雲安全之淺談密鑰洩露

前言

如今越來越多公司選擇使用雲平台，諸如:阿裡雲、騰訊雲、AWS、Azure。使用雲平台大大降低了企業的資源成本，另一方面随着公用雲的普及，也存在着一些風險。現代應用程式需要與其他外部應用程式通信，并且它們需要内部服務到服務的通信。 這意味着通路任何服務、應用程式和資料都需要大量憑證或密鑰。而密鑰洩漏、配置不當等問題正引起的越來越安全問題。

常見的密鑰

1. 使用者憑據

這些通常是使用者名和密碼組合，用于驗證實體使用者以及授予對受保護資料、服務或端點的通路權限。 它們綁定到特定使用者。

2.資料庫連接配接字元串

連接配接字元串将應用程式連接配接到資料庫伺服器。 是以它将包含建立與目标資料庫或檔案的連接配接所需的所有憑據（秘密）。

3. 密鑰

這些可確定通過風險媒體進行安全通信，并有助于身份驗證和使用者身份驗證。 秘密包含加密和解密密鑰。

4.雲服務通路憑證(AK)

通路雲服務提供商提供的資料、資源和伺服器所需的秘密。 它們包含确認通路雲資源的使用者身份驗證所需的憑據。

5. 應用程式程式設計接口 (API) 密鑰

識别 API 請求來源所需的秘密。

6. 通路令牌

發出 API 請求以支援使用者所需的秘密。

雲服務通路憑證(AccessKey)

雖然有很多密鑰類型都需要我們關注，今天我們主要讨論的就是雲服務的通路憑證。

AccessKey（即通路密鑰）是雲平台使用者在通過API通路雲資源時用來确認使用者身份的憑證，以確定通路者具有相關權限。AccessKey由雲平台提供商（如亞馬遜AWS、阿裡雲等）頒發給雲主機的所有者，一般由AccessKeyID（通路密鑰ID）和Secret Access Key（私有通路密鑰）構成。

主要的洩露方式

1. 寫死産生洩露

例如将AK/SK寫死到程式代碼/配置檔案中，攻擊者隻需要對小程式包進行反編譯即可擷取AK/SK，例如下面的代碼配置檔案中，直接包含了AK/SK的資訊，如果攻擊者擷取了相關内容就可以直接拿到，并進行後續動作。

同時，由于github等代碼托管倉庫的風靡，是越來越的項目得到開放和傳播，但是如果在開發時不慎将AK/SK洩露，産生的影響也會随之而擴大。

常見的資訊擷取方式如搜尋github，FOFA等

2. 雲存儲洩露

随着越來越多資料到雲端，我們可能會看到更多配置錯誤導緻意外的資料洩露。如果存儲桶因意外或故意原因讓任何人都可以通路，那麼，如果這些檔案的權限被設定為公開，則存儲桶中所有資料都可能被洩露。即使資料不是機密資料，這些資料也可能被用于進一步攻擊，也許通過分析檔案中的中繼資料。常見的配置錯誤如：

· Bucket允許任意檔案上傳和讀取

· bucket允許匿名通路

· bucket允許列出檔案

· bucket允許盲上傳

· bucket允許任意讀取/寫入對象

· bucket顯示ACP/ACL

而這些問題大部分的産生是由于客戶配置錯誤，憑證管理不當洩漏，而不是雲提供商方面的漏洞。

3. 網絡請求洩露AK/SK

通過後端API将AK/SK傳回到前端，攻擊者隻需要對程式進行網絡抓包，即可擷取後端傳回的AK/SK，舉例如下，可以清楚看到該API的傳回内容洩露了多個公有雲廠商的AK/SK

一些優化建議

優化開發并配合檢測工具

針對寫死帶來的安全問題，首先需要解決額就是問題的源頭，是以我們需要提升開發者的安全意識和安全習慣，這樣可以最大程度的避免問題的發生。

當然問題不會那麼理想，很多時候由于人員水準和管理水準的局限性，無法要求所有的開發人員都能做到完全的自我安全管理，那這個時候我們就要配合必要的安全檢測工具，在代碼送出到倉庫前，發現其中潛在的AK/SK洩露問題。将兩者結合可以更好的優化和解決問題。

監控和審計

要配合适當的監控和審計能力，監控是為了實時的去發現問題的出現，而審計則更加關注問題出現後的處理和追溯。配合适當的工具和能力，這樣一旦發生了洩露事件，我們可以根據監控和審計情況，快速定位問題的影響範圍，并鎖定攻擊者，快速處理和修複。

這部分能力，大多數的雲供應商都有提供相關工具，當然基于雲中的責任共擔模型，使用工具和管理上層安全是需要使用者去負責的，是以最關鍵的問題還是在使用者層面。

建立持續性雲上安全檢測機制

最後也是最重要，針對雲上層出不窮的安全問題，錯誤配置是最常見的原因，“1%的錯誤配置會讓99%的安全防護工作失去意義”。對已經上雲的資源，建立持續性的機制，主要通過預防、檢測、響應和主動識别雲基礎設施風險，持續管理雲安全狀況，以及企業的安全政策，主動與被動結合，發現評估雲服務的安全配置風險，一旦發現問題，可以提供自動或者人工的補救措施。

關于HummerRisk

HummerRisk 是開源的雲原生安全平台，以非侵入的方式解決雲原生的安全和治理問題，核心能力包括混合雲的安全治理和K8S容器雲安全檢測。

Github 位址：https://github.com/HummerRisk/HummerRisk

Gitee 位址：https://gitee.com/hummercloud/HummerRisk