文档首页/ 企业路由器 ER/ 最佳实践/ ER安全最佳实践
更新时间:2025-04-10 GMT+08:00

ER安全最佳实践

无论用户通过ER控制台还是API、SDK访问ER,都会要求访问请求方出示身份凭证,并进行身份合法性校验,同时提供登录保护和登录验证策略加固身份认证安全。ER服务基于统一身份认证服务(Identity and Access Management,IAM),支持四种身份认证方式:用户名密码、访问密钥、临时访问密钥、AccessCode凭证。同时还提供登录保护登录验证策略

  1. 建议使用临时AK/SK进行业务处理,减小凭证泄漏导致数据泄露的风险

    使用ER API或SDK查询指标、告警等资源时,都需要进行身份凭证认证,用于确保请求的机密性、完整性和请求者身份的正确性。建议您为应用程序或服务配置IAM委托或临时AK/SK,通过IAM委托可以获取一组临时AK/SK,临时AK/SK到期自动过期失效,可以有效降低凭证泄露造成的数据泄露风险。详情请参见临时访问密钥通过委托获取临时AK/SK

  2. 定期轮转永久AK/SK减小凭证泄漏导致数据泄露的风险

    如您必须使用永久AK/SK,建议对永久AK/SK进行定期凭证轮转,同时加密存储,避免凭证长期使用过程中预置的明文凭证泄露导致数据泄露。详情请参见访问密钥

  3. 定期修改用户名密码,避免弱密码

    定期重置密码是提高系统和应用程序安全性的重要措施之一,不仅可以降低密码泄露的风险,还可以帮助用户满足合规要求,减少内部威胁,提高用户的安全意识。同时建议您配置密码的复杂度,避免使用弱密码。详情请参见密码策略

  4. 建议关闭“自动接受共享连接”功能

    在云服务或企业网络环境中,ER作为跨网络互联的核心设备,若配置不当可能引发安全风险。当ER实例被共享给其他账号,即多账号使用同一个ER时,自动接受共享连接可能导致未经授权的网络访问或异常配置,从而成为攻击者渗透的入口。提供如下操作建议:

    1. 关闭“自动接受共享连接”功能

      创建企业路由器时,默认关闭“自动接受共享连接”功能,具体操作请参见创建企业路由器

      如果当前企业路由器已开启“自动接受共享连接”功能,您可以通过控制台或者API关闭该功能。
    2. 限制用户权限

      所有者将ER实例共享给其他账号使用时,基于资源访问管理服务(Resource Access Manager,RAM)共享机制,其他账号的使用者创建连接时,需要所有者接受申请后才可以创建成功。

      建议您限制指定角色可接受连接创建申请,在IAM权限管理控制台中设置自定义权限策略,示例如下:
      {
          "Version": "1.1", 
          "Statement": [
              {
                  "Effect": "Allow", 
                  "Action": [
                      "er:attachments:accept"
                  ]
              }
          ]
      }