亚马逊云科技：拥抱安全可扩展的访问管理新时代

最新推荐文章于 2024-09-13 23:49:25 发布

taibaili2023

最新推荐文章于 2024-09-13 23:49:25 发布

阅读量292

点赞数 5

文章标签： aws

本文链接：https://blog.csdn.net/weixin_46812959/article/details/141113933

版权

关键字: [云安全凭证管理, 临时访问密钥, 身份验证机制, 权限控制策略, 安全合规审计]

本文字数: 1400, 阅读完需: 7 分钟

导读

于洋先生在演讲中讨论了如何告别使用静态凭证,采用更安全的方式访问亚马逊云服务。他解释了静态凭证的风险,如直接嵌入代码或共享给他人使用。他介绍了亚马逊云科技提供的替代方案,如IM角色、单点登录服务IM Identity Center和IM Role Anywhere,能够实现临时有效且经过验证的访问。这些方案使亚马逊云科技能够实现更安全可扩展的访问管理,避免静态凭证泄露的风险,提高云服务的安全性。

演讲精华

以下是小编为您整理的本次演讲的精华，共1100字，阅读时间大约是6分钟。

在当今时代,云计算的普及使得企业和个人越来越多地依赖云服务来存储数据、运行应用程序和执行各种任务。然而,访问云资源需要使用安全凭证,这些凭证就像家门的钥匙,打开了通往云资源的大门。传统的静态凭证使用方式存在诸多安全隐患,因此亚马逊云科技(亚马逊云科技)提出了一种全新的安全可扩展的访问管理模式,旨在帮助用户更安全地使用云资源。

首先,我们需要了解传统的静态凭证是什么。它由访问密钥(Access Key)和秘密访问密钥(Secret Access Key)两部分组成,就像一个ID加上一个密码。在访问云时,会使用这两个密钥进行多次哈希计算和签名验证,以确保访问的合法性。然而,这种静态凭证的使用方式存在一些问题和风险。

最常见的做法是,用户将访问密钥和秘密访问密钥直接硬编码在代码中,这样代码就直接拥有访问云的权限,无论是访问数据库还是存储,都可以直接通过程序访问,非常方便。另一种做法是,用户将这些密钥存储在个人办公电脑上,然后直接从电脑访问云,无需额外的密钥或密码。有些用户甚至将密钥文件存储在云上的计算环境配置文件中,以便在云上使用。最极端的情况是,用户申请了一个密钥,然后共享给同事使用,同事又转手给其他人,最终这个密钥就在社会上流传开来,而用户自己却浑然不知。

这些做法都存在潜在的安全风险,任何一种情况下,如果密钥泄露,都可能导致云资源被非法访问和破坏。因此,我们需要以更谨慎的态度对待静态凭证,尽量减少使用,并采取有效的管理措施。

为此,亚马逊云科技在今年的一个大会上提出了一个五步走的方法论,逐步梳理和替代静态凭证的使用。

第一步是清理检查。亚马逊云科技推出了IAM Analyzer工具,可以快速发现整个云账号中所有静态安全凭证的使用情况和使用周期。同时,Amazon Config配置管理工具可以检查出在亚马逊云科技云环境中使用静态密钥的所有资产清单。有了这两个工具,用户就可以清楚地了解自己账号中静态凭证的使用状况。

第二步是删除或降低风险。对于发现的长期未使用的静态凭证,亚马逊云科技建议直接删除或停用。即使必须使用静态凭证,亚马逊云科技也为每一种使用场景提供了替代方案,如编程访问云可使用临时凭证、跨账号访问可使用角色等。在创建新的静态凭证时,亚马逊云科技会提示用户考虑是否真的需要创建,并给出对应的替代建议。

举一个生动的例子,静态凭证就像我们上班需要的工卡。如果忘记带工卡,我们会申请一个临时工卡,使用当天后需要归还。这个临时工卡的作用,就相当于亚马逊云科技推荐使用的临时访问凭证,是一个短期有效且经过验证的临时密钥,而不是长期使用的固定身份ID。

第三步是替代。亚马逊云科技提供了多种服务,帮助用户彻底替代静态凭证的使用。无论是在亚马逊云科技云上的计算资源(虚拟机、容器或无服务器服务)、其他非云环境(数据中心或其他云厂商)还是人工访问场景,都可以使用这些替代服务获取临时的访问凭证,而不再需要静态密钥。

其中,Amazon Identity Center单点登录服务允许员工使用多因素认证获取临时凭证,可以完全替代存储在个人电脑上的静态密钥。Amazon Web Services IAM Roles Anywhere服务则支持在多云混合环境下安全访问亚马逊云科技,通过共同信任的CA证书进行身份验证,获取临时凭证。这些服务都与亚马逊云科技的托管服务集成,用户只需记录一套账号密码,就可以一键访问所有服务,无需再记录多套凭证。

第四步是治理。亚马逊云科技希望用户能够将安全使用凭证的做法制度化,形成日常习惯。首先,创建新凭证时需要经过审批流程,确认是否真的需要。其次,对资源和相关实体添加标记,方便后续审计和管理。同时,要为必须使用的静态凭证设置使用条件限制,如限制可访问的IP地址范围等。此外,建立凭证轮换机制,尽量将凭证分配给机器使用,而不是人工使用。亚马逊云科技还提供了相应的解决方案来帮助搭建审批流程。

第五步是应急响应。一旦发现凭证泄露,亚马逊云科技可以通过组织策略和服务快速吊销相关凭证的访问权限,第一时间控制风险,防止进一步恶意破坏。

通过这五步走的方法论,亚马逊云科技为用户拥抱安全可扩展的访问管理新时代指明了方向。演讲者最后呼吁用户尝试梳理自身的凭证使用情况,逐步替代不安全的做法,建立完善的凭证管理机制,充分利用亚马逊云科技提供的各种创新解决方案,以更安全的方式使用云资源。

下面是一些演讲现场的精彩瞬间：

总结

亚马逊云科技正在推动一场安全可扩展的出海访问管理新时代。传统的静态安全凭证(AK/SK)存在诸多安全隐患,如硬编码在代码中、存储在个人电脑或配置文件中等。亚马逊云科技提出了一种更安全的临时访问凭证方案,即通过IAM角色、Amazon Identity Center和IAM Roaming Anywhere等服务获取短期有效且经过验证的临时访问密钥,从而彻底摆脱静态凭证的使用。这种方案不仅适用于云上计算资源,还可应用于非云环境和人工访问场景,真正实现了安全可扩展的出海访问管理。

亚马逊云科技建议用户清理并降低静态凭证的使用风险,在创建新凭证时优先考虑临时访问凭证方案。同时,亚马逊云科技还提供了相关的治理措施,如审批流程、标签管理、责任定义等,帮助用户养成良好的访问管理习惯。一旦发现凭证泄露,亚马逊云科技也有快速解决的方案。亚马逊云科技呼吁用户共同拥抱这种安全可扩展的出海访问管理新时代,以更安全、更高效的方式使用云服务。