身份和访问控制
在整体的云上安全架构设计中,用户的账户安全是贯穿始终的一个重要维度。 其中,身份和访问控制是云计算环境下非常重要的安全措施,良好的身份和权限的设计,能够确保只有授权的身份才能够在指定的条件下访问对应的云资源。它涉及到识别用户和身份(身份验证),确定该身份可以访问哪些资源(授权),以及审计相应身份的访问
2024-07-10
浏览:1000+
账号设计
账号规划及职能说明如下:企业管理账号:用于多账号管理,在该账号中启用资源目录并构建账号树,具备统一设置审计、管控策略等规则并下发到各成员账号等管理职能。该账号一般也作为财务主账号,与其它账号建立财务关联关系后对企业财务进行统一管理。安全账号:给企业的安全角色使用,用于配置相关安全产品,如Web应用防火墙
2024-07-10
浏览:1000+
基础架构安全实施最佳实践
网络、账号和工作负载是企业客户在使用云时最先接触到的云资源,云提供了便利性的同时,企业仍要高度重视安全性,避免为了提供更便利的服务牺牲安全性。建议在业务上云初期,对网络规划、账号体系设计进行充分的考量和咨询,并进行有效的检测和评估。阿里云提供了企业上云最佳实践咨询。对企业来说,将业务迁移到阿里云时,
2024-07-10
浏览:1000+
工作负载架构风险
工作负载是指在云端提供业务支撑的服务,如ECS、Kubernetes 、容器等,工作负载架构风险是指工作负载为了提供业务支持所选择的部署方式、网络连接方式、访问控制等操作面临的风险,具体如ECS直接绑定公网IP提供互联网服务,但该操作有可能被攻击者利用。常见的工作负载架构风险如下:类别影响因素风险级别可能导致的风险未经
2024-07-10
浏览:1000+
账号体系风险
和在IDC面临的风险不同,在云上基于云平台的账号体系访问云资源,包含了用户界面和机器界面(使用API或SDK访问云资源),账号体系风险的定义是由于身份滥用、授权过度、AccessKey泄露导致的被不合法用户合法使用云资源、数据泄露、系统稳定性等的风险。阿里云以往为客户处理的安全事件中,租户侧因为账号安全问题引发的网络
2024-07-10
浏览:1000+
网络架构风险
和在IDC面临的风险一样,在云上需要设计网络架构,以便减小网络暴露面和因为网络架构设计不合理导致的网络攻击。网络架构的风险是指由于网络分段、资产暴露、DMZ区设计不合理导致的网络被任意用户访问、内部接口或地址可以被互联网访问,攻击者可以轻松从互联网获取企业资产和应用的信息带来的风险。在云端常见的网络架构风
2024-07-10
浏览:1000+
安全设计原则
最小化原则安全最小化原则是最基本的原则之一,对外提供的服务越少,安全风险越小。当企业基于云的SaaS、PaaS、IaaS构建业务系统时,需时刻遵循安全最小化原则,包括:网络最小化原则:尽可能少的开放公网访问入口,尽可能小范围的控制端口开放,尽可能的使用VPC或子网对网络进行最小分段,并进行网段的隔离和监控;身份最小
2024-07-10
浏览:1000+
模拟攻击验证
为了验证应急响应的流程、分类、预案和响应剧本,企业还可以采取红蓝军的方式对核心业务系统发起模拟攻击,从而验证企业整体的应急响应水平。企业红队:红队也称之为攻击队,在模拟攻击验证过程中,红队会扮演攻击者角色,从黑客攻防视角出发,根据ATT&CK攻击链,对靶标系统进行模拟入侵,在入侵过程中不仅可以验证企业
2024-07-10
浏览:1000+
自动化应急响应执行
自动化应急响应剧本的设计和执行能够帮助企业安全运营和管理人员在应急事件发生的第一时间快速行动起来,通常情况下根据应急事件的分类可以设定一些自动化的剧本触发条件和剧本策略。并将剧本和SIEM等相关事件告警类的产品进行配合。可以设定自动化应急响应剧本的常见应急事件:DDoS攻击类事件:DDoS攻击事件发生后可触发DD
2024-07-10
浏览:1000+
应急响应预案
应急响应预案包含应急响应的流程和处理办法,通常情况下应急响应的流程至少应包含如下阶段:监控和发现应急事件确认漏洞、事件的真实性确认漏洞、事件的影响面、责任人和相关业务确认响应方案,延缓攻击或止血方案等事件分析、溯源、信息记录事件复盘
2024-07-10
浏览:1000+
