保護雲中的API金鑰 改善企業雲安全

2021-09-22 23:32:17 字數 2410 閱讀 4221

本文講的是保護雲中的api金鑰 改善企業雲安全,api金鑰和ssl金鑰一樣是安全策略中頭等大事。很多人口頭上都說要保護雲中的資訊,但事實上在雲安全方面我們都是摸著石頭過河而已。大多數企業使用某些形式的api金鑰來訪問雲服務。這些api金鑰的保護十分重要。本文將就保護api金鑰的問題進行討論並為大家推薦一些方案。

2023年,api金鑰的重要性逐漸被意識到,各企業對全力保護這些金鑰的認識也加深了。畢竟,api金鑰與訪問雲中的敏感資訊有著直接關聯。如果一家企業的api金鑰管理鬆散,那麼企業就處於這些威脅之下:1.未驗證使用者使用金鑰訪問秘密資訊;2。對費用支用撥款**務的未授權訪問可能形成鉅額信用卡賬單。

事實上,容易獲取的api金鑰意味著任何人都可以使用這些金鑰,且能夠在虛擬機器上產生鉅額費用。這類似於使用某人的信用卡然後進行未授權的消費。

api

如你所知,許多雲服務都是通過簡單的rest web服務介面訪問。通常我們將之稱為api,因為它們與c++或vb中重量級api的概念類似。不過使用者更易於在web頁面或移動手機上使用這些api。簡而言之,api金鑰是用來訪問雲服務的。gartner公司的darryl plummer認為雲技術要將各種服務綜合起來。各公司想將本地執行的應用與雲服務連線,將雲服務與雲服務連線。所有這些連線都應該是安全的,且其效能應得到監管。

顯然api金鑰控制項是觸及雲服務重要內容的工具,但是這些金鑰經常通過郵件傳送或是儲存在檔案伺服器中供多數人使用。例如,如果某企業正使用saas產品,如gmail,他們通常回從google獲取api金鑰。這一api金鑰僅對該企業有效,且能讓員工登入和訪問公司郵箱。

如何保護api金鑰?

api金鑰必須當成密碼和私人金鑰一樣保護。也就是說它們應該像檔案一樣儲存在檔案系統中,或是放在分析起來相對較容易的應用中。以cloud service broker為例,api金鑰以加密方式儲存,使用hardware security module (hsm)的時候,它提供了在硬體上儲存api金鑰的選項,因為hsm**商包括:sophos-utimaco,ncipher,thales,safenet和bull,現在支援材料儲存而不僅僅是rsa/dsa金鑰。安全的api金鑰儲存意味著操作人員可以將策略應用到金鑰使用中。而且與隱私相關的準則與關鍵通訊的保護到了一塊。

▲圖一:保護api金鑰的broker 模式

下面是處理api金鑰的常用辦法:

1、開發員用郵件傳送api金鑰:企業通常用郵件把api金鑰傳送給開發人員,而開發人員再將其複製貼上到**中。這種鬆散的操作存在安全隱患因而應盡量避免。此外,如果某開發員將api金鑰複製到**中,對新金鑰的請求會對**提出更換請求從而帶來額外的工作量。

2、配置檔案:另一種常見情況是,開發員將api金鑰放在容易被找到的系統配置檔案中。人們應該將api金鑰與私人ssl金鑰同等對待。事實上,如果api金鑰到了不法之徒手中,那麼它比私有ssl金鑰的危害更大。例如,如果有人用企業api金鑰,那麼企業要為其買單。解決辦法是將金鑰交給專門的安全網路架構。這就涉及雲服務**架構,即通過**產品管理api金鑰。

3、金鑰目錄:避免api管理的乙個方法是部署與金鑰相關的明確的安全策略。理想情況下,這應該屬於corporate security policy的控制之下,實施明確的監管和問責制度。這一方法的基礎是保留api金鑰的詳細目錄。雖然這類目錄有自己的優勢,但是許多企業仍然要採用機動方法來追蹤api金鑰。

這些企業應該在開發api金鑰目錄時詢問下列問題:

a) 金鑰用來做什麼,出於何種目的?

b) 誰對專屬金鑰負責?

c) 金鑰的使用有沒有有效期?有效期到來前如何通知使用者?過期金鑰有沒有明確的方案?以為呢密碼過期時可能造成大混亂。

該目錄可放到自己的加密excel資料表或是資料庫中管理又或者是通過其他專用產品來管理。此方法的缺點是管理資料表或資料的時間會稍長,且會出現人為失誤。替換的方法是利用現成產品,如雲服務**。除了提供其他服務外,**還可以讓企業輕鬆檢視api金鑰的關鍵資訊,包括識別誰應對api負責,以及提供api的使用資訊和有效期。

4、加密的檔案儲存:更大的威脅出現在開發員試圖為api金鑰部署自己的安全策略時。例如,開發員知道應保護api金鑰,而且會選擇將金鑰儲存在難被找到的地方——有時是使用加密運算法則或是將金鑰藏在檔案或登錄檔中。無疑剛開始的確會有人找不到這些金鑰藏匿處,但不久這些資訊就會在企業內公之於眾。這種錯誤恰恰印證了「通過隱藏是無法獲得安全」的諺語。

總而言之,由於企業使用雲服務的情況越來越多,因此這就可能出現api金鑰的使用太鬆散或是共享的情況。不論企業是選擇自己管理api金鑰還是使用現成產品管理,關鍵都是要保護好金鑰的訪問和使用。

此處我們要鼓勵cio和cso們將api金鑰看作是與ssl私有金鑰地位等同的安全策略。建議把api金鑰視為敏感資源,因為它們可以直接訪問敏感資訊。api金鑰的有效管理可以改善企業雲安全,避免未授權的收費或是敏感資訊的洩露。

西公尺薇

保護公共雲和混合雲中的資料

自從人們開始依靠技術來運營業務以來,備份,業務連續性 bc 和災難恢復 dr 已經成為30年來it團隊工作的重要組成部分。傳統解決方案是針對內部部署基礎架構和結構化應用程式和關聯式資料庫而設計的,但it世界正在發生變化。在數位化轉型的時代,人們需要重新思考和重塑基礎備份和恢復架構的工作量,這些工作負...

為什麼應該保護雲中的大資料

將大資料和雲計算結合是企業滿足計算需求的完美解決方案。企業的資料通常需要乙個計算環境,快速有效地發展,並具有更大靈活性,自動適應大量資料。在在雲計算環境下可以做到這一點。然而討論雲計算時不斷出現的一些問題。雲計算如何保持安全?保護資料,尤其是大資料是乙個重要問題。公司預計,儲存在雲中的任何資料都將被...

如何保護你的API

rest api架構越來越多的被使用。當你設計了乙個post方法的api時,該api暴露出來後可能被人找到,並進行惡意資料的提交。怎麼解決這個被惡意提交的問題呢?首先想到的是可以要求客戶在提交引數時,將驗證資訊加上如 使用者名稱 密碼。就像下面的資料結構一樣使用者每次提交資料都加上kid 相當於使用...