Комментарии 3
Спасибо за интересный обзор этого проекта!
С ростом автоматизации владельцы облачных инфраструктур всё чаще сталкиваются с угрозами, которые исходят от ботов, парсеров, агентов, сервисных и других подобных автоматизированных аккаунтов.
Начало статьи немного вводит в замешательство, потому что статья и сам проект, кажется, скорее о другом виде угроз -- а именно об угрозах компрометации различного рода NHIs для компаний, которые используют их, например в интеграциях со сторонними системами. То есть об угрозах несанкционированного доступа к этим системам и информации в них с использованием скомпрометированных NHIs.
NHI2:Secret Leakage
Понятно, что сейчас эпоха облаков, но всё же странно, что в качестве дополнительной меры защиты не упомянут (как в проекте от OWASP, так и статье) список разрешенных IP-адресов, с которых можно использовать конкретный NHI. Иными словами, даже обширный список адресов может сильно усложнить эксплуатацию полученного API-ключа для злоумышленника.
Понятно, что сейчас эпоха облаков, но всё же странно, что в качестве дополнительной меры защиты не упомянут (как в проекте от OWASP, так и статье) список разрешенных IP-адресов, с которых можно использовать конкретный NHI. Иными словами, даже обширный список адресов может сильно усложнить эксплуатацию полученного API-ключа для злоумышленника.
Спасибо за замечание! Действительно, этот момент не упомянут в OWASP — вероятно, потому, что немногие сервисы поддерживают ограничение использования NHI по IP-адресам. В Yandex Cloud такая возможность пока недоступна, но мы уже работаем над её реализацией. Как только она появится, мы добавим соответствующую рекомендацию в наш стандарт. Следите за обновлениями!
непользовательских сущностей (или non‑human identities, NHI)
по-русски наиболее близкое значение - технологические учетные записи.
Топ OWASP Non-human identities: как обезопасить свои облака