.jpg)
שימוש ב-AWS access keys מאפשר לנו גישה אפליקטיבית או באמצעות CLI לשירותים של AWS, באופן דומה לשם משתמש וסיסמא.
ל-AWS access keys יש הרשאות גישה – לטוב ולרע.
לדוגמא, במידה ואתם מאחסנים נתוני הזדהות של חשבון root בתוך קטע קוד, כל אחד הנגיש לקוד זה ומפעיל אותו עשוי לגרום לנזק לחשבון שלכם ב-AWS.
בשנים האחרונות פורסמו מקרים רבים של פריצות לחשבונות AWS בשל חשיפת ה-access keys, בייחוד בשילוב של אחסון access keys באתרי ניהול קוד פתוח דוגמת GitHub ו-GitLab.
על-מנת להימנע מפריצה לחשבון AWS, להלן רשימת המלצות להגנה על הסביבות שלכם ב-AWS כאשר משתמשים ב-access keys:
• הימנעו משימוש ב-access keys עבור חשבון ה-root. במידה ויצרתם access keys עבור חשבון זה,מחקו אותם https://goo.gl/wUzvDe
• השתמשו בהרשאות גישה מינימאליות כאשר אתם יוצרים תפקידי חשבונות (account roles),
• השתמשו ב-AWS IAM Roles במקום ב-access keys עבור משאבים כגון Amazon EC2,
• צרו access keys שונים עבור כל אפליקציה, על-מנת לצמצם את הסיכון של חשיפת נתוני הזדהות, https://goo.gl/d4sLG4
• הגנו על ה-access keys באמצעות אחסון שלהם בתוך volumes מוצפנים, וכן הימנעו משליחת access keys באמצעות דואר אלקטרוני או כל אמצעי בלתי מאובטח שהוא, https://goo.gl/knQuAi
• החליפו (שנו) את ה-access keys בצורה קבועה, כדי למנוע שימוש חוזר בנתוני ההזדהות, https://goo.gl/1MT3UG
• מחקו access keys אשר אינם בשימוש, כדי למנוע שימוש חוזר בהם, https://goo.gl/GT8uVs
• השתמשו בהזדהות חזקה (Multi-factor authentication) עבור חשבונות בעלי הרשאות גישה גבוהות, https://goo.gl/rs8Ras
• הגדירו billing alerts באמצעות Amazon CloudWatch, על-מנת לקבל התראות לגבי שימוש חריג בחשבון AWS,
• הפעילו ניטור באמצעות AWS CloudTrail על-מנת לבחון מתי בוצע שימוש אחרון ב-access keys,
• השתמשו בכלי קוד-פתוח דוגמת git-secrets כדי להימנע מאחסון סיסמאות ומידע רגיש ב-GIT repositories,
• פעלו בהתאם להמלצות של GitHub והימנעו מאחסון מידע רגיש ב-repositories החשופים לגישה ציבורית, https://goo.gl/1oipCZ
המאמר נכתב ע"י אייל אסטרין, ארכיטקט אבטחת מידע ומחשוב ענן.
ניתן לעקוב אחר הפרסומים שלו בבלוג Security 24/7 או ב-Twitter
שימוש ב-AWS access keys מאפשר לנו גישה אפליקטיבית או באמצעות CLI לשירותים של AWS, באופן דומה לשם משתמש וסיסמא.
ל-AWS access keys יש הרשאות גישה – לטוב ולרע.
לדוגמא, במידה ואתם מאחסנים נתוני הזדהות של חשבון root בתוך קטע קוד, כל אחד הנגיש לקוד זה ומפעיל אותו עשוי לגרום לנזק לחשבון שלכם ב-AWS.
בשנים האחרונות פורסמו מקרים רבים של פריצות לחשבונות AWS בשל חשיפת ה-access keys, בייחוד בשילוב של אחסון access keys באתרי ניהול קוד פתוח דוגמת GitHub ו-GitLab.
על-מנת להימנע מפריצה לחשבון AWS, להלן רשימת המלצות להגנה על הסביבות שלכם ב-AWS כאשר משתמשים ב-access keys:
• הימנעו משימוש ב-access keys עבור חשבון ה-root. במידה ויצרתם access keys עבור חשבון זה,מחקו אותם https://goo.gl/wUzvDe
• השתמשו בהרשאות גישה מינימאליות כאשר אתם יוצרים תפקידי חשבונות (account roles),
• השתמשו ב-AWS IAM Roles במקום ב-access keys עבור משאבים כגון Amazon EC2,
• צרו access keys שונים עבור כל אפליקציה, על-מנת לצמצם את הסיכון של חשיפת נתוני הזדהות, https://goo.gl/d4sLG4
• הגנו על ה-access keys באמצעות אחסון שלהם בתוך volumes מוצפנים, וכן הימנעו משליחת access keys באמצעות דואר אלקטרוני או כל אמצעי בלתי מאובטח שהוא, https://goo.gl/knQuAi
• החליפו (שנו) את ה-access keys בצורה קבועה, כדי למנוע שימוש חוזר בנתוני ההזדהות, https://goo.gl/1MT3UG
• מחקו access keys אשר אינם בשימוש, כדי למנוע שימוש חוזר בהם, https://goo.gl/GT8uVs
• השתמשו בהזדהות חזקה (Multi-factor authentication) עבור חשבונות בעלי הרשאות גישה גבוהות, https://goo.gl/rs8Ras
• הגדירו billing alerts באמצעות Amazon CloudWatch, על-מנת לקבל התראות לגבי שימוש חריג בחשבון AWS,
• הפעילו ניטור באמצעות AWS CloudTrail על-מנת לבחון מתי בוצע שימוש אחרון ב-access keys,
• השתמשו בכלי קוד-פתוח דוגמת git-secrets כדי להימנע מאחסון סיסמאות ומידע רגיש ב-GIT repositories,
• פעלו בהתאם להמלצות של GitHub והימנעו מאחסון מידע רגיש ב-repositories החשופים לגישה ציבורית, https://goo.gl/1oipCZ
המאמר נכתב ע"י אייל אסטרין, ארכיטקט אבטחת מידע ומחשוב ענן.
ניתן לעקוב אחר הפרסומים שלו בבלוג Security 24/7 או ב-Twitter
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר
