保护工程师机器上的 AWS 凭证

Amazon Web Services 的按需性质已经改变了科技公司对基础设施的看法。它使早期初创企业能够以与他们成长和建立业务相同的速度点亮基础设施,以便通过一些 API 命令轻松地在不同的基础设施配置之间进行转换。这样做的缺点是,如果攻击者获得具有足够访问权限的凭据,他们可以为邪恶目的支付巨额费用(如比特币挖掘 1 2),或者干脆删除所有内容,正如 Code Spaces 去年发现的那样。虽然有人可能会争辩说,通过良好的安全实践,甚至只是良好的备份可以缓解大部分问题,但初创公司令人生畏的失败率使得将这些努力推迟到资金流入时的风险/回报非常低。app icon By Kuda Poni随着 99designs 从一家小型初创公司发展到超过 150 人,我们经历了其中的几个拐点,我们必须重新思考我们如何处理工程,

我们经历了其中的几个拐点

以及最近我们如何处理安全性和我们的 AWS 基础设施。我们从 2007 年的早期测试版开始就一直在使用 AWS,因此我们经常尝试在它们发展的过程中应用最佳实践,巴哈马电话号码 但我们在如何处理凭证方面仍然有相当基本的实践。我们着手弄清楚风险是什么,以及我们如何在不引入太多额外复杂性的情况下减轻它们。威胁模型——据我们估计,最有可能的攻击媒介主要集中在四个主题上: 被盗或放错地方的工程师笔记本电脑上的凭证 工程师笔记本电脑上的恶意软件窃取凭证 在 Github 或其他地方意外发布 AWS 凭证 没有拥有的前雇员证书被撤销 我敢肯定这不是一个详尽的列表,随着新向量的发现,

通过良好的安全实践

Bahamas Phone Number List

我们将随着时间的推移对其进行更新。我们得出了一些我们想要应用的高级缓解措施:每个团队都应该有自己的 AWS 账户,并具有有限的跨账户权限。应在可行的情况下应用最小特权原则。用户创建/删除应定期进行集中管理和审计,并定期轮换密钥。安全敏感操作应该需要不存储在笔记本电脑上的第二个因素。 AWS 凭证不应该以明文形式静态存储,理想情况下甚至不应该存储在内存中。这些缓解措施主要解决了 #1 和 #2,我们认为这是最大的风险,但它们也缩小了 #3 和 #4 可能发生的范围。 AWS Building Blocks — 拿着钻石的女人 作者 Bajim2309 Amazon 提供了多种用于管理用户和权限的工具,

Leave a comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *