Gunakan pasangan kunci SSH sementara di Alibaba Cloud Workbench untuk masuk secara aman ke instance tanpa kata sandi. Metode ini menghilangkan kebutuhan untuk mengelola atau mengekspos kata sandi atau kunci jangka panjang, sehingga mengurangi risiko kebocoran kredensial dan serangan brute-force.
Mengapa menggunakan masuk tanpa kata sandi dengan pasangan kunci sementara
Kredensial statis tradisional seperti kata sandi dan pasangan kunci SSH jangka panjang membawa risiko keamanan karena berlaku dalam waktu lama. Jika penyerang berhasil memecahkan atau mencuri kredensial tersebut, mereka mendapatkan akses persisten ke server Anda. Selain itu, proses distribusi, rotasi, dan pencabutan kredensial ini kompleks serta rentan terhadap kesalahan. Workbench mengatasi masalah ini dengan menggunakan pasangan kunci sementara.
Keunggulan inti | Deskripsi |
Mengurangi risiko kebocoran kredensial | Pengguna tidak pernah menangani kata sandi permanen atau kunci apa pun. Ini mengurangi risiko kebocoran kredensial yang disebabkan oleh kesalahan manusia. |
Pertahanan terhadap serangan brute-force | Kredensial masuk dibuat untuk satu kali penggunaan dan hanya berlaku selama 60 detik. Ini sangat mengurangi risiko serangan brute-force pada instance ECS Anda. |
Kontrol izin terpusat | Gunakan kebijakan akses RAM untuk menerapkan kontrol detail halus atas siapa yang dapat masuk ke instance. |
Cara kerjanya
Masuk dengan pasangan kunci sementara tetap memerlukan otentikasi. Metode ini menggantikan kredensial statis dengan metode autentikasi terpusat yang lebih aman yang dikelola oleh Alibaba Cloud. Berikut adalah cara kerjanya:
Mulai masuk tanpa kata sandi dari Konsol.
Verifikasi izin RAM: Workbench memverifikasi apakah pengguna Resource Access Management (RAM) saat ini memiliki izin untuk masuk ke instance target.
Hasilkan pasangan kunci SSH sementara: Setelah izin diverifikasi, Workbench secara dinamis menghasilkan pasangan kunci SSH sekali pakai (kunci publik dan kunci privat) yang berlaku selama 60 detik. Kunci privat disimpan sementara di server Alibaba Cloud Workbench.
Kirim kunci publik ke instance: Workbench menambahkan kunci publik sementara ke instance menggunakan Cloud Assistant Agent yang diinstal pada instance ECS.
Lengkapi otentikasi SSH dan buat koneksi: Workbench menggunakan kunci privat sementara yang disimpan di server untuk menyelesaikan proses otentikasi kunci publik dengan layanan SSH pada instance dan membuat koneksi.
Hancurkan pasangan kunci secara otomatis: Setelah masa berlaku 60 detik berakhir, pasangan kunci sementara segera dan otomatis dihapus, baik masuk berhasil maupun tidak. Kunci publik dihapus dari instance ECS, dan kunci privat dihapus dari Workbench. Proses ini memastikan bahwa setiap kunci hanya digunakan sekali dan tidak dapat digunakan kembali.