保護雲中的API金鑰 改善企業雲安全

API金鑰和SSL金鑰一樣是安全性原則中頭等大事。 很多人口頭上都說要保護雲中的資訊，但事實上在雲安全方面我們都是摸著石頭過河而已。 大多數企業使用某些形式的API金鑰來訪問雲服務。 這些API金鑰的保護十分重要。 本文將就保護API金鑰的問題進行討論並為大家推薦一些方案。

2011年，API金鑰的重要性逐漸被意識到，各企業對全力保護這些金鑰的認識也加深了。 畢竟，API金鑰與訪問雲中的敏感資訊有著直接關聯。 如果一家企業的API金鑰管理鬆散，那麼企業就處於這些威脅之下：1.未驗證使用者使用金鑰訪問秘密資訊;2。 對費用支用撥款制服務的未授權訪問可能形成巨額信用卡帳單。

事實上，容易獲取的API金鑰意味著任何人都可以使用這些金鑰，且能夠在虛擬機器上產生巨額費用。 這類似于使用某人的信用卡然後進行未授權的消費。

API

如你所知，許多雲服務都是通過簡單的REST Web服務介面訪問。 通常我們將之稱為API，因為它們與C++或VB中重量級API的概念類似。 不過使用者更易於在Web頁面或移動手機上使用這些API。 簡而言之，API金鑰是用來訪問雲服務的。 Gartner公司的Darryl Plummer認為雲技術要將各種服務綜合起來。 各公司想將本地運行的應用與雲服務連接，將雲服務與雲服務連接。 所有這些連接都應該是安全的，且其性能應得到監管。

顯然API金鑰控制項是觸及雲服務重要內容的工具，但是這些金鑰經常通過郵件發送或是保存在檔案伺服器中供多數人使用。 例如，如果某企業正使用SaaS產品，如Gmail，他們通常回從Google獲取API金鑰。 這一API金鑰僅對該企業有效，且能讓員工登錄和訪問公司郵箱。

如何保護API金鑰?

API金鑰必須當成密碼和私人金鑰一樣保護。 也就是說它們應該像檔一樣保存在檔案系統中，或是放在分析起來相對較容易的應用中。 以Cloud Service Broker為例，API金鑰以加密方式保存，使用Hardware Security Module (HSM)的時候，它提供了在硬體上保存API金鑰的選項， 因為HSM供應商包括：Sophos-Utimaco，nCipher，Thales，Safenet和Bull，現在支援材料存儲而不僅僅是RSA/DSA金鑰。 安全的API金鑰存儲意味著操作人員可以將策略應用到金鑰使用中。 而且與隱私相關的準則與關鍵通信的保護到了一塊。

▲圖一：保護API金鑰的Broker 模式

下面是處理API金鑰的常用辦法：

1、開發員用郵件發送API金鑰：企業通常用郵件把API金鑰發送給開發人員，而開發人員再將其複製粘貼到代碼中。 這種鬆散的操作存在安全隱患因而應儘量避免。 此外，如果某開發員將API金鑰複製到代碼中，對新金鑰的請求會對代碼提出更換請求從而帶來額外的工作量。

2、設定檔：另一種常見情況是，開發員將API金鑰放在容易被找到的系統設定檔中。 人們應該將API金鑰與私人SSL金鑰同等對待。 事實上，如果API金鑰到了不法之徒手中，那麼它比私有SSL金鑰的危害更大。 例如，如果有人用企業API金鑰，那麼企業要為其買單。 解決辦法是將金鑰交給專門的安全網路架構。 這就涉及雲服務代理架構，即通過代理產品管理API金鑰。

3、金鑰目錄：避免API管理的一個方法是部署與金鑰相關的明確的安全性原則。 理想情況下，這應該屬於Corporate Security Policy的控制之下，實施明確的監管和問責制度。 這一方法的基礎是保留API金鑰的詳細目錄。 雖然這類目錄有自己的優勢，但是許多企業仍然要採用機動方法來追蹤API金鑰。

這些企業應該在開發API金鑰目錄時詢問下列問題：

a) 金鑰用來做什麼，出於何種目的?

b) 誰對專屬金鑰負責?

c) 金鑰的使用有沒有有效期?有效期到來前如何通知使用者?過期金鑰有沒有明確的方案?以為呢密碼過期時可能造成大混亂。

該目錄可放到自己的加密Excel資料表或是資料庫中管理又或者是通過其他專用產品來管理。 此方法的缺點是管理資料表或資料的時間會稍長，且會出現人為失誤。 替換的方法是利用現成產品，如雲服務代理。 除了提供其他服務外，代理還可以讓企業輕鬆查看API金鑰的關鍵資訊，包括識別誰應對API負責，以及提供API的使用資訊和有效期。

4、加密的檔存儲：更大的威脅出現在開發員試圖為API金鑰部署自己的安全性原則時。 例如，開發員知道應保護API金鑰，而且會選擇將金鑰保存在難被找到的地方——有時是使用加密運演算法則或是將金鑰藏在檔或註冊表中。 無疑剛開始的確會有人找不到這些金鑰藏匿處，但不久這些資訊就會在企業內公之于眾。 這種錯誤恰恰印證了「通過隱藏是無法獲得安全」的諺語。

總而言之，由於企業使用雲服務的情況越來越多，因此這就可能出現API金鑰的使用太鬆散或是共用的情況。 不論企業是選擇自己管理API金鑰還是使用現成產品管理，關鍵都是要保護好金鑰的存取和使用。

此處我們要鼓勵CIO和CSO們將API金鑰看作是與SSL私有金鑰地位等同的安全性原則。 建議把API金鑰視為敏感資源，因為它們可以直接存取敏感資訊。 API金鑰的有效管理可以改善企業雲安全，避免未授權的收費或是敏感資訊的洩露。

(責任編輯：蒙遺善)