只想着一直调用一直爽, 那API凭证泄漏风险如何破?

云安全专家 2019-04-09

安全 日志 云安全 API 代码托管 云服务 github 数据泄露 云安全中心 AK泄露 API凭证

如今各家云厂商都通过给用户提供API调用的方式来实现一些自动化编排方面的需求。为了解决调用API过程中的通信加密和身份认证问题,大多数云厂商会使用同一套技术方案—基于非对称密钥算法的鉴权密钥对,这里的“密钥对”即API凭证,是云上用户调用云服务API、访问云上资源的唯一身份凭证。

在信息安全领域有一个广为认可的假定,即所有系统都是可攻破的,这里的“攻破”是广义的,可以是外部攻击,也可以是恶意内部威胁(insider threat),当然也可能是无心泄漏导致的潜在威胁。API凭证(在阿里云被称为AccessKey)作为用户访问内部资源最重要的身份凭证,被外部人员恶意获取或被内部员工无心泄露的案例时有发生,其导致的数据泄露非常严重,因此如何做好API凭证管理和监测就显得非常重要。

一、API凭证的安全现状

API凭证相当于登录密码,只是使用

登录 后评论
下一篇
冒顿单于
60686人浏览
2019-06-20
相关推荐
hello Kotlin
2245人浏览
2016-10-28 14:56:00
程序员理财的正确姿势
1684人浏览
2017-06-09 10:19:16
一个决定,一个转折
715人浏览
2016-02-16 10:48:00
微信扫码登录网站
845人浏览
2017-11-07 16:34:00
区块链如何破茧化蝶
640人浏览
2018-04-19 14:59:38
一次有趣的爬泰山之旅
563人浏览
2018-02-28 09:56:04
0
0
0
1128