超级会员免费看
AWS 安全:凭证存储、加密与数据保护全解析
1. 凭证存储的重要性与风险
敏感信息,如访问密钥、第三方服务的 API 密钥和数据库凭证,不应存储在 Lambda 代码、环境变量或代码仓库中,因为这些地方很容易导致信息泄露。一旦凭证出现在公开可访问的仓库中,即使只有几秒钟,也应视为已泄露并立即停用。
为了监控这种情况,可以使用 Macie 等工具扫描 S3 存储桶中的敏感数据。对于 Git 仓库,可以使用 AWS 提供的 git - secrets 工具。这两种工具都可以与自动化结合,至少在发现问题时发出通知。更高级的自动化可以自动禁用受损的 AWS 密钥、锁定 S3 存储桶等。
2. 凭证泄露的惨痛案例
有一个案例,泄露源不明,但密钥被恶意分子获取用于挖掘加密货币。攻击者配置了一个 AWS Lambda 微服务来运行公开可用的加密货币挖掘脚本,每次运行 15 分钟(Lambda 的最大运行时长),并结合一个脚本不断启动该微服务,持续了数周。由于没有配置预算警报,用户直到月底收到 45,000 美元的云使用账单时才发现问题。而在这数周内,恶意分子仅获得了 800 美元的加密货币,这不仅是对云资源的低效使用,也是 Lambda 微服务的一个不良用例。
很多人在看到该用户的推文后分享了类似经历。虽然用户可以向 AWS 寻求补救,但 AWS 是否免除费用完全取决于其自行决定,且这种请求不应超过一次。
为了保护 AWS 账户免受此类情况的影响,可以采取以下措施:
1. 使用 Secrets Manager 和 Parameter Store 等服务存储机密并管理访问权限。可以使用 IAM 策略确定哪些服务和用户可以
订阅专栏 解锁全文
扫一扫
89
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
