企業雲上安全事件突發，這五個問題值得運維大佬們日常自查！

引言

近日媒體報道，某SaaS公司由于内部員工惡意删庫，導緻業務停擺、市值蒸發超10億。如何避免類似事件發生，是值得技術和企業管理人員共同關注的問題。從技術上看，核心資料庫的高風險操作保護可以用類似阿裡雲DMS這樣的産品來管理。但是從企業管理的層面看，您企業的雲上賬号是否安全？資源權限是否控制得當？也是值得關注的問題。

通路控制五個自查點

調研機構Cybersecurity Insiders指出，雲安全面臨的Top2威脅就是“濫用員工憑證和不正确的通路控制”。對上雲企業來說，賬号安全和資源合理授權是構築立體防護體系的第一道門鎖。

實際上，許多企業的重視度遠遠不夠，阿裡雲的安全運維專家為您準備了五個通路控制自查問題，您可以看到自己的企業是不是盡可能規避了由于權限過大而引發的潛在風險：

• 使用阿裡雲主賬号進行日常操作
• 為員工建了RAM使用者，但是授權過大
• 對高權限RAM使用者和高危操作沒有通路條件控制
• 沒有定期審計使用者的權限和登入資訊
• 缺乏權限的管理制度和流程

完成了自查，如果您的回答都是“否”，那恭喜您規避了通路控制的主要風險！如果您某一點存在問題，我們為您提供了解決方案。

解決之道

問題一：主賬号濫用

阿裡雲主賬号相當于Linux作業系統的root使用者，具有一個賬号内的全部資源管理權限。如果日常工作中一直使用主賬号，不但有誤操作的風險，還有賬号被盜而導緻的資料洩露、資料被删除等更大的風險。

是以，應該隻有在必須的情況下（如：進行企業實名認證），才應該使用主賬号。您還應該為主賬号設定複雜的密碼，開啟多因素認證（MFA）等保護措施。

關于如何管理主賬号，詳見：

設定主賬号登入密碼 為主賬号設定MFA

在日常工作中，應該使用RAM使用者。通路控制（RAM）是阿裡雲提供的身份和權限管理服務，您可以使用RAM建立多個使用者，授予不同權限并配置設定給不同人員使用。

關于如何建立RAM使用者并授權，詳見：

建立RAM使用者 為RAM使用者授權

了解阿裡雲的主賬号和使用者

問題二：權限過大

這是常見問題，很多企業貪圖操作友善，為所有RAM使用者都配置管理者權限。其中有任何一個賬号被盜，任何一個人誤操作，都有可能造成嚴重的安全事故。正确的做法是根據人員職責，隻為其授予最小夠用的權限。阿裡雲RAM為每個産品提供了隻讀權限和讀寫權限兩個預設權限政策，同時還提供強大的自定義權限政策。您可以根據員工職責授予合适的政策，還可以把相同職責的使用者添加到使用者組，并為使用者組統一授權。

雖然RAM提供了強大的授權能力，但進行過于複雜的權限管理往往也是一件費時費力的苦差事——而且一旦出錯，可能後果嚴重。為了降低權限管理的複雜度，您應該從資源管理入手：思考哪些資源是同一個系統、同一個團隊或同一個環境所使用的，将這些資源加入同一個資源組，相應的使用者就隻需要授予資源組内的管理者或隻讀權限，不必針對單個資源進行授權了。

使用使用者組根據角色進行授權 使用資源組進行按項目的資源授權

了解阿裡雲的授權

問題三：高危操作管控不足

有些使用者擁有較高的權限，有的操作具有較高的危險性，針對這些使用者和操作，管控力度顯然需要更大。除了更仔細的檢查權限配置設定情況，有哪些辦法可以更進一步呢？這裡介紹一種行之有效的通路控制方式，即限制通路發生時的環境條件：

• 限制通路者的登入IP位址
• 限制通路者的登入時間段
• 限制通路方式（HTTPS/HTTP）
• 為通路者設定MFA驗證

基于這些資訊，您可以控制對高危操作的權限生效條件。例如，隻允許通過辦公網IP進行敏感資訊的讀取操作，隻允許使用了MFA認證的使用者進行資源删除操作等。阿裡雲RAM服務内置了基于這些環境條件的授權能力，您可以酌情使用。

問題四：忽視持續合規審計

有了良好的權限控制，您賬号裡的使用者已經可以各司其職的開始工作了。但是仍不能放松警惕，持續性的管理和審計不但是規避風險的重要方式，也是很多行業的合規要求。為了實作這個目的，您需要采取幾個有效的做法：

• 定期在RAM控制台首頁 下載下傳使用者憑證報告 ，擷取賬号中所有使用者的密碼、MFA裝置和AccessKey（程式通路密鑰）的使用情況摘要，進而幫助您及時發現并清理不再使用的使用者或配置錯誤的使用者，以避免不必要的風險。
• 使用 操作審計 産品擷取雲上管控操作的曆史記錄，并進一步導出到OSS對象存儲、LOG日志存儲，以及您自己公司的日志系統中，實作高危操作的審計和報警。
• 阿裡雲的很多産品，如堡壘機、資料庫審計、OSS，提供了針對作業系統、資料庫等的詳細通路日志。您可以通路這些産品進而擷取到日志資訊。
• 阿裡雲日志服務提供了聚合多款産品通路日志資料的日志審計功能。您可以一站式的擷取到所有已經接入的産品日志資訊。

問題五：制度和流程不完善

無論如何細緻的配置設定權限，總有些使用者是需要擷取較高的權限的，例如這次事件中的核心運維同學，沒有權限就無法完成本職工作。是以，純粹的技術手段無法避免一切風險，您還應該思考采取什麼樣的制度和流程，以防範最終的“合法入侵”，例如，我們推薦您至少考慮以下制度和流程：

• 人員和程式使用雲産品的許可制度；
• 權限的申請和審批流程，特别是針對高危權限；
• 内部審查制度；
• 定期對以上制度進行審閱和修正。

總結

以上是由阿裡雲企業IT治理的工程師們結合企業一線的真實問題，整理的關于賬号安全和權限精細化管理的指南。如您有更多疑問，可以通過您對接的阿裡雲從業人員與我們聯系，深入交流；還可以關注公衆号“Aliyun開放平台”，給我們留言提問。

附錄

阿裡雲開放平台官網：

點選前往

RAM通路控制十條最佳實踐：

雲資源管理最佳實踐：

雲上資源操作審計和配置審計實踐：

出品方