✕ סגור 
צור קשר
תודה על ההתעניינות .

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form

טיפים לשימוש נכון ב-AWS access keys

Eyal Estrin
|
קלה
|
Mar 27, 2018
alt="facebook"alt="linkedin"
להרשמה לניוזלטר

שימוש ב-AWS access keys מאפשר לנו גישה אפליקטיבית או באמצעות CLI לשירותים של AWS, באופן דומה לשם משתמש וסיסמא.

ל-AWS access keys יש הרשאות גישה – לטוב ולרע.

לדוגמא, במידה ואתם מאחסנים נתוני הזדהות של חשבון root בתוך קטע קוד, כל אחד הנגיש לקוד זה ומפעיל אותו עשוי לגרום לנזק לחשבון שלכם ב-AWS.

בשנים האחרונות פורסמו מקרים רבים של פריצות לחשבונות AWS בשל חשיפת ה-access keys, בייחוד בשילוב של אחסון access keys באתרי ניהול קוד פתוח דוגמת GitHub ו-GitLab.

על-מנת להימנע מפריצה לחשבון AWS, להלן רשימת המלצות להגנה על הסביבות שלכם ב-AWS כאשר משתמשים ב-access keys:

• הימנעו משימוש ב-access keys עבור חשבון ה-root. במידה ויצרתם access keys עבור חשבון זה,מחקו אותם https://goo.gl/wUzvDe

• השתמשו בהרשאות גישה מינימאליות כאשר אתם יוצרים תפקידי חשבונות (account roles),

https://goo.gl/LxLhDd

• השתמשו ב-AWS IAM Roles במקום ב-access keys עבור משאבים כגון Amazon EC2,

 https://goo.gl/9SHANP

• צרו access keys שונים עבור כל אפליקציה, על-מנת לצמצם את הסיכון של חשיפת נתוני הזדהות, https://goo.gl/d4sLG4

• הגנו על ה-access keys באמצעות אחסון שלהם בתוך volumes מוצפנים, וכן הימנעו משליחת access keys באמצעות דואר אלקטרוני או כל אמצעי בלתי מאובטח שהוא, https://goo.gl/knQuAi

• החליפו (שנו) את ה-access keys בצורה קבועה, כדי למנוע שימוש חוזר בנתוני ההזדהות, https://goo.gl/1MT3UG

• מחקו access keys אשר אינם בשימוש, כדי למנוע שימוש חוזר בהם, https://goo.gl/GT8uVs

• השתמשו בהזדהות חזקה (Multi-factor authentication) עבור חשבונות בעלי הרשאות גישה גבוהות, https://goo.gl/rs8Ras

• הגדירו billing alerts באמצעות Amazon CloudWatch, על-מנת לקבל התראות לגבי שימוש חריג בחשבון AWS, 

https://goo.gl/ZPYjTs

• הפעילו ניטור באמצעות AWS CloudTrail על-מנת לבחון מתי בוצע שימוש אחרון ב-access keys,

https://goo.gl/ee1Qoz

• השתמשו בכלי קוד-פתוח דוגמת git-secrets כדי להימנע מאחסון סיסמאות ומידע רגיש ב-GIT repositories, 

https://goo.gl/aXMQ3G

• פעלו בהתאם להמלצות של GitHub והימנעו מאחסון מידע רגיש ב-repositories החשופים לגישה ציבורית, https://goo.gl/1oipCZ

המאמר נכתב ע"י אייל אסטרין, ארכיטקט אבטחת מידע ומחשוב ענן.

ניתן לעקוב אחר הפרסומים שלו בבלוג Security 24/7 או ב-Twitter

שימוש ב-AWS access keys מאפשר לנו גישה אפליקטיבית או באמצעות CLI לשירותים של AWS, באופן דומה לשם משתמש וסיסמא.

ל-AWS access keys יש הרשאות גישה – לטוב ולרע.

לדוגמא, במידה ואתם מאחסנים נתוני הזדהות של חשבון root בתוך קטע קוד, כל אחד הנגיש לקוד זה ומפעיל אותו עשוי לגרום לנזק לחשבון שלכם ב-AWS.

בשנים האחרונות פורסמו מקרים רבים של פריצות לחשבונות AWS בשל חשיפת ה-access keys, בייחוד בשילוב של אחסון access keys באתרי ניהול קוד פתוח דוגמת GitHub ו-GitLab.

על-מנת להימנע מפריצה לחשבון AWS, להלן רשימת המלצות להגנה על הסביבות שלכם ב-AWS כאשר משתמשים ב-access keys:

• הימנעו משימוש ב-access keys עבור חשבון ה-root. במידה ויצרתם access keys עבור חשבון זה,מחקו אותם https://goo.gl/wUzvDe

• השתמשו בהרשאות גישה מינימאליות כאשר אתם יוצרים תפקידי חשבונות (account roles),

https://goo.gl/LxLhDd

• השתמשו ב-AWS IAM Roles במקום ב-access keys עבור משאבים כגון Amazon EC2,

 https://goo.gl/9SHANP

• צרו access keys שונים עבור כל אפליקציה, על-מנת לצמצם את הסיכון של חשיפת נתוני הזדהות, https://goo.gl/d4sLG4

• הגנו על ה-access keys באמצעות אחסון שלהם בתוך volumes מוצפנים, וכן הימנעו משליחת access keys באמצעות דואר אלקטרוני או כל אמצעי בלתי מאובטח שהוא, https://goo.gl/knQuAi

• החליפו (שנו) את ה-access keys בצורה קבועה, כדי למנוע שימוש חוזר בנתוני ההזדהות, https://goo.gl/1MT3UG

• מחקו access keys אשר אינם בשימוש, כדי למנוע שימוש חוזר בהם, https://goo.gl/GT8uVs

• השתמשו בהזדהות חזקה (Multi-factor authentication) עבור חשבונות בעלי הרשאות גישה גבוהות, https://goo.gl/rs8Ras

• הגדירו billing alerts באמצעות Amazon CloudWatch, על-מנת לקבל התראות לגבי שימוש חריג בחשבון AWS, 

https://goo.gl/ZPYjTs

• הפעילו ניטור באמצעות AWS CloudTrail על-מנת לבחון מתי בוצע שימוש אחרון ב-access keys,

https://goo.gl/ee1Qoz

• השתמשו בכלי קוד-פתוח דוגמת git-secrets כדי להימנע מאחסון סיסמאות ומידע רגיש ב-GIT repositories, 

https://goo.gl/aXMQ3G

• פעלו בהתאם להמלצות של GitHub והימנעו מאחסון מידע רגיש ב-repositories החשופים לגישה ציבורית, https://goo.gl/1oipCZ

המאמר נכתב ע"י אייל אסטרין, ארכיטקט אבטחת מידע ומחשוב ענן.

ניתן לעקוב אחר הפרסומים שלו בבלוג Security 24/7 או ב-Twitter

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Eyal Estrin
בואו נעבוד ביחד
צרו קשר