如果AWS訪問密鑰暴露怎麼辦?記住這4步驟一定要先做起來!

2022/11/14

如果有一天,你發現你的AWS訪問密鑰暴露了,該怎麼辦呢?當你發現密鑰暴露後,建議一定要先將這4步驟做起來,好保護你的網站憑證與身分,本文就也告訴你該如何修復並從暴露的AWS憑證中,恢復憑證的喔!要瞭解AWS的身份包括根用戶、IAM 用戶、IAM 組和 IAM 角色。除 IAM 組之外的每個身份,都具有您必須通過遵循IAM 最佳實踐和架構完善的安全最佳實踐來保護的憑證。


AWS訪問密鑰暴露,必做的4步驟

Step1. 確定受洩露訪問密鑰影響資源
執行哪些操作以及他們可以訪問哪些資源?根憑證將在 AWS 管理控制台的安全憑證頁面下列出,具有對 AWS 賬戶中所有資源的完全訪問權限。IAM 憑證將與 IAM 用戶相關聯,您應該查看用戶的 IAM 策略。IAM 策略模擬器或 IAM 控制台等工具可以幫助您查看。
在您確定憑據提供的訪問權限後,您可以決定採取哪些步驟作為回應,以及按什麼順序進行回應。例如,如果憑證允許對敏感數據進行讀寫訪問,您可能希望立即禁用訪問。另一方面,如果憑證只允許對您打算公開的數據進行讀取訪問,您可以選擇首先創建新憑證,轉換到這些新憑證,然後禁用舊憑證。作為第三個範例,如果憑據允許對具有重要完整性要求的數據進行寫訪問,您將需要識別任何修改該數據並從備份嘗試恢復可信賴版本。


Step2. 使原先憑據失效不再訪問您帳戶
當您禁用或刪除憑據時,仍在使用它們的任何應用程序都會受到影響。我們建議首先禁用憑據而不是刪除它們,因為可以在需要時恢復禁用的憑據(例如以防應用程序受到意外影響)。
禁用 Root 根憑證
- 使用您的根用戶電子郵件地址和密碼登錄 AWS 管理控制台鏈接。
- 在導航欄中單擊您的帳戶名稱後,選擇 My Security Credentials
- 展開訪問密鑰部分。
- 通過單擊“操作”列中的“設為非活動”來禁用已洩露的現有訪問密鑰。


禁用 IAM 用戶憑證
- 使用您的 AWS 賬戶 ID 或賬戶別名、您的 IAM 用戶名和密碼登錄 IAM 控制台鏈接。
- 在右上角的導航欄中,選擇您的用戶名,然後選擇我的安全憑證。
- 在 AWS IAM 憑證選項卡上,轉到 CLI、開發工具包和 API 訪問的訪問密鑰。
- 通過單擊“操作”列中的“設為非活動”來禁用已洩露的現有訪問密鑰。


Step3. 使臨時安全憑證失效
可以使用 AWS 訪問密鑰頒發臨時安全憑證。臨時憑證的有效期有限(從 15 分鐘到 36 小時不等,具體取決於它們的獲取方式)。並且輪換暴露的憑證不會使使用暴露憑證獲得的任何臨時憑證無效。刪除 IAM 用戶可以解決問題,但可能會影響當前應用程序。因此,唯一可行的解決方案是為用戶更新 IAM 策略。

為用戶更新 IAM 策略

This adds an explicit deny policy to an IAM principal.


Step4. 等待恢復適當的訪問
由於在前面的步驟中禁用了訪問,請考慮以下選項來恢復訪問:如果您刪除了 IAM 用戶,請使用新的訪問密鑰創建一個新用戶。如果您禁用了 root 憑據,請考慮完全刪除該帳戶的訪問密鑰。相反,創建一個 IAM 用戶並使用該用戶的憑證進行 AWS 訪問。
與其使用 IAM 用戶的訪問密鑰之類的長期 AWS 憑證,不如考慮使用 IAM 角色或聯合。角色或聯合的優勢在於它們使用臨時安全憑證,因此沒有長期存在的 AWS 憑證需要保護(或無意中暴露)。


當訪問密鑰暴露時,AWS 採取反應是?
在不到 60 秒的時間裡,將收到了一封來自亞馬遜的電子郵件,通知我密鑰被洩露:

收到了一封來自亞馬遜的電子郵件


除了通知電子郵件是亞馬遜採取的唯一行動,現在亞馬遜不僅會通知您,還會自動將策略附加到受感染的用戶身上,該策略 AWSCompromisedKeyQuarantine 基本上明確否認了一些潛在的危險IAM、EC2、Organizations 和操作 lambdalightsail

自動將策略附加到受感染的用戶


此外,還自動為此案例創建了支持票證。在接到亞馬遜支持的電話兩天後。支持顧問甚至分析了 AWS 賬戶中的日誌,並通知最近啟動了 EC2 實例

分析了 AWS 賬戶中的日誌


儘管如此,根據這個資源,應該看到來自 support.amazonaws.com 事件歷史的動作,幸運的是,可以使用以下命令在 CloudTrail 中查看他們的操作:
與附加 AWSCompromisedKeyQuarantine 策略相關的事件來自"sourceIPAddress": "AWS Internal".

sourceIPAddress


總結

始終安全地存儲您的 AWS 憑證並定期輪換它們作為安全最佳實踐。萬一您無意中暴露了您的憑據,請按照我們在本文中列出的步驟進行操作。如果您對賬戶的安全性有任何問題或疑慮,請隨時聯繫 AWS Support。如果您需要進一步的幫助,我強烈建議您記錄 AWS 支持工單,如果您還沒有業務或更高級別的支持計劃,那麼請選擇業務支持計劃以獲取 24x7 電話、電子郵件和聊天訪問權限。


延伸閱讀:
【2024最新】公司企業的3款最佳Devops工具,成功案例一次看!
使用CDN安全嗎?CDN如何達到基本防護功能呢?


參考

https://aws.amazon.com/tw/blogs/security/what-to-do-if-you-inadvertently-expose-an-aws-access-key/

https://securingthe.cloud/2020/how-to-fix-exposed-aws-credentials/

https://medium.com/swlh/aws-access-keys-leak-in-github-repository-and-some-improvements-in-amazon-reaction-cc2e20e89003




其他訊息