小权限原则是一项标准的安全原则。即仅授予执行任务所需的最小权限,不要授予更多无关权限。例如,一个用户仅是 CDN 服务的使用者,那么不需要将其他服务的资源访问权限(如 COS 读写权限)授予给该用户。
2.2.4 开启子账号安全保护
为增强账号安全性,建议您为所有账号绑定 MFA,为主账号及子账号都开启登录保护和敏感操作保护。对于支持邮箱登录或者微信登录的强烈推荐进行 MFA 二次验证。开启 MFA 后,账号登录及敏感操作需进行二次校验。
相关设置请参考:为协作者设置安全保护、为子用户设置安全保护
控制台截图:
子用户设置操作路径:控制台-账号中心-访问管理-用户-用户列表(点击对应的用户名称)-安全-MFA设置
2.2.5 开启子账号登录限制
您可以为子账号开启异常限制登录(异地登录、30天未登录)或 IP 限制登录(指定 IP 允许登录或者不允许登录)约束子账号在安全环境下登录腾讯云控制台
控制台截图:
子用户设置操作路径:控制台-账号中心-访问管理-用户-用户设置-登录限制
2.2.6 定期轮换身份凭证
建议您或 CAM 用户要定期轮换登录密码或云 API 密钥。这样可以让身份凭证泄漏情况下的影响时间受限。
子用户密码设置请参考:子用户重置密码。
备注:请根据您使用账号类型进行选择对应的安全方案。
子用户权限设置:
创建自定义策略:
使用策略条件来增强安全性:
子用户订阅消息:
设置登录保护:
设置操作保护:
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。