本文介绍如何通过堡垒机实现资产凭据的定期轮转,以降低凭据泄露和账号闲置所带来的潜在风险,并提升企业批量凭据管理的效率。
背景信息
资产账户密码及密钥作为登录资产的凭据,关系到企业的资产安全。随着企业业务多样性的提高,资产数量不断增加,如何安全高效地管理资产凭据是企业需要关注的重要问题。相关条款也强调资产凭据安全的重要性,在降低资产安全风险的内需以及满足法律合规要求的外力之下,定期的资产改密或密钥轮转成为了企业的关键需求场景。
解决方案
在一般的密码更改方案下,每次资产密码更改后,管理员都需要手动将新密码下发给各个用户,这一过程增加了密码泄露的风险,同时也使密码轮换工作变得繁琐。
阿里云堡垒机作为集中运维安全管控平台,不仅支持运维安全管控,还具备对资产凭据安全管控的能力。堡垒机不仅提供了对资产账户密码和密钥免密托管的能力,同时还提供了资产账户的自动改密能力,可以实现Linux服务器的密码轮转,并支持与KMS(密钥管理服务)联动,实现云上ECS的Linux和Windows账户密码和密钥轮转。凭据轮转后,用户无需感知资产密码,可直接使用轮转后的凭据免密访问资产。
方案一:通过堡垒机改密任务实现密码轮转
改密任务支持针对已托管至堡垒机的Linux主机账户密码进行定期轮转,可以设置执行方式、密码规则等,密码规则包含密码复杂度、密码长度以及密码字符策略,细粒度满足企业服务器密码轮转需求。
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在改密任务页面,单击创建改密任务。
在改密任务面板,参考以下表格配置改密任务的参数,单击创建。
参数
说明
任务名称
输入改密任务的名称。
执行方式
选择改密任务的执行方式。可选以下方式:
周期执行:需要设置执行时间和周期,执行时间至少应为当前时间5分钟后,周期最长支持设置365天。堡垒机会根据设置的执行时间和周期多次执行改密任务。
定时执行:需要设置任务的执行时间(执行时间至少应为当前时间5分钟后)。到达设置的时间后,堡垒机会自动开始执行改密任务。
密码规则
设置修改后的密码的复杂度和密码长度。以下是相关说明:
密码复杂度:支持选择数字、小写字母、大写字母和其他字符。堡垒机会根据您选择的字符类型随机生成新密码。建议至少选择两种字符。
密码长度:设置密码长度的最小值和最大值。取值范围:8~32。最小值设置为8,最大值设置为32表示会随机生成长度为8~32位的密码。
密码策略:设置密码中最少包含的字符数、字符重复次数及不包含字符。最少字母字符数和最少其他字符数的总和不能超过密码长度
数字、小写字母、大写字母和其他字符取值范围:0~32。
某一字符重复次数取值范围:1~32。
不包含字符集:表示生成的密码不会包含此集合中的字符。
备注
输入改密任务的补充说明信息。
单击关联账户,在托管账户页签下,单击添加主机账户。
在添加主机账户对话框中,选择需要添加的主机账户并单击添加。
为改密任务添加主机账户有以下限制条件:
一个主机账户仅能添加到一个改密任务中。
主机账户使用协议为SSH且已设置密码。如果主机账户认证类型为SSH密钥或共享密钥,则无法添加到改密任务中。
操作成功后,您将收到改密任务与主机账号关联成功的提示信息。您可以在改密任务页面查看已创建的改密任务。
方案二:通过与KMS联动实现密码/密钥轮转
堡垒机支持对接KMS(密钥管理服务)服务,将KMS托管的ECS凭据导入至堡垒机,再通过KMS的凭据轮转能力实现ECS资产(Linux/Windows)的密码/密钥轮转。管理员在KMS设置ECS凭据的周期性自动轮转,并在堡垒机完成相关授权之后,运维人员可直接使用KMS凭据访问主机,堡垒机会实时获取KMS凭据版本信息,维护账户可用性的同时,最大限度保障资产凭据安全,降低了资产管理成本,大大提高了凭据安全管理效率。
Linux系统可实现口令和公私钥(SSH Key)轮转,Windows系统可实现口令轮转。
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,选择。
在主机列表,定位到目标主机,在操作列,单击导入KMS凭据。
在导入KMS凭据对话框,选中目标凭据,单击导入。
KMS凭据成功导入后,您可以在主机列表,单击对应的主机名称,在主机账户页签查看和管理导入的KMS凭据。