保护云中的API密钥 改善企业云安全

本文讲的是保护云中的API密钥 改善企业云安全,API密钥和SSL密钥一样是安全策略中头等大事。很多人口头上都说要保护云中的信息,但事实上在云安全方面我们都是摸着石头过河而已。大多数企业使用某些形式的API密钥来访问云服务。这些API密钥的保护十分重要。本文将就保护API密钥的问题进行讨论并为大家推荐一些方案。

  2011年,API密钥的重要性逐渐被意识到,各企业对全力保护这些密钥的认识也加深了。毕竟,API密钥与访问云中的敏感信息有着直接关联。如果一家企业的API密钥管理松散,那么企业就处于这些威胁之下:1.未验证用户使用密钥访问秘密信息;2。对费用支用拨款制服务的未授权访问可能形成巨额信用卡账单。

  事实上,容易获取的API密钥意味着任何人都可以使用这些密钥,且能够在虚拟机上产生巨额费用。这类似于使用某人的信用卡然后进行未授权的消费。

  API

  如你所知,许多云服务都是通过简单的REST Web服务界面访问。通常我们将之称为API,因为它们与C++或VB中重量级API的概念类似。不过用户更易于在Web页面或移动手机上使用这些API。简而言之,API密钥是用来访问云服务的。Gartner公司的Darryl Plummer认为云技术要将各种服务综合起来。各公司想将本地运行的应用与云服务连接,将云服务与云服务连接。所有这些连接都应该是安全的,且其性能应得到监管。

  显然API密钥控件是触及云服务重要内容的工具,但是这些密钥经常通过邮件发送或是保存在文件服务器中供多数人使用。例如,如果某企业正使用SaaS产品,如Gmail,他们通常回从Google获取API密钥。这一API密钥仅对该企业有效,且能让员工登录和访问公司邮箱。

  如何保护API密钥?

  API密钥必须当成密码和私人密钥一样保护。也就是说它们应该像文件一样保存在文件系统中,或是放在分析起来相对较容易的应用中。以Cloud Service Broker为例,API密钥以加密方式保存,使用Hardware Security Module (HSM)的时候,它提供了在硬件上保存API密钥的选项,因为HSM供应商包括:Sophos-Utimaco,nCipher,Thales,Safenet和Bull,现在支持材料存储而不仅仅是RSA/DSA密钥。安全的API密钥存储意味着操作人员可以将策略应用到密钥使用中。而且与隐私相关的准则与关键通信的保护到了一块。


▲图一:保护API密钥的Broker 模式

  下面是处理API密钥的常用办法:

  1、开发员用邮件发送API密钥:企业通常用邮件把API密钥发送给开发人员,而开发人员再将其复制粘贴到代码中。这种松散的操作存在安全隐患因而应尽量避免。此外,如果某开发员将API密钥复制到代码中,对新密钥的请求会对代码提出更换请求从而带来额外的工作量。

  2、配置文件:另一种常见情况是,开发员将API密钥放在容易被找到的系统配置文件中。人们应该将API密钥与私人SSL密钥同等对待。事实上,如果API密钥到了不法之徒手中,那么它比私有SSL密钥的危害更大。例如,如果有人用企业API密钥,那么企业要为其买单。解决办法是将密钥交给专门的安全网络架构。这就涉及云服务代理架构,即通过代理产品管理API密钥。

  3、密钥目录:避免API管理的一个方法是部署与密钥相关的明确的安全策略。理想情况下,这应该属于Corporate Security Policy的控制之下,实施明确的监管和问责制度。这一方法的基础是保留API密钥的详细目录。虽然这类目录有自己的优势,但是许多企业仍然要采用机动方法来追踪API密钥。

  这些企业应该在开发API密钥目录时询问下列问题:

  a) 密钥用来做什么,出于何种目的?

  b) 谁对专属密钥负责?

