架構師專欄

專有網路VPC（Virtual Private Cloud）提供流日誌功能，可以記錄VPC網路中彈性網卡ENI（Elastic Network Interface）傳入和傳出的流量信息，幫助您檢查訪問控制規則、監控網路流量和排查網路故障。

操作審計可協助您監控並記錄阿里雲帳號的活動。審計最近90天阿里雲帳號下的操作，確保雲端服務的使用符合您的合規性需求和安全標準。例如：您可以透過操作審計定位到是哪個RAM使用者在什麼時間進行了什麼操作。當您需要查詢90天以前的事件時，必須事先建立追蹤將事件投遞到日誌服務SLS、物件儲存OSS。

當超過帳號需要使用的權限，這很可能造成使用者有過多的權限而造成誤觸、誤啟用、誤刪等事件。Azure建議所有攸關權限的設定都應給予最小權限，以避免上述過多權限所造成的問題，可以透過Azure RBAC來實現。

Alibaba Cloud 環境中每個服務在啟用時均會預設帶入 predifined role 以讓該服務功能可被完整的使用，但 predefined role 多半具有上千個不同的權限，而實際使用情境很可能只用到其中的數十個不等的權限，建議依情境來做細緻化的權限設定。

身份驗證最基本方式為使用帳號及密碼，為控管Azure使用者帳戶安全應要求使用者使用強密碼，並避免使用者重複使用使用相同密碼;若是有AAD premium帳戶，也可以使用password protection來針對弱勢密碼進行保護。

傳統對於身分驗證僅使用帳號和密碼當作身分驗證的唯一指標，但在駭客手法精進和運算單元的強化後，破解密碼是彈指之間的事情。多因子驗證可在使用帳號密碼登入後，透過用passcode generator 產生具有時效性的一次性密碼、來對使用者帳戶做多層管控。

本篇文章將針對帳號身分驗證與識別管理做說明及建立安全機制，讓我們一起看下去吧！

在Azure 環境中各項產品均符合相關法規規範(如ISO27001, ISO27017等)，針對各產品也有提供資安規劃的最佳實踐，不過在資安的面相來說，安全性是仰賴責任共享原則(shared responsibility)，這意味著安全的服務上所佈建的應用程式安全和使用安全仰賴這使用者的規範和實作。

身份驗證最基本方式為使用帳號及密碼，為控管Alibaba Cloud使用者帳戶[1]安全應要求使用者使用強密碼（長度、英數混雜、大小寫、特殊符號等），並避免使用者重複使用相同密碼，同時也可以設定密碼到期後的處置辦法。