Identitas adalah entitas yang melakukan operasi di lingkungan cloud. Terdapat dua jenis utama identitas di cloud: identitas manusia dan identitas programatik.
Identitas manusia biasanya merepresentasikan individu dalam suatu organisasi, seperti administrator keamanan, administrator manajemen operasi, atau pengembang aplikasi. Identitas manusia umumnya berinteraksi dengan sumber daya cloud melalui Konsol Manajemen Alibaba Cloud, antarmuka baris perintah (CLI), atau klien dalam skenario tertentu.
Identitas programatik merepresentasikan aplikasi atau layanan. Identitas ini sering mengakses sumber daya dan data cloud melalui Alibaba Cloud OpenAPI.
Untuk mengelola kedua jenis identitas tersebut di Alibaba Cloud, ikuti dua prinsip inti berdasarkan prinsip keamanan hak istimewa minimal: mengurangi durasi eksposur dan mengurangi permukaan eksposur.
Mengurangi durasi eksposur berarti menggunakan identitas atau kredensial sementara alih-alih yang statis bila memungkinkan. Bahkan ketika menggunakan identitas atau kredensial statis, Anda harus memutarnya secara berkala.
Mengurangi permukaan eksposur berarti menyimpan kunci atau kredensial secara aman serta menghindari pencampuran kredensial atau identitas antara jenis identitas yang berbeda.
Praktik terbaik berikut untuk mengelola berbagai jenis identitas di Alibaba Cloud didasarkan pada dua prinsip inti tersebut.
Identitas manusia
Hindari menggunakan identitas root
Saat mendaftarkan Akun Alibaba Cloud, Anda dapat masuk ke Konsol Manajemen Alibaba Cloud dengan nama pengguna dan kata sandi. Hal ini memberi Anda identitas root, yang memiliki izin penuh terhadap akun tersebut. Jika kata sandi akun bocor, risiko keamanannya sangat tinggi. Jika beberapa orang berbagi identitas ini—masing-masing memiliki nama pengguna dan kata sandi akun—kemungkinan kebocoran meningkat. Selain itu, ketika beberapa orang berbagi satu identitas, log operasi tidak mencatat individu mana yang melakukan suatu operasi, sehingga pelacakan sumber menjadi tidak mungkin. Oleh karena itu, Anda harus menggunakan identitas Alibaba Cloud Resource Access Management (RAM) untuk mengakses sumber daya cloud di hampir semua skenario. Hindari menggunakan identitas root Akun Alibaba Cloud. Jika Anda harus menggunakan identitas root, ikuti praktik terbaik dalam bagian "Membangun mekanisme logon yang lebih aman" untuk meningkatkan keamanannya.
Terapkan otentikasi terpadu untuk identitas manusia
Gunakan penyedia identitas (IdP) terpusat untuk otentikasi terpadu identitas manusia. Pendekatan ini menyederhanakan manajemen identitas dan memastikan konsistensi antara identitas lokal dan cloud dalam organisasi Anda. Ketika struktur personel berubah—misalnya saat karyawan bergabung atau keluar—Anda dapat mengelola identitas mereka dari satu tempat. Pengguna lingkungan cloud tidak memerlukan nama pengguna dan kata sandi terpisah, seperti nama pengguna dan kata sandi RAM. Mereka hanya perlu mengamankan identitas dan kredensial mereka dalam IdP organisasi. Beberapa organisasi menerapkan kontrol akses jaringan agar IdP mereka hanya dapat diakses dari intranet perusahaan, menambah lapisan keamanan pada proses otentikasi identitas dan melindungi identitas personel perusahaan lebih baik lagi.
Alibaba Cloud mendukung Single Sign-On (SSO) berbasis protokol SAML 2.0. Di Alibaba Cloud, Anda dapat mengintegrasikan IdP organisasi melalui RAM SSO untuk menerapkan otentikasi terpadu bagi identitas manusia. Untuk organisasi kompleks dengan beberapa Akun Alibaba Cloud, Anda juga dapat menggunakan CloudSSO guna memusatkan konfigurasi SSO di beberapa akun. Hal ini semakin menyatukan manajemen identitas dan meningkatkan efisiensi.
