阿里腾讯华为安全团队告诉你,aksk安全加固的SOP
阿里腾讯华为安全团队告诉你,aksk安全加固的SOP
作者:让天下没有难做的安全 | 发布时间:2025年9月8日 09:01
原文链接:微信公众号
一、AKSK面临什么风险
二、事前:加固的最佳实践
2.1 最小权限
2.2 优先临时凭证
2.2 尽量不明文使用 aksk
三、事中:AKSK 异常监测
3.1 监测与审计方法
3.2 主流工具与方案
四、事后:AKSK泄露应急响应
在云计算时代,Access Key ID/Secret Key(简称AKSK)作为云服务API身份认证的核心凭证,其安全性直接关系到企业云上资产的安全。
一旦AKSK泄露,动辄SRC高危严重漏洞,会导致数据泄露、挖矿勒索、资源被删除,甚至整个云环境沦陷。
本文参考白帽子攻防对抗实战经验,同华为、阿里、腾讯安全团队的朋友深入交流,告诉内部安全运营总结的AKSK管理最佳安全实践,基于效果解决安全隐患,帮助企业构建完善的AKSK安全防护体系。
一、AKSK面临什么风险
AKSK 是云服务中用于API身份认证的密钥对,主要风险有:
硬编码风险:将AKSK直接写入代码、配置文件或环境变量中
共用密钥风险:多个应用或服务共用同一对AKSK
明文存储风险:AKSK以明文形式存储在配置文件、数据库或日志中
权限过大风险:AKSK被授予了超出实际需求的权限
从漏洞案例看,AKSK泄露的途径包括:
代码仓库(GitHub、GitLab、Gitee)中的硬编码,员工上传代码导致的信息泄露,配置文件(如application.properties、web.xml)中的明文存储
前端JavaScript文件中的暴露,APK/小程序反编译后的发现
报错页面或调试信息、HeapDump内存文件中的泄露
对象存储、前端文件上传/下载接口临时密钥使用不当的暴露
Nacos等配置中心的未授权访问
二、事前:加固的最佳实践原则
2.1 最小权限
为RAM/IAM用户分配完成任务所需的最小权限,避免使用高危权限。具体实施包括:
按业务创建RAM用户:为不同业务场景创建独立的RAM用户,主账号AK拥有全权限,一旦泄露将导致账号完全失控。
精细化权限策略:配置精确的权限策略,如限定特定资源的操作权限
定期权限审计:定期检查并清理不必要的权限
2.2 优先临时凭证
优先使用临时凭证(STS Token)替代长期有效的永久AKSK:
自动过期:临时凭证具有时效性,通常为15分钟至24小时,即使泄露,影响也仅限于凭证有效期内,不会被持续利用。
动态授权:可根据需要动态调整 policy权限,客户端、开发测试环境、上传场景,可大幅降低密钥泄露风险。
可审计性:所有使用临时凭证的操作均可被操作审计追踪,阿里云称为actiontrail、腾讯是CloudAudit、AWS 是 Cloudtrail。
2.2 尽量不明文使用 aksk
使用角色扮演、加固隐藏 SK 凭据的办法:
实例角色扮演:如果使用 aksk 的应用程序部署在云主机ECS实例上,则可以通过实例RAM(Resource Access Management)角色让ECS实例扮演具有某些权限的角色,程序在主机访问本机元数据数据,获取到权限,全程避免 aksk 留存。
加密保存:使用 SSM 凭据管理、配置管理系统或者将密钥保存在环境变量
员工测试隔离:针对研发、运维、产品等职能员工,需要使用AccessKey进行运维、管理、调试等操作,建议通过角色SSO的方式,扮演其对应职能的RAM角色,获取STS Token。
三、事中:AKSK 异常监测
3.1 监测与审计方法
