Hindari Menggunakan Kata Sandi Lemah untuk Masuk ke Instans ECS - Elastic Compute Service

Hindari penggunaan kata sandi lemah (kata sandi sederhana) untuk masuk ke instans Elastic Compute Service (ECS). Gunakan autentikasi pasangan kunci, autentikasi kata sandi kuat, atau koneksi tanpa kata sandi menggunakan Workbench. Ubah kredensial Anda secara berkala untuk meningkatkan keamanan akses instans dan menghilangkan risiko keamanan akibat kata sandi lemah.

Risiko keamanan

Menggunakan nama pengguna dan kata sandi untuk masuk ke server adalah metode autentikasi yang nyaman tetapi berisiko tinggi. Kata sandi lemah merupakan salah satu kerentanan paling umum dan mudah dieksploitasi. Banyak pengguna menetapkan kata sandi lemah, seperti 123456 atau admin@123, karena mudah diingat. Praktik ini memperkenalkan risiko keamanan berikut:

Serangan brute-force: Penyerang menggunakan alat otomatis, seperti Hydra dan John the Ripper, untuk mencoba kombinasi kata sandi umum dengan cepat. Mereka dapat meretas kata sandi lemah dalam waktu singkat.
Pelanggaran data: Setelah meretas kata sandi, penyerang dapat mencuri data sensitif, seperti informasi pribadi dan keuangan, atau menyamar sebagai pengguna untuk melakukan penipuan.
Serangan lateral: Penyerang menggunakan kata sandi lemah untuk membahayakan akun dengan hak istimewa rendah, seperti kotak surat karyawan biasa. Kemudian, mereka dapat bergerak secara lateral di dalam jaringan internal untuk mendapatkan izin administrator atau kendali atas sistem utama.
Serangan kamus: Risiko ini diperbesar ketika pengguna menggunakan kata sandi lemah yang sama di berbagai platform. Jika satu platform mengalami pelanggaran data, penyerang dapat menggunakan kredensial yang bocor untuk mencoba mengakses akun lain milik pengguna tersebut.

Praktik terbaik

Instans Linux

Gunakan autentikasi pasangan kunci, yang lebih aman daripada autentikasi kata sandi.

Konsol

Saat membuat instans pada halaman pembelian instans, atur Logon Credentials ke Key Pair. Kemudian, pilih Key Pair yang ada.

Jika Anda tidak memiliki pasangan kunci, klik Create a Key Pair lalu pilih itu.

API

Saat membuat instans dengan memanggil operasi RunInstances atau CreateInstance, tentukan parameter KeyPairName. Parameter kata sandi kemudian akan diabaikan.

Jika Anda tidak memiliki pasangan kunci, panggil operasi CreateKeyPair untuk membuatnya.

Instans Windows

Gunakan autentikasi kata sandi kuat. Autentikasi pasangan kunci tidak didukung.

Saat membuat instans pada halaman pembelian instans, atur Logon Credentials ke Custom Password. Kemudian, ikuti petunjuk untuk menetapkan Logon Password yang kompleks (kuat):

Kata sandi kompleks harus memenuhi persyaratan berikut:
- Kata sandi harus minimal 8 karakter.
- Harus berisi setidaknya tiga dari jenis karakter berikut: huruf besar (A–Z), huruf kecil (a–z), angka (0–9), dan karakter khusus (~, !, @, $, %, ^, &, *, -, _, =, +, #, /, ?).
- Kata sandi tidak boleh menjadi nama pengguna atau nama pengguna dalam urutan terbalik.
Jangan gunakan kata sandi lemah umum atau yang diketahui publik, seperti:
- Kata sandi lemah yang diketahui publik, seperti abcd1234, admin, root, dan admin@123.
- Urutan angka atau huruf berturut-turut, atau tombol berurutan pada keyboard, seperti 123456, abcdef, 123abc, qwerty, dan 1qaz2wsx.
- Kata sandi berbasis frasa, seperti 5201314 dan woaini1314.
- Nama perusahaan, tanggal lahir, nama, nomor ID, nomor telepon, alamat email, ID pengguna, dan tahun.
Ubah kata sandi Anda secara berkala.
Kami merekomendasikan agar Anda mengubah kata sandi setiap 90 hari.

