ER安全最佳实践
无论用户通过ER控制台还是API、SDK访问ER,都会要求访问请求方出示身份凭证,并进行身份合法性校验,同时提供登录保护和登录验证策略加固身份认证安全。ER服务基于统一身份认证服务(Identity and Access Management,IAM),支持四种身份认证方式:用户名密码、访问密钥、临时访问密钥、AccessCode凭证。同时还提供登录保护及登录验证策略。
- 建议使用临时AK/SK进行业务处理,减小凭证泄漏导致数据泄露的风险
使用ER API或SDK查询指标、告警等资源时,都需要进行身份凭证认证,用于确保请求的机密性、完整性和请求者身份的正确性。建议您为应用程序或服务配置IAM委托或临时AK/SK,通过IAM委托可以获取一组临时AK/SK,临时AK/SK到期自动过期失效,可以有效降低凭证泄露造成的数据泄露风险。详情请参见临时访问密钥和通过委托获取临时AK/SK。
- 定期轮转永久AK/SK减小凭证泄漏导致数据泄露的风险
如您必须使用永久AK/SK,建议对永久AK/SK进行定期凭证轮转,同时加密存储,避免凭证长期使用过程中预置的明文凭证泄露导致数据泄露。详情请参见访问密钥。
- 定期修改用户名密码,避免弱密码
定期重置密码是提高系统和应用程序安全性的重要措施之一,不仅可以降低密码泄露的风险,还可以帮助用户满足合规要求,减少内部威胁,提高用户的安全意识。同时建议您配置密码的复杂度,避免使用弱密码。详情请参见密码策略。
- 建议关闭“自动接受共享连接”功能
在云服务或企业网络环境中,ER作为跨网络互联的核心设备,若配置不当可能引发安全风险。当ER实例被共享给其他账号,即多账号使用同一个ER时,自动接受共享连接可能导致未经授权的网络访问或异常配置,从而成为攻击者渗透的入口。提供如下操作建议:
- 关闭“自动接受共享连接”功能
创建企业路由器时,默认关闭“自动接受共享连接”功能,具体操作请参见创建企业路由器。
- 限制用户权限
所有者将ER实例共享给其他账号使用时,基于资源访问管理服务(Resource Access Manager,RAM)共享机制,其他账号的使用者创建连接时,需要所有者接受申请后才可以创建成功。
建议您限制指定角色可接受连接创建申请,在IAM权限管理控制台中设置自定义权限策略,示例如下:{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "er:attachments:accept" ] } ] }
- 关闭“自动接受共享连接”功能