簡介：?近日媒體報道，某SaaS公司由于內(nèi)部員工惡意刪庫，導(dǎo)致業(yè)務(wù)停擺、市值蒸發(fā)超10億。如何避免類似事件發(fā)生，是值得技術(shù)和企業(yè)管理人員共同關(guān)注的問題。

引言

近日媒體報道，某SaaS公司由于內(nèi)部員工惡意刪庫，導(dǎo)致業(yè)務(wù)停擺、市值蒸發(fā)超10億。如何避免類似事件發(fā)生，是值得技術(shù)和企業(yè)管理人員共同關(guān)注的問題。從技術(shù)上看，核心數(shù)據(jù)庫的高風(fēng)險操作保護(hù)可以用類似阿里云DMS這樣的產(chǎn)品來管理。但是從企業(yè)管理的層面看，您企業(yè)的云上賬號是否安全？資源權(quán)限是否控制得當(dāng)？也是值得關(guān)注的問題。

訪問控制五個自查點(diǎn)

調(diào)研機(jī)構(gòu)Cybersecurity Insiders指出，云安全面臨的Top2威脅就是“濫用員工憑證和不正確的訪問控制”。對上云企業(yè)來說，賬號安全和資源合理授權(quán)是構(gòu)筑立體防護(hù)體系的第一道門鎖。
實(shí)際上，許多企業(yè)的重視度遠(yuǎn)遠(yuǎn)不夠，阿里云的安全運(yùn)維專家為您準(zhǔn)備了五個訪問控制自查問題，您可以看到自己的企業(yè)是不是盡可能規(guī)避了由于權(quán)限過大而引發(fā)的潛在風(fēng)險：

• 使用阿里云主賬號進(jìn)行日常操作
• 為員工建了RAM用戶，但是授權(quán)過大
• 對高權(quán)限RAM用戶和高危操作沒有訪問條件控制
• 沒有定期審計用戶的權(quán)限和登錄信息
• 缺乏權(quán)限的管理制度和流程

完成了自查，如果您的回答都是“否”，那恭喜您規(guī)避了訪問控制的主要風(fēng)險！如果您某一點(diǎn)存在問題，我們?yōu)槟峁┝私鉀Q方案。

解決之道

問題一：主賬號濫用
阿里云主賬號相當(dāng)于Linux操作系統(tǒng)的root用戶，具有一個賬號內(nèi)的全部資源管理權(quán)限。如果日常工作中一直使用主賬號，不但有誤操作的風(fēng)險，還有賬號被盜而導(dǎo)致的數(shù)據(jù)泄露、數(shù)據(jù)被刪除等更大的風(fēng)險。
因此，應(yīng)該只有在必須的情況下（如：進(jìn)行企業(yè)實(shí)名認(rèn)證），才應(yīng)該使用主賬號。您還應(yīng)該為主賬號設(shè)置復(fù)雜的密碼，開啟多因素認(rèn)證（MFA）等保護(hù)措施。
關(guān)于如何管理主賬號，詳見：
設(shè)置主賬號登錄密碼
為主賬號設(shè)置MFA

在日常工作中，應(yīng)該使用RAM用戶。訪問控制（RAM）是阿里云提供的身份和權(quán)限管理服務(wù)，您可以使用RAM創(chuàng)建多個用戶，授予不同權(quán)限并分配給不同人員使用。
關(guān)于如何創(chuàng)建RAM用戶并授權(quán)，詳見：
創(chuàng)建RAM用戶
為RAM用戶授權(quán)

?

理解阿里云的主賬號和用戶

問題二：權(quán)限過大
這是常見問題，很多企業(yè)貪圖操作方便，為所有RAM用戶都配置管理員權(quán)限。其中有任何一個賬號被盜，任何一個人誤操作，都有可能造成嚴(yán)重的安全事故。正確的做法是根據(jù)人員職責(zé)，只為其授予最小夠用的權(quán)限。阿里云RAM為每個產(chǎn)品提供了只讀權(quán)限和讀寫權(quán)限兩個默認(rèn)權(quán)限策略，同時還提供強(qiáng)大的自定義權(quán)限策略。您可以根據(jù)員工職責(zé)授予合適的策略，還可以把相同職責(zé)的用戶添加到用戶組，并為用戶組統(tǒng)一授權(quán)。
雖然RAM提供了強(qiáng)大的授權(quán)能力，但進(jìn)行過于復(fù)雜的權(quán)限管理往往也是一件費(fèi)時費(fèi)力的苦差事——而且一旦出錯，可能后果嚴(yán)重。為了降低權(quán)限管理的復(fù)雜度，您應(yīng)該從資源管理入手：思考哪些資源是同一個系統(tǒng)、同一個團(tuán)隊或同一個環(huán)境所使用的，將這些資源加入同一個資源組，相應(yīng)的使用者就只需要授予資源組內(nèi)的管理員或只讀權(quán)限，不必針對單個資源進(jìn)行授權(quán)了。
使用用戶組根據(jù)角色進(jìn)行授權(quán)
使用資源組進(jìn)行按項目的資源授權(quán)

?

