降低因账号密码泄露带来的未授权访问风险
在云服务环境中,账号和密码作为最基本的认证机制,是保护用户资源的第一道防线。一旦这些凭证遭到泄露,攻击者可能获得未经授权的访问权限,进而对存储在云端的对象(如文件、数据库等)执行非法操作,包括但不限于读取、修改或删除数据。这种行为不仅会直接导致数据丢失或损坏,还可能造成财务损失、声誉损害以及法律纠纷。
为了确保资源的安全性,建议您不要将所有资源集中放置在一个账号下。考虑到不同资源的内容及其访问场景存在差异,建议根据这些差异将资源分配至不同的账号中,以实现账号级的隔离。
与此同时OBS也提供了一些降低未授权访问风险的方法:
- 通过权限控制方式来确保数据安全,包括IAM权限和桶策略配置。
- 通过多因素认证方式来降低未授权访问的风险。
- 通过临时访问密钥方式来降低未授权访问的风险。
创建IAM用户并授权使用OBS
华为云账号默认拥有所有API的访问权限,这意味着如果账号凭证不慎泄露,可能会导致严重的安全风险。为了降低这种风险,您可以使用IAM权限进行精细的权限管理。
您可以通过IAM为不同的用户或应用分配具有特定权限的角色,从而限制他们只能访问被授权的资源和服务。确保团队成员或应用程序仅能访问执行其工作所需的最小权限集。例如您的员工中有负责软件开发的人员,您希望他们拥有创建桶的使用权限,但是不希望他们拥有删除桶等高危操作的权限,那么您可以使用IAM为开发人员创建用户,通过授予仅能使用OBS创建桶,但是不允许删除桶资源的权限,控制他们对OBS资源的使用范围。
如果系统预置的OBS权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考桶相关授权项和对象相关授权项。
桶策略设置
桶策略允许您为特定的用户或账号设置对OBS桶及其内部对象的访问权限。通过合理配置桶策略,可以有效地降低数据风险:
- 细粒度访问控制:通过桶策略,您可以灵活定义“谁”(用户、账号、IP等)在“什么条件下”(时间、来源IP等)对“哪些资源”(桶或对象)执行“哪些操作”(读、写、删除等)。这样可以确保只有授权用户才能访问敏感数据。
- IP白名单/黑名单:您可以设置桶策略来限制只能从特定的IP地址范围访问OBS桶,从而防止来自未知或不受信任位置的访问尝试。
桶策略通用配置方法如下:
配置桶策略,请注意以下几点:
- 定期审查和更新策略,及时清理无效规则。
- 仅授予必要权限,避免使用"Action": "obs:*"。
- 桶策略与IAM策略共同作用时,最终权限同账号内取并集,跨账号取交集。了解详情参见访问控制机制冲突时,如何工作?
- 启用HTTPS访问,HTTPS可以对数据进行加密和防止中间人攻击,确保敏感信息不被窃取。
- 请谨慎设置匿名访问。允许匿名访问机制将导致OBS暴露于未授权访问风险中,互联网中的任意用户均可访问桶。OBS桶访问域名的结构为:BucketName.Endpoint,其中BucketName为桶名称,Endpoint为桶所在区域的终端节点(区域域名)。攻击者仅需通过公开信息获取Endpoint(如obs.cn-north-4.myhuaweicloud.com)及目标桶名称,即可直接访问数据资源。
使用多因素认证
多因素认证是一种非常简单的安全实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要提供验证码(第二次身份验证),因此您的账号和资源将有更高的安全保护。开启多因素认证详情参见虚拟MFA。
通过临时访问密钥访问OBS
OBS可以通过IAM获取临时访问密钥(临时AK,SK和securitytoken)进行临时授权访问。通过使用临时AK,SK和securitytoken,您可以为第三方应用或IAM用户颁发一个自定义时效和权限的访问凭证。
临时访问密钥相比IAM用户的永久访问密钥的优势主要有两点:
- 临时访问密钥的有效时间为15min至24h,不必暴露出IAM用户的永久密钥,降低了账号泄露带来的安全风险。
- 在获取临时访问密钥时,通过传入policy参数设置临时权限来进一步约束使用者的权限范围,方便IAM用户对使用者的权限进一步管理。
操作详情请参见临时授权访问OBS。
在使用IAM权限之前需明确用户所需要的权限集合,避免权限过大造成的安全风险。