Kemampuan kepatuhan

Pemeriksaan: Temukan instans Linux yang tidak menggunakan autentikasi pasangan kunci

Evaluasi dan Wawasan Kematangan Penggunaan ECS

Buka Evaluasi dan Wawasan Kematangan Penggunaan ECS.
Pilih tab Security Capability. Klik item pemeriksaan Use Key Pairs (Linux Only) untuk melihat instans Linux yang tidak menggunakan autentikasi pasangan kunci.

Pusat Keamanan

Buka Konsol Pusat Keamanan.
Di panel navigasi di sebelah kiri, pilih Threat Management > Cloud Security Posture Management. Pilih tab Cloud Product Configuration Risks. Temukan item pemeriksaan bernama Gunakan pasangan kunci SSH untuk masuk dan klik Scan di kolom Actions.
Jika statusnya Gagal, satu atau lebih instans Linux yang tidak menggunakan autentikasi pasangan kunci ada. Klik Details untuk melihat instans tersebut.

Blokir: Larang autentikasi kata sandi saat Anda membuat instans Linux atau melakukan operasi lainnya

Gunakan kebijakan Resource Access Management (RAM) di tingkat organisasi atau akun untuk memblokir tindakan yang menetapkan kata sandi untuk instans Linux.

Untuk pengguna perusahaan:

Masuk ke Konsol Direktori Sumber Daya dengan Akun Alibaba Cloud Anda. Di panel navigasi di sebelah kiri, klik Control Policies. Buat kebijakan kustom dan tempel konten JSON berikut.

Kebijakan ini menolak penggunaan autentikasi kata sandi saat Anda membuat instans, menyambungkan disk sistem, mengganti disk sistem, memodifikasi atribut instans, atau mengubah kata sandi.

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:RunInstances",
                "ecs:CreateInstance",
                "ecs:ReplaceSystemDisk"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ecs:PasswordCustomized": [
                        "true"
                    ]
                },
                "StringEquals": {
                    "ecs:ImagePlatform": "linux"
                }
            },
            "Effect": "Deny"
        },
        {
            "Action": [
                "ecs:ModifyInstanceAttribute",
                "ecs:InvokeCommand",
                "ecs:AttachDisk"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ecs:PasswordCustomized": [
                        "true"
                    ]
                }
            },
            "Effect": "Deny"
        }
    ]
}

Lampirkan kebijakan ke node yang sesuai di direktori sumber daya Anda. Kebijakan tersebut kemudian memblokir tindakan yang ditentukan untuk semua akun di bawah node tersebut.

Untuk pengguna non-perusahaan:
1. Masuk ke Konsol RAM dengan Akun Alibaba Cloud Anda. Di panel navigasi di sebelah kiri, klik Policies. Buat kebijakan kustom dengan konten yang sama dengan kebijakan di atas.
2. Lampirkan kebijakan ke pengguna RAM, grup pengguna RAM, atau peran RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.

Perbaiki: Alihkan instans yang ada ke masuk pasangan kunci

Jika pemeriksaan menemukan instans Linux yang ada yang menggunakan masuk kata sandi, alihkan mereka ke autentikasi pasangan kunci.

Lampirkan pasangan kunci: Lampirkan pasangan kunci yang ada, atau buat pasangan kunci baru dan lampirkan ke instans.
Setelah Anda melampirkan pasangan kunci, coba masuk ke instans dengan pasangan kunci baru untuk memastikan Anda dapat mengakses instans tersebut.

Nonaktifkan masuk kata sandi: Masuk ke instans dan jalankan skrip berikut untuk memodifikasi file konfigurasi layanan Protokol Secure Shell (SSH).

#!/bin/bash
# Cadangkan file konfigurasi asli
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak_$(date +%F)

# Nonaktifkan autentikasi kata sandi: Ubah parameter PasswordAuthentication menjadi no
sed -i 's/^#*PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config

# Mulai ulang layanan SSH agar konfigurasi berlaku
# Perintah mungkin sshd atau ssh, tergantung pada sistem operasi
systemctl restart sshd || service sshd restart

Verifikasi: Setelah operasi selesai, mulai ulang instans. Coba masuk ke instans menggunakan autentikasi kata sandi. Upaya masuk harus gagal. Kemudian, coba masuk menggunakan pasangan kunci untuk memastikan bahwa masuk pasangan kunci berhasil.