特征化扫描检测,收集企业内部所有云平台(公有云+私有云)的AccessKeyId作为关键特征,利用代码托管平台(如GitHub、Gitee)的API进行定时搜索,检测公开代码中是否包含敏感AK信息,通过代码扫描、dlp、nips 检测对外发送的流量。注意国际站和国内站的规则不一样。
AWS ^AKIA[A-Za-z0-9]{16}$
Azure ^AZ[A-Za-z0-9]{34,40}$
阿里云 ^LTAI[A-Za-z0-9]{12,20}$
腾讯云 ^AKID[A-Za-z0-9]{13,20}$
华为云 [A-Z0-9]{20}
火山引擎 ^AKLT[a-zA-Z0-9-_]{0,252}
自动化审计与响应
告警机制:检测到泄露后,通过邮件即时告警,或通过企微、钉钉、飞书集成至内部工单平台,实现统一安全事件监控与响应
特征扩展:除AK外,可提取组合特征精准定位企业邮箱、代码等敏感信息泄露
3.2 主流工具与方案
- 开源扫描工具:
TruffleHog:深度扫描Git仓库,识别历史提交中的密钥泄露,支持正则匹配与熵值检测
GitLeaks:扫描Git仓库中的密钥和其他敏感信息
密钥利用与验证工具:
黑客拿到 AKSK 之后的利用工具有:官网对象存储浏览器_ossbrowser_、腾讯云的 cosbrowser、行云管家、teamsix cf 工具,aksk_tool是最常见的,可以根据这些工具的 api 调用 ua、api 调用顺序、来源 ip 判断是否脱离异常基线。
而安多多定位是甲方云安全平台,也能通过添加AK/SK后自动检测云资源,ECS、存储桶、数据库等、K8s集群接管,支持以下规则:
主账户不应该开启accesskey访问
禁止云函数环境变量硬编码敏感凭证
子用户不应该同时开启编程访问与用户界面访问
高风险权限子账号不建议启用API密钥
建议子账号的API密钥不超过1个
应该删除 IAM子账号废弃的API密钥
应该定期更换 IAM子账号的API密钥
黑客工具teamssix CF 接管控制台
四、事后:AKSK泄露应急响应
确认与禁用:对异常调用(如非常用IP、高频请求)进行实时告警,建立基线模型检测异常行为,对异常调用(如非常用IP、高频请求)进行实时告警,立即登录云平台控制台,禁用并删除泄露的AKSK防止进一步损失。
止损收敛:若无法立即轮转,先通过自定义策略限制高危操作,限制的操作包括:删除ECS、RDS、OSS桶、发送短信等,减少潜在影响范围。
轮转密钥:创建新AKSK,替换旧密钥,验证业务正常后删除旧密钥。为RAM/IAM用户开启多因素认证,增强账户安全防止未授权访问(云平台逐步强制 MFA)。
影响分析:通过操作审计(如阿里云ActionTrail、华为云CTS)检查异常操作,重点关注境外IP、非工作时间访问、资源删除等行为,确定泄露影响范围。
费用核查:检查费用中心是否存在异常账单评估经济损失,必要时联系云服务商处理,看能否减免费用。
举一反三:排查泄露源头(如Nacos暴露、代码泄露),举一反三清除其他潜在风险AKSK,修复安全漏洞。
根据云大厂的内部的经验,AKSK治理在内部实践中最大的难点是 1 、存量用户的通知分发环节的权限扩大;2、如何有效监测泄露;3、泄露之后的异常感知和替换。
作为一个需要安全团队和业务一起关注的关键凭据,需要做好随时泄露的准备,构建纵深防御体系,方能防患未然,访问 https://www.anduoduo.net 即可直接使用。
安多多-Wiz级多云安全平台,资产真实风险一张图看清,正式开放使用
帮助文档:安多多云安全平台帮助中心https://lv8u92t29eh.feishu.cn/docx/MHnKdjZKgoZzpsxAsYcc5hAenzg?from=from\_copylink
微信群聊和 微信客服: anduoduo2025
微信公共号:让天下没有难做的安全