文档

资产改密最佳实践

更新时间:

本文介绍如何通过堡垒机实现资产凭据的定期轮转,以降低凭据泄露和账号闲置所带来的潜在风险,并提升企业批量凭据管理的效率。

背景信息

资产账户密码及密钥作为登录资产的凭据,关系到企业的资产安全。随着企业业务多样性的提高,资产数量不断增加,如何安全高效地管理资产凭据是企业需要关注的重要问题。相关条款也强调资产凭据安全的重要性,在降低资产安全风险的内需以及满足法律合规要求的外力之下,定期的资产改密或密钥轮转成为了企业的关键需求场景。

解决方案

在一般的密码更改方案下,每次资产密码更改后,管理员都需要手动将新密码下发给各个用户,这一过程增加了密码泄露的风险,同时也使密码轮换工作变得繁琐。

阿里云堡垒机作为集中运维安全管控平台,不仅支持运维安全管控,还具备对资产凭据安全管控的能力。堡垒机不仅提供了对资产账户密码和密钥免密托管的能力,同时还提供了资产账户的自动改密能力,可以实现Linux服务器的密码轮转,并支持与KMS(密钥管理服务)联动,实现云上ECS的Linux和Windows账户密码和密钥轮转。凭据轮转后,用户无需感知资产密码,可直接使用轮转后的凭据免密访问资产。

方案一:通过堡垒机改密任务实现密码轮转

改密任务支持针对已托管至堡垒机的Linux主机账户密码进行定期轮转,可以设置执行方式、密码规则等,密码规则包含密码复杂度、密码长度以及密码字符策略,细粒度满足企业服务器密码轮转需求。

  1. 登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。

  2. 在堡垒机实例列表,定位到目标实例,单击管理

  3. 改密任务页面,单击创建改密任务

  4. 改密任务面板,参考以下表格配置改密任务的参数,单击创建

    参数

    说明

    任务名称

    输入改密任务的名称。

    执行方式

    选择改密任务的执行方式。可选以下方式:

    • 周期执行:需要设置执行时间和周期,执行时间至少应为当前时间5分钟后,周期最长支持设置365天。堡垒机会根据设置的执行时间和周期多次执行改密任务。

    • 定时执行:需要设置任务的执行时间(执行时间至少应为当前时间5分钟后)。到达设置的时间后,堡垒机会自动开始执行改密任务。

    密码规则

    设置修改后的密码的复杂度和密码长度。以下是相关说明:

    • 密码复杂度:支持选择数字、小写字母、大写字母和其他字符。堡垒机会根据您选择的字符类型随机生成新密码。建议至少选择两种字符。

    • 密码长度:设置密码长度的最小值和最大值。取值范围:8~32。最小值设置为8,最大值设置为32表示会随机生成长度为8~32位的密码。

    • 密码策略:设置密码中最少包含的字符数、字符重复次数及不包含字符。最少字母字符数和最少其他字符数的总和不能超过密码长度

      • 数字、小写字母、大写字母和其他字符取值范围:0~32。

      • 某一字符重复次数取值范围:1~32。

      • 不包含字符集:表示生成的密码不会包含此集合中的字符。

    备注

    输入改密任务的补充说明信息。

  5. 单击关联账户,在托管账户页签下,单击添加主机账户

  6. 添加主机账户对话框中,选择需要添加的主机账户并单击添加

    为改密任务添加主机账户有以下限制条件:

    • 一个主机账户仅能添加到一个改密任务中。

    • 主机账户使用协议为SSH且已设置密码。如果主机账户认证类型为SSH密钥或共享密钥,则无法添加到改密任务中。

    操作成功后,您将收到改密任务与主机账号关联成功的提示信息。您可以在改密任务页面查看已创建的改密任务。

方案二:通过与KMS联动实现密码/密钥轮转

堡垒机支持对接KMS(密钥管理服务)服务,将KMS托管的ECS凭据导入至堡垒机,再通过KMS的凭据轮转能力实现ECS资产(Linux/Windows)的密码/密钥轮转。管理员在KMS设置ECS凭据的周期性自动轮转,并在堡垒机完成相关授权之后,运维人员可直接使用KMS凭据访问主机,堡垒机会实时获取KMS凭据版本信息,维护账户可用性的同时,最大限度保障资产凭据安全,降低了资产管理成本,大大提高了凭据安全管理效率。

说明

Linux系统可实现口令和公私钥(SSH Key)轮转,Windows系统可实现口令轮转。

image
  1. 登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。

  2. 在堡垒机实例列表,定位到目标实例,单击管理

  3. 在左侧导航栏,选择资产管理 > 主机

  4. 在主机列表,定位到目标主机,在操作列,单击导入KMS凭据

  5. 导入KMS凭据对话框,选中目标凭据,单击导入

    KMS凭据成功导入后,您可以在主机列表,单击对应的主机名称,在主机账户页签查看和管理导入的KMS凭据。