正如2017年OneLogin泄露事件所展示的,AWS访问密钥被泄露的情况并不少见。这些密钥会出现在公共网站、源代码库、未受保护的K8s仪表板,以及其他一些论坛上。把AWS访问密钥视为最敏感的宝贵资产,教育开发人员避免在公共论坛中泄露此类密钥。
为每一个外部服务创建唯一的密钥,并遵循最小特权原则限制对其访问,确保密钥没有太多的访问权限。密钥如果落在犯罪分子手中,可以用来访问敏感资源和数据。创建IAM角色来分配特殊特权,例如进行API调用。
务必定期轮换密钥,以避免攻击者有时间截获被攻破的密钥,冒充特权用户渗透到云环境中。
不要使用root用户账户,即使是要用于管理任务。使用root用户来创建具有指定权限的新用户。锁定root账户(可以通过添加多重身份验证来实现),仅用于具体的账户和服务管理任务。对于其他的账户,为用户提供适当的权限。
检查用户账户,查找那些未被使用的账户,并禁用它们。如果没有人使用这些账户,何必给攻击者留下攻击的后门呢。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。