作为运维,你如何保证帐号/私钥的安全?
回答·23
最热
最新
- 说个可乐的,之前工作过的公司,总经理就考虑过系统管理员账户的安全性问题经过苦思冥想,决定改成八位密码,审计和行政两个领导,俩老太太一个设前四个字母一个设后四个字母😹
- 其实,都说的不错,又都是不全面的。 不能靠人,也不能靠设备,能够依靠的是死的规律和制度。 如果领导有这个要求,可以和他深入沟通一下,看他需要的是什么程度的安全,毕竟没有攻不破的堡垒,所以需要他对这个有整体认识,说白了就是想投入多少资源,想获得多大收益。这些没有明确,也就没有目标,那对于其的各种制度,流程,审计等措施都是没有目的的,没有针对性,是随意的,以此建立的安全那其实就是个马奇诺防线。 所以说白了,保证账号/私钥的安全,首先需要明确一下,你们想要什么样的安全
- 新建账号,给予部分权限,堡垒机登录
- 健全安全管理制度为首要,通过安全管理工具辅助管理 保证账号密码强度,账号对应到人,账号进行分权管理,必要时对操作进行监控! 总体来说 4a 认证的理念: 1)集中帐号(account)管理 为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。 2)集中认证(authentication)管理 可以根据用户应用的实际需要,为用户提供不同强度的认证方式,既可以保持原有的静态口令方式,又可以提供具有双因子认证方式的高强度认证(一次性口令、数字证书、动态口令),而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理,并且能够为用户提供统一的认证门户,实现企业信息资源访问的单点登录。 3)集中权限(authorization)管理 可以对用户的资源访问权限进行集中控制。它既可以实现对 B/S、C/S 应用系统资源的访问权限控制,也可以实现对数据库、主机及网络设备的操作的权限控制,资源控制类型既包括 B/S 的 URL、C/S 的功能模块,也包括数据库的数据、记录及主机、网络设备的操作命令、IP 地址及端口。 4)集中审计(audit)管理 将用户所有的操作日志集中记录管理和分析,不仅可以对用户行为进行监控,并且可以通过集中的审计数据进行数据挖掘,以便于事后的安全事故责任的认定。
- 运维人员全部辞退,替换为机器人。
- 通过堡垒机进行跳转登陆,建立运维账号,分配所需的权限;确保密码不会外泄,同时监控运维人员所做操作
- 用程序调用系统进行注册授权和审批到结束时回收,形成完整的生命周期
- LDAP 统一认证服务听过吗?
- jumpserver 堡垒机,对公司的服务器做审计和权限分配,安全跳转。任何操作必须先登录堡垒机,堡垒机会分配给你可以使用的用户以及用户的权限,规定你可以使用那些主机,你所拥有的权限,任何公司人员所做的任何操作,都会有记录,可以通过堡垒机,进行查询都做了那些操作。部署简单,安全机制很强。
- 安全性和便利性总是会有冲突,所以这个看需求,你需要什么等级的安全性和多大的便利性。