Membangun mekanisme logon yang lebih aman
Identitas manusia biasanya masuk dengan nama pengguna dan kata sandi. Jika kredensial tersebut bocor, penyerang dapat menggunakannya untuk masuk ke Alibaba Cloud dan menyebabkan kerugian yang tidak dapat dipulihkan. Oleh karena itu, melindungi kredensial ini merupakan langkah keamanan penting. Anda dapat meningkatkan keamanan logon dengan cara-cara berikut:
Tingkatkan kekuatan kata sandi. Misalnya, tambahkan jumlah karakter dan gunakan kombinasi angka, huruf besar dan kecil, serta karakter khusus. Untuk Pengguna RAM Alibaba Cloud, administrator dapat menetapkan aturan kekuatan kata sandi untuk memaksa Pengguna RAM menggunakan kata sandi yang lebih kompleks. Hal ini mengurangi risiko kebocoran dan peretasan kata sandi.
Hindari penggunaan ulang kata sandi. Menggunakan kata sandi yang sama untuk layanan, situs, atau pengguna yang berbeda meningkatkan permukaan eksposur dan kemungkinan kebocoran. Jika kata sandi untuk satu layanan atau pengguna bocor, penyerang dapat mencoba masuk ke layanan lain yang menggunakan kata sandi yang sama. Oleh karena itu, pastikan layanan dan pengguna yang berbeda memiliki kata sandi yang berbeda untuk mengurangi risiko kebocoran kata sandi.
Putar kata sandi secara berkala. Semakin lama kata sandi digunakan, semakin tinggi risiko kebocorannya. Mengatur ulang kata sandi secara berkala memperpendek masa berlaku satu kata sandi dan mengurangi risiko kebocoran. Untuk Pengguna RAM Alibaba Cloud, administrator dapat menetapkan periode kedaluwarsa kata sandi dalam aturan kekuatan kata sandi untuk menerapkan rotasi kata sandi berkala.
Gunakan otentikasi multi-faktor. Otentikasi Multi-Faktor (MFA) adalah praktik keamanan yang sederhana dan efektif. Ini menambahkan lapisan perlindungan di luar nama pengguna dan kata sandi Anda. Saat masuk ke Alibaba Cloud atau melakukan operasi sensitif, gunakan MFA untuk verifikasi identitas sekunder guna melindungi akun Anda lebih baik lagi. Alibaba Cloud mendukung berbagai metode otentikasi sekunder, seperti MFA virtual dan kunci keamanan Universal 2nd Factor (U2F). Aktifkan otentikasi sekunder untuk semua identitas manusia di cloud. Untuk organisasi yang menggunakan IdP lokal untuk otentikasi terpadu, Anda juga harus menyediakan opsi otentikasi sekunder di sisi IdP.
Gunakan asumsi peran alih-alih identitas statis
Berdasarkan prinsip mengurangi permukaan eksposur, menggunakan identitas sementara alih-alih identitas statis dapat sangat mengurangi risiko kebocoran identitas. Untuk identitas manusia, pendekatan ini juga memungkinkan Anda mengabstraksikan model izin. Misalnya, Anda dapat menentukan peran berdasarkan fungsi pekerjaan, yang membantu menstandarkan pengaturan izin dan meningkatkan efisiensi manajemen.
Kelola identitas manusia di cloud melalui SSO berbasis asumsi peran.
Identitas programatik
Jangan gunakan AccessKey Akun Alibaba Cloud
AccessKey Akun Alibaba Cloud memberikan izin root, yang mencakup izin manajemen penuh terhadap akun tersebut. Anda tidak dapat membatasi izinnya dengan menambahkan kondisi, seperti alamat IP sumber atau waktu akses. Jika bocor, risikonya sangat tinggi. Untuk akses programatik, gunakan AccessKey Pengguna RAM untuk memanggil API Alibaba Cloud sebagai gantinya.
