只想着一直调用一直爽, 那API凭证泄漏风险如何破?

  1. 云栖社区>
  2. 阿里云安全>
  3. 博客>
  4. 正文

只想着一直调用一直爽, 那API凭证泄漏风险如何破?

云安全专家 2019-04-09 16:10:50 浏览1219
展开阅读全文

如今各家云厂商都通过给用户提供API调用的方式来实现一些自动化编排方面的需求。为了解决调用API过程中的通信加密和身份认证问题,大多数云厂商会使用同一套技术方案—基于非对称密钥算法的鉴权密钥对,这里的“密钥对”即API凭证,是云上用户调用云服务API、访问云上资源的唯一身份凭证。

在信息安全领域有一个广为认可的假定,即所有系统都是可攻破的,这里的“攻破”是广义的,可以是外部攻击,也可以是恶意内部威胁(insider threat),当然也可能是无心泄漏导致的潜在威胁。API凭证(在阿里云被称为AccessKey)作为用户访问内部资源最重要的身份凭证,被外部人员恶意获取或被内部员工无心泄露的案例时有发生,其导致的数据泄露非常严重,因此如何做好API凭证管理和监测就显得非常重要。

一、API凭证的安全现状

API凭证相当于登录密码,只是使用

网友评论

登录后评论
0/500
评论
云安全专家
+ 关注
所属云栖号: 阿里云安全