本月累计签到次数:

今天获取 积分

6

云,这个云数据安全到底怎么解决,数据在第三方如何杜绝第三方使用我们的数据呢

已邀请 :
4

机器人王子

赞同来自 : 阿祥 爱智造 长征 昌炜

我们不是这个方面的专家,但是参考阿里云的安全专家的文章;目前云存储的安全性问题,保密性问题 ;保密性问题又分为文件,数据库,密钥保护等问题分别对应有不同的加密算法;还需要进一步深入研究。参考如下:
 
从运维安全的角度出发使用VPC网络还需要再对VPC网络内部网段进行划分,一般建议分为三个网段:互联网应用组、内网应用组、安全管理组。

三个网段之间采用安全组隔离,并设置相应的访问控制策略,限制所有实例SSH、RDP等运维管理端口只允许安全管理组访问。建议策略如下:
使用群组给RAM用户分配权限

一般情况下,您不必对RAM用户直接绑定授权策略,更方便的做法是创建与人员工作职责相关的群组(如admins、developers、accounting等),为每个群组绑定合适的授权策略,然后把用户加入这些群组。群组内的所有用户共享相同的权限。这样,如果您需要修改群组内所有人的权限,只需在一处修改即可。当您的组织人员发生调动时,您只需更改用户所属的群组即可。

将用户管理、权限管理与资源管理分离

一个好的分权体系应该支持权力制衡,尽可能地降低安全风险。在使用RAM时,您应该考虑创建不同的RAM用户,其职责分别是RAM用户管理、RAM权限权限、以及各产品的资源操作管理。

为用户登录配置强密码策略

如果您允许用户更改登录密码,那么应该要求他们创建强密码并且定期轮换。您可以通过RAM控制台为RAM用户创建密码策略,如最短长度、是否需要非字母字符、必须进行轮换的频率等等。

定期轮转用户登录密码和访问密钥

建议您或RAM用户要定期轮换登录密码或访问密钥。在您不知情的时候,如果出现凭证泄露,那么凭证的使用期限也是受限制的。您可以通过设置密码策略来强制RAM用户轮换登录密码或访问密钥的周期。

撤销用户不再需要的权限

当一个用户由于工作职责变更而不再使用权限时,您应该及时将该用户的权限进行撤销。这样,如果在不知情的时候,当用户的访问凭证泄露时对您带来的安全风险最小。

将控制台用户与API用户分离

不建议给一个RAM用户同时创建用于控制台操作的登录密码和用于API操作的访问密钥。通常只给员工创建登录密码,给系统或应用程序只创建访问密钥。

使用策略限制条件来增强安全性

建议您给用户授权时设置策略限制条件,这样可以增强安全性。比如,授权用户Alice可以关停ECS实例,限制条件是Alice必须在指定时间、并且您公司网络中执行该操作。

不要为根账户创建访问密钥

由于根账户对名下资源有完全控制权限,所以为了避免因访问密钥泄露所带来的灾难性损失,我们不建议创建根账号访问密钥并使用该密钥进行日常工作。创建根账号的访问密钥需要通过登录阿里云控制台才能完成,该操作需要多因素认证,并且还支持严格的风控检查。只要根账户不主动创建访问密钥,账号名下的资产安全风险可控。

遵循最小授权原则

最小授权原则是安全设计的基本原则。当您需要给用户授权时,请授予刚好满足他工作所需的权限,而不要过渡授权。比如,在您的组织中,如果Developers组员(或者一个应用系统)的工作职责只需要读取OSS存储桶里的数据,那么就只给这个组(或应用系统)授予OSS资源的只读权限,而不要授权OSS资源的所有权限,更不要授予对所有产品资源的访问权限。

要回复问题请先登录注册