确保云服务安全管理的关键策略

重点总结

• 最低特权访问 ：将最低特权访问视为核心原则，以减少复杂云服务的误管理。
• 账户整理 ：根据用户需求安全组织账户，确保不同账户拥有适当的访问权限。
• 多因素认证 ：尤其对特权账户（如根账户）实施多因素认证，以提升安全性。
• 持续评估 ：将特权管理视为持续演进的旅程，定期分析和评估政策与实际使用的一致性。

在处理多个账户和项目的复杂云服务时，最终用户应将最低特权访问作为核心原则，结合基于角色的政策、多因素认证和秘密管理来支持这一实践。亚马逊网络服务（AWS）的身份领域全球技术负责人DonEdwards在上周于CyberRisk Alliance的Identiverse大会上接受SC Media采访时表示。

Edwards建议，根据用户需求安全地组织账户，然后将最低特权标准应用于这些账户。他举例说：“例如，您可能希望有一组账户专门用于安全目的，并且对这些账户的访问进行非常限制的管理。所有的日志和分析工具都应放在这些与安全相关的账户中。”

“这些账户应与您的开发账户分开，开发账户通常具有较宽松的身份和访问管理政策。这些账户又与您的生产账户分开，生产账户则对谁可以访问什么有非常严格的规定。”

对特权账户（例如根账户），多因素认证是“绝对必不可少的”，Edwards强调。他补充道，理想情况下，云访问的密码应彻底消除
，但如果仍使用密码，则应将其保持为短期使用，仅在用户需要进行特定项目时使用。

Edwards还建议，将特权管理视为持续演进的过程。他说：“因此，您应从您认为符合最低特权的政策开始，然后不断分析，以确保实际使用情况与政策所允许的一致。”

如需获取更多Edwards的见解和建议，请观看嵌入的视频。