簡介：云上身份安全是當今企業管理者和云上運維團隊所面臨的挑戰之一，針對云上身份管理不全面所產生的風險究竟又哪些？又應當如何應對？本文將結合案例和最佳實踐與您分享。

引言

云上身份安全是當今企業管理者和云上運維團隊所面臨的挑戰之一。例如員工離職后發現權限未收回，惡意刪除了大規模應用造成企業損失慘重；又比如員工密鑰泄露導致被惡意攻擊，造成數據泄漏，服務中斷等影響。這些真實且震撼的案例還有許多，針對云上身份管理不全面所產生的風險究竟又哪些？又應當如何應對？本文將結合案例和最佳實踐與您分享。

從員工入職到離職，進行賬號的全生命周期管理

典型場景一

員工離職是一個典型的身份管理場景， 員工離職后，企業沒有回收或清理員工對于賬號的訪問，離職的員工依然可以持續訪問和管控企業在云上的資源和數據。將直接導致企業的數據泄漏；如果離職員工蓄意破壞，將直接導致企業的服務中斷，造成企業形象、經濟損失。

如何回收離職員工的訪問權限？遵循「先禁用，后刪除」原則

1. 禁用離職員工賬號的控制臺登錄。

禁用控制臺登錄會較快的將共用賬號的問題暴露出來。如果存在共用的情況，首先重置密碼止血，再為共用的員工分配新賬號。

2. 查看離職員工賬號下是否持有永久AK。

如果有，則先凍結AK的訪問。員工的賬號中的AK是不能用在生產系統中。如果不確定員工賬號下的AK是否有在生產系統中使用，可以在用戶的AK列表中查看最近使用時間。如果某把AK最近訪問時間至今已經有一段時間，則可以放心禁用。如果上一次訪問之間至今時間較短。則可以配合ActionTrail的能力，排查訪問的服務，以確認是否有使用在生產系統中。如果有使用，則盡快做輪轉。

3. 先禁用再刪除。

在禁用完離職員工賬號訪問控制臺以及API的訪問能力后，通過ActionTrail服務的能力，持續監控一段時間是否有活躍，如果在一段時間內沒有活躍動作（登錄或API調用），則可將用戶及其密鑰刪除。

典型場景二

企業員工在使用阿里云RAM用戶的時候，會設置用戶的密碼作為登錄控制臺的憑證。可能由于密碼保存不當，共享密碼、被釣魚等方式造成泄漏。通過審計的方式發現有異常登錄的情況，或者發現有不熟悉的IAM賬號，非自己創建的資源等。均有可能是密碼泄漏導致。密碼泄漏的問題可導致攻擊者冒充員工身份進行資源創建和刪除操作，數據讀取等操作。造成數據泄漏，服務中斷等影響。

如何處置員工密碼泄漏？兩步快速止血

1. 通過重置用戶的密碼進行登錄阻斷，防止攻擊者使用已經泄漏的密碼進一步登錄。

2. 通過審計日志檢查是否有新創建的賬號或AK。如果有，則對新生成的賬號禁用登錄，并禁用AK。

如何防止密碼泄漏？三招降低風險

1. 加強密碼本身保護是重中之重，從創建用戶那刻開始：

-設置足夠的密碼強度，設置密碼復用的限制。減少弱密碼或舊密碼的時候

-設置密碼的過期時間，定期更換密碼。

-對于登錄密碼錯誤設置嚴格的阻斷策略。一段時間內密碼錯誤次數過多將凍結登錄。

2. 登錄保護，啟用MFA：

MFA為除密碼以外的新的認證因素。當用戶密碼嚴重通過后，還需要輸入正確的MFA Code才可以驗證通過。阿里云的MFA是基于TOTP協議的動態口令，每30秒生成一個新的6位數口令。當密碼泄漏被攻擊者使用，攻擊者無法獲取MFA動態口令也將導致登錄失敗。

3. 審計異常的登錄行為：

通過ActionTrail中的登錄成功和失敗的日志，通過UA，IP等方式定位疑似異常登錄行為的用戶。并通過重置密碼，啟用MFA等方式進行保護。

在阿里云，進行員工入職，離職場景身份管理的最佳實踐

一家企業的員工入職和離職，涉及到分配云平臺的賬號的時候。云上的賬號身份的生命周期管理需要和本地的員工的身份管理統一處理。

用戶入職

-分配新賬號：通過阿里云控制臺或集成IMS OpenAPI同步創建用戶，不要與其他用戶共用，否則將導致不可審計，無法回收權限的問題。

-為賬號分配密碼：在目錄級別配置密碼強度及合適的密碼生命周期，為用戶創建合適的密碼，開啟MFA，配置合適的登錄策略

-為賬號分配密鑰：區分員工使用的賬號和服務使用的賬號，員工使用的賬號開啟永久AK，使用CloudShell替代。服務使用的賬號保護好AK Secret，有條件定期做輪轉。

