简介： 云上身份平安是当今企业管理者和云上运维团队所面临的挑战之一，针对云上身份治理不全面所产生的危险到底又哪些？又该当如何应答？本文将联合案例和最佳实际与您分享。

引言

云上身份平安是当今企业管理者和云上运维团队所面临的挑战之一。例如员工到职后发现权限未发出，歹意删除了大规模利用造成企业损失惨重；又比方员工密钥泄露导致被歹意攻打，造成数据透露，服务中断等影响。这些实在且震撼的案例还有许多，针对云上身份治理不全面所产生的危险到底又哪些？又该当如何应答？本文将联合案例和最佳实际与您分享。

从员工入职到到职，进行账号的全生命周期治理

典型场景一

员工到职是一个典型的身份治理场景，员工到职后，企业没有回收或清理员工对于账号的拜访，到职的员工仍然能够继续拜访和管控企业在云上的资源和数据。将间接导致企业的数据透露；如果到职员工蓄意毁坏，将间接导致企业的服务中断，造成企业形象、经济损失。

如何回收到职员工的拜访权限？遵循「先禁用，后删除」准则

1. 禁用到职员工账号的控制台登录。

禁用控制台登录会较快的将共用账号的问题裸露进去。如果存在共用的状况，首先重置明码止血，再为共用的员工调配新账号。

2. 查看到职员工账号下是否持有永恒 AK。

如果有，则先解冻 AK 的拜访。员工的账号中的 AK 是不能用在生产零碎中。如果不确定员工账号下的 AK 是否有在生产零碎中应用，能够在用户的 AK 列表中查看最近应用工夫。如果某把 AK 最近拜访工夫至今曾经有一段时间，则能够释怀禁用。如果上一次拜访之间至今工夫较短。则能够配合 ActionTrail 的能力，排查拜访的服务，以确认是否有应用在生产零碎中。如果有应用，则尽快做轮转。

3. 先禁用再删除。

在禁用完到职员工账号拜访控制台以及 API 的拜访能力后，通过 ActionTrail 服务的能力，继续监控一段时间是否有沉闷，如果在一段时间内没有沉闷动作（登录或 API 调用），则可将用户及其密钥删除。

典型场景二

企业员工在应用阿里云 RAM 用户的时候，会设置用户的明码作为登录控制台的凭证。可能因为明码保留不当，共享明码、被钓鱼等形式造成透露。通过审计的形式发现有异样登录的状况，或者发现有不相熟的 IAM 账号，非本人创立的资源等。均有可能是明码透露导致。明码透露的问题可导致攻击者假冒员工身份进行资源创立和删除操作，数据读取等操作。造成数据透露，服务中断等影响。

如何处理员工明码透露？两步疾速止血

1. 通过重置用户的明码进行登录阻断，避免攻击者应用曾经透露的明码进一步登录。
2. 通过审计日志查看是否有新创建的账号或 AK。如果有，则对新生成的账号禁用登录，并禁用 AK。

如何避免明码透露？三招升高危险

1. 增强明码自身爱护是重中之重，从创立用户那刻开始：

- 设置足够的明码强度，设置明码复用的限度。缩小弱明码或旧明码的时候

- 设置明码的过期工夫，定期更换明码。

- 对于登录明码谬误设置严格的阻断策略。一段时间内明码谬误次数过多将解冻登录。

1. 登录爱护，启用 MFA：

MFA 为除明码以外的新的认证因素。当用户明码重大通过后，还须要输出正确的 MFA Code 才能够验证通过。阿里云的 MFA 是基于 TOTP 协定的动静口令，每 30 秒生成一个新的 6 位数口令。当明码透露被攻击者应用，攻击者无奈获取 MFA 动静口令也将导致登录失败。

1. 审计异样的登录行为：

通过 ActionTrail 中的登录胜利和失败的日志，通过 UA，IP 等形式定位疑似异样登录行为的用户。并通过重置明码，启用 MFA 等形式进行爱护。

在阿里云，进行员工入职，到职场景身份治理的最佳实际

一家企业的员工入职和到职，波及到调配云平台的账号的时候。云上的账号身份的生命周期治理须要和本地的员工的身份治理对立解决。

用户入职

- 调配新账号：通过阿里云控制台或集成 IMS OpenAPI 同步创立用户，不要与其余用户共用，否则将导致不可审计，无奈回收权限的问题。

- 为账号调配明码：在目录级别配置明码强度及适合的明码生命周期，为用户创立适合的明码，开启 MFA，配置适合的登录策略

- 为账号调配密钥：辨别员工应用的账号和服务应用的账号，员工应用的账号开启永恒 AK，应用 CloudShell 代替。服务应用的账号爱护好 AK Secret，有条件定期做轮转。

