本文介紹如何通過Bastionhost實現資產憑據的定期輪轉,以降低憑據泄露和帳號閑置所帶來的潛在風險,並提升企業批量憑據管理的效率。
背景資訊
資產賬戶密碼及密鑰作為登入資產的憑據,關係到企業的資產安全。隨著企業業務多樣性的提高,資產數量不斷增加,如何安全高效地管理資產憑據是企業需要關注的重要問題。相關條款也強調資產憑據安全的重要性,在降低資產安全風險的內需以及滿足法律合規要求的外力之下,週期性資產改密或密鑰輪轉成為了企業的關鍵需求情境。
解決方案
在一般的密碼更改方案下,每次資產密碼更改後,管理員都需要手動將新密碼下發給各個使用者,這一過程增加了密碼泄露的風險,同時也使密碼輪換工作變得繁瑣。
阿里雲Bastionhost作為集中營運安全管控平台,不僅支援營運安全管控,還具備對資產憑據安全管控的能力。Bastionhost不僅提供了對資產賬戶密碼和密鑰免密託管的能力,同時還提供了資產賬戶的自動改密能力,可以實現Linux伺服器的密碼輪轉,並支援與KMS(Key Management Service)聯動,實現雲上ECS的Linux和Windows賬戶密碼和密鑰輪轉。憑據輪轉後,使用者無需感知資產密碼,可直接使用輪轉後的憑據免密訪問資產。
方案一:通過Bastionhost改密任務實現密碼輪轉
改密任務支援針對已託管至Bastionhost的Linux主機賬戶密碼進行定期輪轉,可以設定執行方式、密碼規則等,密碼規則包含密碼複雜度、密碼長度以及密碼字元策略,細粒度滿足企業伺服器密碼輪轉需求。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在改密任務頁面,單擊建立改密任務。
在改密任務面板,參考以下表格配置改密任務的參數,單擊建立。
參數
說明
任務名稱
輸入改密任務的名稱。
執行方式
選擇改密任務的執行方式。可選以下方式:
周期執行:需要設定執行時間和周期,執行時間至少應為目前時間5分鐘後,周期最長支援設定365天。Bastionhost會根據設定的執行時間和周期多次執行改密任務。
定時執行:需要設定任務的執行時間(執行時間至少應為目前時間5分鐘後)。到達設定的時間後,Bastionhost會自動開始執行改密任務。
密碼規則
設定修改後的密碼的複雜度和密碼長度。以下是相關說明:
密碼複雜度:支援選擇數字、小寫字母、大寫字母和其他字元。Bastionhost會根據您選擇的字元類型隨機產生新密碼。建議至少選擇兩種字元。
密碼長度:設定密碼長度的最小值和最大值。取值範圍:8~32。最小值設定為8,最大值設定為32表示會隨機產生長度為8~32位的密碼。
密碼原則:設定密碼中最少包含的字元數、字元重複次數及不包含字元。最少字母字元數和最少其他字元數的總和不能超過密碼長度
數字、小寫字母、大寫字母和其他字元取值範圍:0~32。
某一字元重複次數取值範圍:1~32。
不包含字元集:表示產生的密碼不會包含此集合中的字元。
備忘
輸入改密任務的補充說明資訊。
單擊關聯賬戶,在託管賬戶頁簽下,單擊添加主機賬戶。
在添加主機賬戶對話方塊中,選擇需要添加的主機賬戶並單擊添加。
為改密任務添加主機賬戶有以下限制條件:
一個主機賬戶僅能添加到一個改密任務中。
主機賬戶使用協議為SSH且已設定密碼。如果主機賬戶認證類型為SSH密鑰或共用密鑰,則無法添加到改密任務中。
操作成功後,您將收到改密任務與主機帳號關聯成功的提示資訊。您可以在改密任務頁面查看已建立的改密任務。
方案二:通過與KMS聯動實現密碼/密鑰輪轉
Bastionhost支援對接KMS(Key Management Service)服務,將KMS託管的ECS憑據匯入至Bastionhost,再通過KMS的憑據輪轉能力實現ECS資產(Linux/Windows)的密碼/密鑰輪轉。管理員在KMS設定ECS憑據的周期性自動輪轉,並在Bastionhost完成相關授權之後,營運人員可直接使用KMS憑據訪問主機,Bastionhost會即時擷取KMS憑據版本資訊,維護賬戶可用性的同時,最大限度保障資產憑據安全,降低了資產管理成本,大大提高了憑據安全管理效率。
Linux系統可實現口令和公私密金鑰(SSH Key)輪轉,Windows系統可實現口令輪轉。
登入Bastionhost控制台,在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,單擊管理。
在左側導覽列,選擇。
在主機列表,定位到目標主機,在操作列,單擊匯入KMS憑據。
在匯入KMS憑據對話方塊,選中目標憑據,單擊匯入。
KMS憑據成功匯入後,您可以在主機列表,單擊對應的主機名稱,在主機賬戶頁簽查看和管理匯入的KMS憑據。