Hindari berbagi AccessKey
Jika beberapa identitas programatik berbagi AccessKey, atau jika identitas programatik dan manusia berbagi AccessKey, izin yang terkait dengan AccessKey tersebut harus mencakup semua kasus penggunaan. Hal ini menyebabkan izin yang terlalu luas. Dalam skenario berbagi, kebocoran di satu tempat akan memengaruhi semua aplikasi, memperluas radius dampak kebocoran dan menyulitkan pemulihan segera. Lingkungan yang berbeda untuk aplikasi yang sama—seperti produksi dan pengujian—sering kali perlu mengakses sumber daya yang berbeda. Pada saat yang sama, kode di lingkungan pengujian sering kali kurang stabil dan kuat, sehingga lebih rentan terhadap kebocoran. Jika mereka berbagi AccessKey yang sama, kebocoran di lingkungan pengujian dapat dengan mudah memengaruhi lingkungan produksi dan menimbulkan risiko keamanan bisnis.
Oleh karena itu, untuk aplikasi yang berbeda, modul yang berbeda dari aplikasi besar, dan lingkungan yang berbeda (seperti produksi dan pengujian) dari aplikasi atau modul yang sama, Anda harus membuat AccessKey terpisah untuk identitas programatik. Setiap AccessKey hanya boleh diberikan izin yang diperlukan untuk skenario spesifiknya. Hindari berbagi AccessKey.
Putar AccessKey secara berkala
Seperti halnya nama pengguna dan kata sandi untuk identitas manusia, semakin lama AccessKey digunakan, semakin tinggi risiko kebocorannya. Secara berkala buat AccessKey baru untuk menggantikan AccessKey yang digunakan aplikasi, lalu nonaktifkan dan hapus AccessKey lama untuk mencapai rotasi berkala. Atau, Anda dapat menggunakan fitur Secrets Manager dari Alibaba Cloud Key Management Service (KMS) untuk menerapkan rotasi AccessKey otomatis dan berkala.
Selain AccessKey, semua jenis kredensial akses programatik lainnya juga harus diputar secara berkala untuk mengurangi risiko kebocoran kredensial.
Gunakan kredensial sementara alih-alih kredensial statis
AccessKey yang dibuat untuk Pengguna RAM atau identitas root Akun Alibaba Cloud merupakan kredensial statis untuk panggilan programatik. Setelah dibuat, kredensial tersebut terdiri dari ID AccessKey dan Rahasia AccessKey yang tetap hingga dihapus. Penggunaan kredensial statis menimbulkan banyak risiko. Misalnya, pengembang mungkin menyematkan AccessKey statis ke dalam kode aplikasi dan mengunggahnya ke repositori publik seperti GitHub, yang menyebabkan kebocoran AccessKey dan berpotensi menimbulkan kerugian bisnis. Di Alibaba Cloud, Anda harus memperoleh kredensial sementara—yaitu token Layanan Keamanan (STS)—melalui asumsi peran bila memungkinkan, dan menggunakannya alih-alih AccessKey statis. Token STS secara otomatis kedaluwarsa setelah durasi sesi maksimum untuk peran tersebut, yang diukur dalam jam, sehingga secara signifikan mengurangi risiko akibat kebocoran kredensial statis.
Alibaba Cloud menyediakan fitur yang mengintegrasikan penggunaan kredensial token STS untuk berbagai jenis penerapan aplikasi cloud:
Untuk aplikasi yang diterapkan pada Instance ECS, Anda dapat menggunakan Peran RAM Instans. Setelah menyambungkan Peran RAM ke instans, aplikasi dapat memperoleh token otorisasi sementara melalui layanan metadata instans.
Untuk aplikasi yang diterapkan pada ACK, Anda dapat menggunakan fitur RRSA untuk mengaitkan Peran RAM dengan ServiceAccount tertentu. Hal ini memungkinkan Anda mengasumsikan peran yang sesuai di tingkat Pod guna memperoleh token STS.
Untuk aplikasi arsitektur tanpa server yang diterapkan di Function Compute, Anda dapat memberikan izin kepada layanan tempat fungsi tersebut berada untuk mengakses layanan Alibaba Cloud lainnya guna memperoleh token STS.
Apa pun metode penerapannya, Anda dapat menggunakan kit pengembangan perangkat lunak (SDK) resmi Alibaba Cloud dalam kode aplikasi Anda. Dengan mengatur konfigurasi kredensial berdasarkan jenis penerapan, Anda dapat dengan mudah memperoleh token STS tanpa perlu mengelola logika khusus untuk caching kredensial atau pembaruan masa kedaluwarsa.