Рекомендации по обеспечению безопасности

На этой странице собраны основные рекомендации по обеспечению безопасности при работе с аккаунтами IAM-пользователей и способы реализации этих рекомендаций.

Примечание

Рекомендуем не использовать основной аккаунт для управления другими пользователями и группами. Выполняйте рекомендации по безопасности из-под аккаунта IAM-пользователя, входящего в группу «admin».

  1. Добавьте администратора безопасности: создайте пользователя и добавьте его в группу «admin».

  2. Войдите в консоль управления Advanced как IAM-пользователь, входящий в группу «admin».

    1. Нажмите IAM User Login.

    2. Введите название аккаунта, логин администратора безопасности и пароль.

    3. Нажмите Log In.

  3. В блоке Management & Deployment откройте сервис Identity and Access Management.

Используйте многофакторную авторизацию (MFA)

Многофакторная авторизация (MFA) обеспечивает дополнительный слой защиты при каждом входе на облачную платформу или для подтверждения критических операций. Если активировать MFA, в таких сценариях пользователю нужно будет вводить код верификации. Этот код приходит на электронную почту или виртуальное MFA-устройство.

См.также

Как привязать виртуальное MFA-устройство

Включите защиту авторизации (Login Protection)

Функция Login Protection проверяет вход пользователей в систему и обеспечивает дополнительную защиту. При подключении этой функции пользователю дополнительно потребуется ввести проверочный код, который будет сгенерирован привязанным виртуальным устройством MFA или получен по СМС или email.

Включить защиту авторизации может только пользователь, входящий в группу «admin».

Включение защиты авторизации для IAM-пользователей

  1. Нажмите More → Security Settings в строке с нужным IAM-пользователем.

  2. В блоке Login Protection нажмите Редактирование настроек.

  3. Выберите тип верификации, например Virtual MFA device, и нажмите OK, чтобы принять изменения.

Включение защиты авторизации для основного аккаунта

  1. В консоли Identity and Access Management перейдите на страницу Security Setting.

  2. Перейдите на вкладку Critical Operations и в блоке Login Protection нажмите Enable.

  3. Выберите тип верификации, например Virtual MFA device, и нажмите OK, чтобы принять изменения.

Включите защиту критических операций (Operation Protection)

Когда защита операций активирована, система будет запрашивать код подтверждения при выполнении критических операций, таких как удаление виртуальной машины. Каждое подтверждение активно 15 минут, поэтому вам не нужно проходить повторную проверку при выполнении критических операций в течение этого времени.

Чтобы включить защиту операций:

  1. В панели слева выберите Account Security Settings.

  2. Перейдите на вкладку Critical Operations.

  3. Нажмите Enable в строке с опцией Operation Protection.

  4. Выберите опцию Enable и нажмите OK.

Задайте список управления доступом (ACL)

Список управления доступом (ACL) позволяет предоставить доступ пользователям только с указанных диапазонов IP-адресов, CIDR-блоков или конечных точек VPC Endpoints (только для доступа к API).

Чтобы изменить список управления доступом, в панели слева выберите Account Security Settings и перейдите на вкладку ACL.

См.также

Подробнее об управлении ACL (en)

Настройте политику аутентификации

Политика аутентификации предлагает дополнительные возможности по повышению безопасности, такие как настройка времени жизни сессии или настройка политики блокировки аккаунта.

Чтобы изменить политику аутентификации, в панели слева выберите Account Security Settings и перейдите на вкладку Login Authentication Policy.

Задайте политики:

Поле

Параметр

Рекомендуемое значение

Session Timeout (Таймаут сессии)

Log out if no operations are performed within — определяет время, по истечении которого в случае бездействия пользователю нужно будет снова ввести логин и пароль для входа в консоль.

1 hours

Account Lockout (Блокировка учетной записи)

Lock the account for … minutes if … login attempts fail within … minutes — определяет количество неудачных попыток, после которых учетная запись пользователя блокируется на заданное время.

15/5/15

Account Disabling (Отключение учетной записи)

Disable account upon login if it is not used within the validity period — определяет срок, по истечении которого учетная запись пользователя блокируется, если с ней не выполняли никакие действия в течение этого срока.

Активировано

Account Disabling (Отключение учетной записи)

Validity Period (days) — определяет срок, по истечении которого учетная запись пользователя блокируется, если с ней не выполняли никакие действия в течение этого срока.

90

Recent Login Information (Информация о последнем входе)

Display last login information upon successful login — отображает информацию о последнем успешном входе в консоль.

Активировано

Custom Information (Пользовательская информация при успешном входе в консоль)

Display custom information upon login — дополнительная информация, которая отображается в случае успешного входа в консоль.

Настройте политику использования паролей

Политика пароля определяет требования к паролю, параметры повторного использования пароля и истечения его срока действия, а также запрет на ранее используемые пароли.

Чтобы изменить политику использования паролей, в панели слева выберите Account Security Settings и перейдите на вкладку Password Policy.

Задайте политику:

Поле

Параметр

Рекомендуемое требование

Password Composition & Reuse (Состав и повторное использование пароля)

Minimum Number of Characters — определяет минимальное количество символов в пароле. Это значение варьируется от 6 до 32 символов.

20

Password Composition & Reuse (Состав и повторное использование пароля)

Restrict consecutive identical characters — определяет количество последовательных одинаковых символов в пароле.

Активировано

Password Composition & Reuse (Состав и повторное использование пароля)

Max. Number of Consecutive Identical Characters — определяет максимальное количество последовательных одинаковых символов в пароле. Например, значение 1 указывает, что пароль не может содержать последовательные одинаковые символы.

1

Password Composition & Reuse (Состав и повторное использование пароля)

Disallow previously used passwords — запрещает ранее использованные пароли.

Активировано

Password Composition & Reuse (Состав и повторное использование пароля)

Number of Recent Passwords Disallowed — определяет количество запрещенных паролей, которые ранее были использованы при установке нового пароля.

10

Password Expiration (Срок действия пароля)

Prompt password change 15 days before expiration and force password change upon expiration — при активации этого параметра пользователю будет предложено сменить пароль за 15 дней до истечения срока действия пароля.

Активировано

Password Expiration (Срок действия пароля)

Password Validity Period (days) — определяет срок, по истечении которого пользователю необходимо сменить пароль. По умолчанию — 90 дней.

Отключить истечение срока действия пароля нельзя, доступно изменение в диапазоне 1 – 180 дней.

90

См.также

Подробнее о политике использования паролей (en)

Настройте отслеживание действий

Сервис Cloud Trace Service (CTS) позволяет отслеживать все выполняемые действия пользователей. Для сохранения этой информации убедитесь, что сервис CTS включен и настроен.

См.также

При подозрении на несанкционированный доступ к учетной записи сбросьте:

Запустили Evolution free tier
для Dev & Test
Получить