安全云脑 SECMASTER-内置检查项:华为云安全配置基线—身份与访问管理

时间:2024-11-19 19:07:17

华为 云安全 配置基线—身份与访问管理

表33 身份与访问管理风险项检查项

检查子项目

检查项目

设置初始 IAM 用户时,避免对具有控制台密码的用户设置访问密钥

为了提高账号资源的安全性,建议在设置初始IAM用户时,对具有控制台密码的IAM用户,不要设置访问密钥。

启用访问密钥保护

为了提高账号资源的安全性,需开启访问密钥保护功能。“访问密钥保护”功能默认为关闭状态。开启该功能后,仅管理员才可以创建、启用/停用或删除 IAM 用户的访问密钥。

启用用户登录保护

为了进一步提高账号安全性,有效避免钓鱼式攻击或者用户密码意外泄漏,用户可在 IAM 的安全设置中开启登录保护。开启后用户登录时除了需要口令认证还需要通过虚拟 MFA 或短信或邮件验证,以再次确认登录者身份。

确保IAM密码每180天或更短时间轮换一次

IAM 用户的密码有效期策略必须设置,建议满足以下要求:

设置密码过期后,系统强制要求修改密码(密码有效期设置为 180 天或更短时间)。

确保设置密码最短使用时间

IAM 用户密码最短使用时间策略必须设置,建议满足以下要求:

设置密码最短使用时间,必须超过设置的时间,才能进行修改(最短使用时间设置为 5 分钟)。

确保IAM密码策略要求最小长度为8或更大

密码策略

IAM 用户的密码策略应设置强密码策略,建议满足以下要求:

密码长度不小于 8 位。

启用用户操作保护

为了进一步提高账号安全性,有效确保用户安全地使用云产品,用户可在 IAM 中开启操作保护。开启后,主账号及子用户在控制台进行敏感操作时(例如:删除弹性云服务器、弹性 IP 解绑等),将通过虚拟 MFA 或手机短信或邮件再次确认操作者的身份。

确保任何单个IAM用户仅有一个可用的活动访问密钥

为了提高账号资源的安全性,建议单个 IAM 用户仅有一个可用的活动访问密钥。

确保IAM密码策略要求符合密码复杂度

IAM 用户的密码策略应设置强密码策略,建议满足以下要求:

  • 包含以下字符中的 3-4 种:大写字母、小写字母、数字和特殊字符。
  • 密码中允许同一字符连续出现次数(最大次数设置为1)。

确保管理员账号已启用MFA

虚拟Multi-Factor Authentication(MFA)是多因素认证方式的一种,用户需要先在智能设备上安装一个MFA应用程序(例如:“华为云”手机应用程序),才能绑定虚拟MFA设备。绑定MFA后,用户在登录时或进行敏感操作前需输入MFA随机产生的6位数字认证码。MFA设备可以基于硬件也可以基于软件,目前华为云仅支持基于软件的虚拟MFA。用户登录Console控制台必须启用MFA,保证安全登录。

确保IAM密码策略防止密码重复使用

IAM 用户的密码策略应设置强密码策略,建议满足以下要求:

新密码不能与最近的历史密码相同(重复次数设置为 3)。

配置IAM的网络访问控制策略

管理员可以设置访问控制策略,限制用户只能从特定 IP 地址区间、网段及 VPC Endpoint 访问华为云:

  1. 允许访问的 IP 地址区间:限制用户只能从设定范围内的 IP 地址访问华为云,可以在0.0.0.0~255.255.255.255 之间设置。默认值为0.0.0.0~255.255.255.255。如不设置或设置为默认值,意味着用户的 IAM 用户可以从任意地方访问华为云。
  2. 允许访问的 IP 地址或网段:限制用户只能从设定的 IP 地址或网段访问华为云,例如:10.10.10.10/32。
  3. 允许访问的 VPC Endpoint:仅在“API 访问”页签中可进行配置。限制用户只能从具有设定ID的VPC Endpoint访问华为云API,例如:0ccad098-b8f4-495a-9b10-613e2a5exxxx 访问控制生效条件:
    1. 控制台访问:仅对账号下的IAM用户登录控制台生效,对账号本身不生效。
    2. API 访问:仅对账号下的IAM用户通过API网关访问API接口生效,修改后2小时内生效。

确保管理员账号禁用AK/SK

为了进一步提高账号安全性,有效确保用户安全地使用云产品,用户可在 IAM 中开启操作保护。开启后,主账号及子用户在控制台进行敏感操作时(例如:删除弹性云服务器、弹性 IP 解绑等),将通过虚拟 MFA 或手机短信或邮件再次确认操作者的身份。

确保不创建允许“*:*”管理权限的IAM策略

为了提高账号资源的安全性,不创建允许“*:*”管理权限的 IAM 策略。

配置登录验证策略

管理员可以设置登录验证策略,包括“会话超时策略”、“账号锁定策略”、“账号停用策略”、“最近登录提示”、“登录验证提示”。

  1. 会话超时策略:如果用户超过设置的时长未操作界面,会话将会失效,需要重新登录。管理员可以设置会话超时的时长,会话超时时长默认为1个小时,可以在15分钟~24小时之间进行设置。
  2. 账号锁定策略:如果在限定时间长度内达到登录失败次数后,用户会被锁定一段时间,锁定时间结束后,才能重新登录。管理员可以设置账号锁定时长、锁定前允许的最大登录失败次数、重置账号锁定计数器的时间:
    • 账号锁定时长(分钟):默认为 15 分钟,可以在 15~30 分钟之间进行设置。
    • 锁定前允许的最大登录失败次数:默认为 5 次,可以在 3~10 次之间进行设置。
    • 重置账号锁定计数器的时间:默认为 15 分钟,可以在 15~60 分钟之间进行设置。
  3. 账号停用策略:如果 IAM 用户在设置的有效期内没有通过界面控制台或者API访问华为云,将会被停用。账号停用策略默认关闭,管理员可以选择开启,并在 1~240 天之间进行设置。该策略仅对账号下的 IAM 用户生效,对账号本身不生效。IAM用户被停用后,可以联系管理员重新启用。
  4. 最近登录提示:如果开启最近登录提示,用户登录成功后,将在“登录验证”页面中看到上次登录成功时间,最近登录提示可以帮助用户查看是否存在异常登录信息,如果存在不是本人的登录信息,建议立即修改密码。最近登录提示默认关闭,管理员可以选择开启。
  5. 登录验证提示:管理员可以在最近登录提示中进行公告,例如欢迎语,或者提示用户谨慎删除资源等。登录验证提示默认关闭,管理员可以选择开启。开启后,用户将在“登录验证”页面中看到公告信息。

确保不创建非管理员权限的IAM用户

“admin”为缺省用户,具有所有云服务资源的操作权限,当所有用户全部属于admin用户组或共用一个企业管理员账号是不安全的。为了更好的管控人员或应用程序对云资源的使用,可以使用 统一身份认证 服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。

support.huaweicloud.com/usermanual-secmaster/secmaster_01_0021.html