安全实践教程

最近更新时间:2024-10-22 17:15:21

我的收藏

安全设置概述

在企业的实际应用场景中,随着业务的开展,账号下会有越来越多的资源,也会有不同部门、不同岗位的员工需要访问腾讯云,这让企业对资源的安全管理有了强烈需求,需要建立安全、完善的资源控制体系。
不同岗位的员工分工不同,各司其职。
相同岗位的员工管理的资源可能不同。
员工对资源的访问方式多种多样,资源泄露风险高。
员工离开组织时,需要收回其对资源的访问权限。
员工账号使用情况需要进行回溯和审计。
通过访问管理 CAM,您可以统一分配账号权限、集中管控账号资源,遵循我们的安全设置建议,建立安全、完善的资源权限管理体系。

安全设置建议

1. 使用子账号访问腾讯云

请尽量不要使用主账号的身份凭证访问腾讯云,更不要将身份凭证共享给他人。一般情况下,应该为所有访问腾讯云的用户创建子账号,同时授权该子账号相应的管理权限。相关设置请参见:用户类型

2. 使用组给子账号分配权限

按照工作职责定义好组,并给组分配相应的管理权限。然后把用户分配到对应的组里。这样,当您修改组的权限时,组里相关用户的权限随即发生变更。另外,当组织架构发生调整时,只需要更新用户和组的关系即可。相关设置请参见:用户组

3. 使用不同的子账号管理用户、权限和资源

建议同一个子账号不同时管理用户、权限和资源。应该让部分子账号管理用户,部分子账号管理权限,部分子账号管理其他云资源。
不建议为一个 CAM 用户同时创建用于控制台操作的登录密码和用于 API 调用的访问密钥。具体如下:
编程访问:只需要通过 API 访问资源,创建访问密钥即可。
腾讯云控制台访问:只需要通过控制台操作资源,设置登录密码即可。

4. 为用户开启 SSO 单点登录功能

开启 SSO 单点登录后,企业内部账号进行统一的身份认证,实现使用企业本地账号登录并访问腾讯云云资源。
相关信息请参见:用户 SSO 概述

5. 最小权限原则

最小权限原则是一项标准的安全原则。即仅授予执行任务所需的最小权限,不要授予更多无关权限。例如,一个用户仅是 CDN 服务的使用者,那么不需要将其他服务的资源访问权限(如 COS 读写权限)授予给该用户。

6. 为 CAM 用户配置强密码策略

您可以通过 CAM 控制台设置密码策略,例如:密码长度、密码中必须包含元素等。如果允许 CAM 用户更改登录密码,则应该要求 CAM 用户创建强密码并且定期轮换登录密码或访问密钥。

7. 不要为腾讯云主账号创建访问密钥

访问密钥用于 API 调用访问,登录密码用于控制台访问,两者具有同样的权限。由于主账号对名下资源有完全控制权限,为了避免因访问密钥泄露带来的安全风险,不建议您为主账号创建访问密钥并使用该访问密钥进行日常工作。
您可以为 CAM 用户创建访问密钥,使用 CAM 用户进行日常工作。
相关操作请参见:子账号访问密钥管理

8. 开启 MFA 保护

为增强账号安全性,建议您为所有账号绑定 MFA,为主账号及子账号都开启登录保护和敏感操作保护。对于支持邮箱登录或者微信登录的强烈推荐进行 MFA 二次验证。开启 MFA 后,账号登录及敏感操作需进行二次校验。相关设置请参见:为协作者设置安全保护为子用户设置安全保护

9. 定期轮换身份凭证

建议您或 CAM 用户要定期轮换登录密码或云 API 密钥。这样可以让身份凭证泄露情况下的影响时间受限。
主账号密码设置请参见:账号密码
子用户密码设置请参见:子用户重置密码

10. 删除不需要的证书和权限

删除用户不需要的证书以及用户不再需要的权限。尽量减少访问凭证泄露后带来的安全风险。

11. 使用策略条件来增强安全性

尽可能的为策略定义更精细化的条件,约束策略生效的场景,强化安全性。如约束用户必须在指定的时间,指定的服务器上执行某些操作等。
相关设置请参见:元素参考 condition

12. 监控 CAM 账号的操作记录

您可以使用 腾讯云操作审计 的日志记录功能来确定 CAM 用户在您的账户中进行了哪些操作,以及使用了哪些资源。日志文件会显示操作的时间和日期、操作的源 IP、哪些操作因权限不足而失败等。相关信息请参见:查看操作记录
遵循最佳安全设置建议,在使用腾讯云时,综合利用这些保护机制,建立安全完善的资源控制体系,可以更有效地保护账号及资产的安全。

更多信息

您可以通过下载用户凭证报告获取腾讯云所有子账号及其用户凭证状态,包含控制台登录密码、访问密钥和账号安全设置。您可以使用该报告进行合规性审计。相关信息请参见:下载安全分析报告