云密钥泄露
云密钥泄露 是什么?
云密钥泄露长期有效的云访问密钥意外暴露在公开仓库、容器镜像、日志或客户端代码中,通常在几分钟内被滥用。
云密钥泄露指长期有效的凭据(如 AWS Access Key ID 和 Secret Access Key、Azure 存储账户密钥、GCP 服务账户 JSON 文件)被提交到公开 git 仓库、嵌入到 Web 或移动应用打包文件中、烤入容器镜像或打印在冗长日志中。攻击者和研究人员运行的自动化扫描器能在几秒内发现密钥,并立即调用 API 启动计算、外泄数据或提升权限。防御措施包括提交前的密钥扫描(gitleaks、trufflehog)、平台侧检测(AWS、GitHub 秘密扫描)、通过 OIDC 提供的短期联合凭据、即刻吊销的应急手册以及 CloudTrail 异常告警。
● 示例
- 01
以 AKIA 开头的 AWS 密钥被提交到公开 GitHub 仓库,五分钟内被用于挖矿。
- 02
前端 bundle 中泄露的 GCP 服务账户 JSON 被用于导出 BigQuery 数据集。
● 常见问题
云密钥泄露 是什么?
长期有效的云访问密钥意外暴露在公开仓库、容器镜像、日志或客户端代码中,通常在几分钟内被滥用。 它属于网络安全的 云安全 分类。
云密钥泄露 是什么意思?
长期有效的云访问密钥意外暴露在公开仓库、容器镜像、日志或客户端代码中,通常在几分钟内被滥用。
云密钥泄露 是如何工作的?
云密钥泄露指长期有效的凭据(如 AWS Access Key ID 和 Secret Access Key、Azure 存储账户密钥、GCP 服务账户 JSON 文件)被提交到公开 git 仓库、嵌入到 Web 或移动应用打包文件中、烤入容器镜像或打印在冗长日志中。攻击者和研究人员运行的自动化扫描器能在几秒内发现密钥,并立即调用 API 启动计算、外泄数据或提升权限。防御措施包括提交前的密钥扫描(gitleaks、trufflehog)、平台侧检测(AWS、GitHub 秘密扫描)、通过 OIDC 提供的短期联合凭据、即刻吊销的应急手册以及 CloudTrail 异常告警。
如何防御 云密钥泄露?
针对 云密钥泄露 的防御通常结合技术控制与运营实践,详见上方完整定义。
云密钥泄露 还有哪些其他名称?
常见的别称包括: AWS 密钥泄露, 云凭据泄露。
● 相关术语
● 参见
- № 079AWS IMDSv1 攻击
- № 255CSPM 发现项