员工到职

- 遵循先禁用，后删除的准则，禁用用户的控制台登录，禁用用户的 AK，有问题可及时回滚配置。

- 通过 OpenAPI 的形式集成在本地 IDP，或通过控制台的形式进行关联操作。

- 到职员工删除：人员到职一段时间后，通过 CredentialReport 和 ActionTrail 的审计日志确认不沉闷后，删除不沉闷的账号和 AK。

生命周期内定期审计

应用 ActionTrail 和 CredentialReport，对员工的账号活跃度以及操作记录做继续审计，发现不沉闷的账号并及时整改。

一劳永逸的解决身份治理和认证的对立问题

通常在企业内，调配和回收员工的工作由 HR 的零碎触发，(或企业本人的云管平台触发)，上云账号的管理员 / 零碎承受到了这个事件后，人肉 / 零碎主动调配或回收用户的登录权限。然而这里可能要依赖人肉治理，或依赖企业开发零碎去实现。因而也给企业的治理带来了额定的治理和研发审计的老本。一旦遗记操作或零碎存在 bug，将给企业的数据安全和生产稳定性带来危险。

那么，有没有更好的方法，不额定给员工颁发阿里云 RAM 用户的登录明码，将登录认证集中在企业本地的员工零碎？答案是有的，企业能够通过应用以下两种形式将身份治理和身份认证对立到本地 IDP 进行集中管理：

计划一：应用 SSO 将身份认证对立到本地 IDP。

阿里云作为 SP（Service provider），反对 SAML 协定。企业本地身份零碎能够应用 SAML 协定，买通本地到云上的控制台拜访。无需在云上额定的为用户配置拜访控制台的认证形式。

企业的管理员首先配置好企业本地 IDP 和阿里云账号的信赖关系，用户在企业本地 IDP 认证实现后，企业 IDP 向阿里云发动 SAML SSO。基于配置好的信赖关系，阿里云侧依照 SAML SSO 中形容的身份信息和 session 信息生成登录态。实现了指定身份的登录。目前登录行为蕴含两种形式：

1）基于 RAM 用户的 SAML SSO

企业用户通过 OpenAPI 或 SCIM 将企业员工的信息同步到云上，通过 SAML Response 中指定的用户确定阿里云 RAM 的用户，以指定用户的身份登录到阿里云上。益处是以 RAM 用户的身份登录到阿里云的控制台，权限能够依据用户做定制。

2）基于 RAM 角色的 SAML SSO

企业通过 OpenAPI 或控制台创立角色并授予权限，通过 SAML Response 中指定的角色确定阿里云的 RAM 的角色，以指定角色的身份登录到阿里云上。益处是以 RAM 角色的身份登录到阿里云的控制台，无需配置额定的身份，企业员工能够共用角色。

企业基于这两种形式 SSO 到阿里云控制台，只需在本地的 IDP 保护认证信息，无需为员工在阿里云的 RAM 账号上创立明码。员工只须要保存好本人在企业 IDP 中的明码即可。同时当员工产生到职后，企业只须要回收本地员工的账号，员工无奈间接拜访云端的账号。

计划二：应用 IMS OpenAPI/SCIM 将员工身份治理对立到本地 IDP

• IMS 提供 OpenAPI 供企业管理系统集成，当本地员工产生入职，到职或调岗的时候，能够通过 IMS 的 OpenAPI 在云端进行异步的治理动作。
• 企业服务如果反对 SCIM，能够通过 RAM 提供的 SCIM 接口，主动的治理用户的新增和删除操作。（员工对应的账号的 AK 不要用于生产零碎，如果企业员工产生到职或者调岗，触发了云端账号的删除动作，将间接删除账号。对应的 AK 一并删除。如果员工账号的 AK 用于生产零碎，可能间接导致故障）。

总结

阿里云企业 IT 治理身份治理高级技术专家冬山联合产品研发和客户服务的经验总结了外围准则：“对于身份治理的最佳实际，外围是『对立治理身份和认证』，并『进行定期的用户认证审计』。”

原文链接
本文为阿里云原创内容，未经容许不得转载