  c) 密钥的使用有没有有效期?有效期到来前如何通知用户?过期密钥有没有明确的方案?以为呢密码过期时可能造成大混乱。

  该目录可放到自己的加密Excel数据表或是数据库中管理又或者是通过其他专用产品来管理。此方法的缺点是管理数据表或数据的时间会稍长,且会出现人为失误。替换的方法是利用现成产品,如云服务代理。除了提供其他服务外,代理还可以让企业轻松查看API密钥的关键信息,包括识别谁应对API负责,以及提供API的使用信息和有效期。

  4、加密的文件存储:更大的威胁出现在开发员试图为API密钥部署自己的安全策略时。例如,开发员知道应保护API密钥,而且会选择将密钥保存在难被找到的地方——有时是使用加密运算法则或是将密钥藏在文件或注册表中。无疑刚开始的确会有人找不到这些密钥藏匿处,但不久这些信息就会在企业内公之于众。这种错误恰恰印证了“通过隐藏是无法获得安全”的谚语。

  总而言之,由于企业使用云服务的情况越来越多,因此这就可能出现API密钥的使用太松散或是共享的情况。不论企业是选择自己管理API密钥还是使用现成产品管理,关键都是要保护好密钥的存取和使用。

  此处我们要鼓励CIO和CSO们将API密钥看作是与SSL私有密钥地位等同的安全策略。建议把API密钥视为敏感资源,因为它们可以直接访问敏感信息。API密钥的有效管理可以改善企业云安全,避免未授权的收费或是敏感信息的泄露。

作者:西米薇

来源:it168网站

原文标题:保护云中的API密钥 改善企业云安全

时间: 2024-10-30 02:55:55

保护云中的API密钥 改善企业云安全的相关文章

初创企业云安全用户指南

作为云服务解决方案,Alert Logic集成了先进的全天候监控安全工具来抵御威胁和解决合规性,同时还是AWS先进技术合作伙伴和安全供应商.本文来自于Alert Logic的首席安全专员Stephen Coty,他在文中分享了云安全最佳实践.以下为Stephen Coty分享的译文: 许多年前,我怀揣巨大的梦想和很少的资金创建了一个安全和发展公司.然而,在我开始建设必要的基础设施和开发平台的时候,我很快意识到了成本问题.当然,这发生在21世纪初期,当时并没有云计算基础设施,所以要想有基础设施,就

【安全课堂】10步改善企业的分层防御策略

本文讲的是[安全课堂]10步改善企业的分层防御策略,在安全社区,或者广义上讲当代人类信息社会中,一直存在一个问题.问题就是:我们一直将安全看作是一种技术.策略.隐私,或者人力问题,而不是一个综合集成的组合.无论如何,尽管我们制定了诸多的标准.法律,创造了最佳范例,尝过了经验教训,也产生了新技术,我们却一直在践行深度防御上走在了错误的道路上. 我们仍然将安全视为IT问题,依然把风险和合规当成日常文书工作.我们的整个组织中缺乏真正的安全氛围.我们仍旧认为有入侵检测系统(IDS).安全信息和事件管理(

教你改善企业网络安全的八个技巧

本文讲的是教你改善企业网络安全的八个技巧,经常听人说安全是一次旅行,而不是目的地.确实是这样,因为在管理网络资产安全时,你总是要领先你的对手(想要窃取.修改和破坏你的数据的网络罪犯和不满员工等)一步.你不能停留在一个地方太久,因为你的对手总是会不断尝试新技术来攻入你的网络并获取数据.在很多情况下,攻击者甚至与网络泄漏没有直接关系,因为最具破坏性的攻击通常是由有授权的内部人员发起的. 好人和坏人总是争先恐后,有时候他们在你前面,有时候你又在他们前面.可能更准确地说,安全是一场竞赛,与扳手腕比赛类似

