Понятно, что сейчас эпоха облаков, но всё же странно, что в качестве дополнительной меры защиты не упомянут (как в проекте от OWASP, так и статье) список разрешенных IP-адресов, с которых можно использовать конкретный NHI. Иными словами, даже обширный список адресов может сильно усложнить эксплуатацию полученного API-ключа для злоумышленника.
Спасибо за замечание! Действительно, этот момент не упомянут в OWASP — вероятно, потому, что немногие сервисы поддерживают ограничение использования NHI по IP-адресам. В Yandex Cloud такая возможность пока недоступна, но мы уже работаем над её реализацией. Как только она появится, мы добавим соответствующую рекомендацию в наш стандарт. Следите за обновлениями!
Спасибо за замечание! Действительно, этот момент не упомянут в OWASP — вероятно, потому, что немногие сервисы поддерживают ограничение использования NHI по IP-адресам. В Yandex Cloud такая возможность пока недоступна, но мы уже работаем над её реализацией. Как только она появится, мы добавим соответствующую рекомендацию в наш стандарт. Следите за обновлениями!