理解阿里云的授權(quán)

問題三：高危操作管控不足
有些用戶擁有較高的權(quán)限，有的操作具有較高的危險性，針對這些用戶和操作，管控力度顯然需要更大。除了更仔細(xì)的檢查權(quán)限分配情況，有哪些辦法可以更進(jìn)一步呢？這里介紹一種行之有效的訪問控制方式，即限制訪問發(fā)生時的環(huán)境條件：

• 限制訪問者的登錄IP地址
• 限制訪問者的登錄時間段
• 限制訪問方式（HTTPS/HTTP）
• 為訪問者設(shè)置MFA驗(yàn)證

基于這些信息，您可以控制對高危操作的權(quán)限生效條件。例如，只允許通過辦公網(wǎng)IP進(jìn)行敏感信息的讀取操作，只允許使用了MFA認(rèn)證的用戶進(jìn)行資源刪除操作等。阿里云RAM服務(wù)內(nèi)置了基于這些環(huán)境條件的授權(quán)能力，您可以酌情使用。

問題四：忽視持續(xù)合規(guī)審計??
有了良好的權(quán)限控制，您賬號里的用戶已經(jīng)可以各司其職的開始工作了。但是仍不能放松警惕，持續(xù)性的管理和審計不但是規(guī)避風(fēng)險的重要方式，也是很多行業(yè)的合規(guī)要求。為了實(shí)現(xiàn)這個目的，您需要采取幾個有效的做法：

• 定期在RAM控制臺首頁下載用戶憑證報告，獲取賬號中所有用戶的密碼、MFA設(shè)備和AccessKey（程序訪問密鑰）的使用情況摘要，從而幫助您及時發(fā)現(xiàn)并清理不再使用的用戶或配置錯誤的用戶，以避免不必要的風(fēng)險。
• 使用操作審計產(chǎn)品獲取云上管控操作的歷史記錄，并進(jìn)一步導(dǎo)出到OSS對象存儲、LOG日志存儲，以及您自己公司的日志系統(tǒng)中，實(shí)現(xiàn)高危操作的審計和報警。
• 阿里云的很多產(chǎn)品，如堡壘機(jī)、數(shù)據(jù)庫審計、OSS，提供了針對操作系統(tǒng)、數(shù)據(jù)庫等的詳細(xì)訪問日志。您可以訪問這些產(chǎn)品從而獲取到日志信息。
• 阿里云日志服務(wù)提供了聚合多款產(chǎn)品訪問日志數(shù)據(jù)的日志審計功能。您可以一站式的獲取到所有已經(jīng)接入的產(chǎn)品日志信息。

問題五：制度和流程不完善
無論如何細(xì)致的分配權(quán)限，總有些用戶是需要獲取較高的權(quán)限的，例如這次事件中的核心運(yùn)維同學(xué)，沒有權(quán)限就無法完成本職工作。因此，純粹的技術(shù)手段無法避免一切風(fēng)險，您還應(yīng)該思考采取什么樣的制度和流程，以防范最終的“合法入侵”，例如，我們推薦您至少考慮以下制度和流程：

• 人員和程序使用云產(chǎn)品的許可制度；
• 權(quán)限的申請和審批流程，特別是針對高危權(quán)限；
• 內(nèi)部審查制度；
• 定期對以上制度進(jìn)行審閱和修正。

總結(jié)
以上是由阿里云企業(yè)IT治理的工程師們結(jié)合企業(yè)一線的真實(shí)問題，整理的關(guān)于賬號安全和權(quán)限精細(xì)化管理的指南。如您有更多疑問，可以通過您對接的阿里云工作人員與我們聯(lián)系，深入交流；還可以關(guān)注公眾號“Aliyun開放平臺”，給我們留言提問。

?

總結(jié)

以上是生活随笔為你收集整理的企业云上安全事件突发，这五个问题值得运维大佬们日常自查！的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。