云栖大会之前 阿里云解释企业云安全架构逻辑

安全性是所有云计算平台都绕不开户的核心,一个基础常识是,所有客户考虑是否上云的第一点因素,就是云的安全性,也正是这一点,促使云服务商们大力关注自身安全性,不论是亚马逊还是阿里. 9月28日,阿里云在云栖大会之前,发布首个企业云安全架构,以及<2017阿里云安全白皮书>(简称白皮书). 阿里云安全事业部总经理肖力于现场表示,大量企业将业务部署在云端,但是国内90%的企业都没有自身的安全团队,安全水平不及格.仅有2%的公司会在安全上有较大投入. IDC中国企业研究部高级分析师赵明宇也强调了云上安全

武装到“牙齿”!阿里云发布史上最强企业云安全架构 11层防护

9月28日,阿里云在北京正式发布首个企业云安全架构和<2017阿里云安全白皮书>(以下简称白皮书),企业可参考架构指南和白皮书构建安全.稳固的信息化架构.白皮书将用户隐私和数据安全列为第一原则,并于2015年全球首家将不碰客户数据写入正式文本,明确:数据是客户资产,云计算平台不得移作它用.同时,阿里云还首次推出了"5S安全标准",这也是业内首个云上安全标准. 阿里云想为客户提供极致安全 业内首个企业云安全架构发布 未来的企业都会基于云来搭建业务的安全系统,企业云安全架构(C

阿里云发布史上最强企业云安全架构 11层防护 武装到“牙齿”

9月28日,阿里云在北京正式发布首个企业云安全架构和<2017阿里云安全白皮书>(以下简称白皮书),企业可参考架构指南和白皮书构建安全.稳固的信息化架构.白皮书将用户隐私和数据安全列为第一原则,并于2015年全球首家将不碰客户数据写入正式文本,并明确:数据是客户资产,云计算平台不得移作它用. "我们已经从全民PC安全时代迈入全民云安全时代,阿里云希望为企业提供一个可靠的安全架构体系指南,让安全成为一种基础能力." 阿里云安全资深总监肖力表示. 安全第一!数据安全和用户隐私是

企业云安全的合规要求和应对建议

企业在使用云计算的过程中,面临很大的一个安全方面的问题就是需要应对各级主管部门的合规要求,本文将对企业云计算的合规要求和应 对方法进行详细介绍.企业云计算的合规总体需求企业将其业务从传统数据中心迁移至 云计算数据中心的选择将使其面临新的安全挑战,其中最重要的挑战之一即遵从 众多监管条例对交付.度量和通信的合规约束.云计算服务用户和供应商需要理解和掌握当前合规和审核标准.过程和实践的区别和意义.云计算分布式和虚拟化的特性需要基于具体化的信息和过程实体进行重大的框架调整.集中化和统一化的管理平台使云

如何在一个月之内,有效改善企业和网站的互联网展现效果

摘要: 作为一名seo经理或者专员,刚刚到一家公司上任,如何在一个月之内,有效改善企业和网站的互联网展现效果,下面就为大家分享一些实用的技巧. 站内优化 (一 )站内优化关键在于 作为一名seo经理或者专员,刚刚到一家公司上任,如何在一个月之内,有效改善企业和网站的互联网展现效果,下面就为大家分享一些实用的技巧. 站内优化 (一 )站内优化关键在于提高网站的搜索引擎友好度和用户体验. 如: 1.整体扁平化结构,层次清晰化,方便搜索引擎收录和用户访问: 2.整站的seo细节设置,包括关键字的提取和

企业云安全审计要求与建议

如同合规要求一样,企业的云安全工作应该包含审计与保证.必须独立地实施审计,并且应该坚定地设计审计以便表现出最佳实践.恰当的资源,以及 经过检验的协议及标准.对于客户和服务提供商而言,内审和外审以及各种控制措施都是合情合理的.可为云计算效力的角色.在引入云计算的起步阶段,更多的透明度可能是增加利益相关者舒适度的最佳选择.审计是提供保证的方法之一,其保证运营风险管理活动得到彻底地检验和评审.组织最高级别的治理要素( 例如董事会和管理层)应该采纳并支持审计计划.对至关重要的系统及控制进行定期且独立的审