員工離職

-遵循先禁用，后刪除的原則，禁用用戶的控制臺登錄，禁用用戶的AK，有問題可及時回滾配置。

-通過OpenAPI的方式集成在本地IDP，或通過控制臺的方式進行關聯操作。

-離職員工刪除：人員離職一段時間后，通過CredentialReport和ActionTrail的審計日志確認不活躍后，刪除不活躍的賬號和AK。

生命周期內定期審計

使用ActionTrail和CredentialReport，對員工的賬號活躍度以及操作記錄做持續審計，發現不活躍的賬號并及時整改。

一勞永逸的解決身份管理和認證的統一問題

通常在企業內，分配和回收員工的工作由HR的系統觸發，(或企業自己的云管平臺觸發)，上云賬號的管理員/系統接受到了這個事件后，人肉/系統自動分配或回收用戶的登錄權限。但是這里可能要依賴人肉管理，或依賴企業開發系統去實現。因此也給企業的管理帶來了額外的管理和研發審計的成本。一旦忘記操作或系統存在bug，將給企業的數據安全和生產穩定性帶來風險。

那么，有沒有更好的辦法，不額外給員工頒發阿里云RAM用戶的登錄密碼，將登錄認證集中在企業本地的員工系統？答案是有的，企業可以通過使用以下兩種方式將身份管理和身份認證統一到本地IDP進行集中管理：

方案一：使用SSO將身份認證統一到本地IDP。

阿里云作為SP（Service provider），支持SAML協議。企業本地身份系統可以使用SAML 協議，打通本地到云上的控制臺訪問。無需在云上額外的為用戶配置訪問控制臺的認證方式。

企業的管理員首先配置好企業本地IDP和阿里云賬號的信任關系，用戶在企業本地IDP認證完成后，企業IDP向阿里云發起SAML SSO。基于配置好的信任關系，阿里云側按照SAML SSO中描述的身份信息和session信息生成登錄態。完成了指定身份的登錄。目前登錄行為包含兩種方式：

1）基于RAM用戶的SAML SSO

企業用戶通過OpenAPI或SCIM將企業員工的信息同步到云上，通過SAML Response中指定的用戶確定阿里云RAM的用戶，以指定用戶的身份登錄到阿里云上。好處是以RAM用戶的身份登錄到阿里云的控制臺，權限可以根據用戶做定制。

2）基于RAM角色的SAML SSO

企業通過OpenAPI或控制臺創建角色并授予權限，通過SAML Response中指定的角色確定阿里云的RAM的角色，以指定角色的身份登錄到阿里云上。好處是以RAM角色的身份登錄到阿里云的控制臺，無需配置額外的身份，企業員工可以共用角色。

企業基于這兩種方式SSO到阿里云控制臺，只需在本地的IDP維護認證信息，無需為員工在阿里云的RAM賬號上創建密碼。員工只需要保管好自己在企業IDP中的密碼即可。同時當員工發生離職后，企業只需要回收本地員工的賬號，員工無法直接訪問云端的賬號。

方案二：使用IMS OpenAPI/SCIM將員工身份管理統一到本地IDP

IMS 提供OpenAPI供企業管理系統集成，當本地員工發生入職，離職或調崗的時候，可以通過IMS 的OpenAPI在云端進行異步的管理動作。
企業服務如果支持SCIM，可以通過RAM提供的SCIM接口，自動的管理用戶的新增和刪除操作。（員工對應的賬號的AK不要用于生產系統，如果企業員工發生離職或者調崗，觸發了云端賬號的刪除動作，將直接刪除賬號。對應的AK一并刪除。如果員工賬號的AK用于生產系統，可能直接導致故障）。

總結

阿里云企業IT治理身份管理高級技術專家冬山結合產品研發和客戶服務的經驗總結了核心原則：“對于身份管理的最佳實踐，核心是『統一管理身份和認證』，并『進行定期的用戶認證審計』?！?/p>

原文鏈接

本文為阿里云原創內容，未經允許不得轉載

總結

以上是生活随笔為你收集整理的谈身份管理之进阶篇的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。