AWS加密密钥泄露了怎么办

我们的一位开发者意外地将我们的AWS加密密钥放到了Github上。除了很明显要修改密钥外，我们还应该做什么来减少我们在AWS上的应用基础架构受到的伤害？我们应该监控Github来看是否密钥过着其他的敏感数据在这次意外中暴露了吗？ 真不幸，你们遭遇的经历太容易发生了。如果AWS加密密钥——或者任何加密密钥——存放于源控制下的目录里，有人意外地将这个密钥随源码放到了Github上。密钥应该独立于源码保存。 但是，在密钥已经暴露的前提下应该做什么呢？修改密码是对的，而且要删除已经暴露的任何密钥配对。一旦删除，任何拿到那个密钥的人就无法使用了。 加密密钥是成对生成的：一个私有密钥和一个公有密钥。公有密钥应该共享给任何人，用来解密你发出的加密信息。当使用密钥对来验证服务器时，服务器可能会存储你的公有密钥。在你创建一个EC2实例时，AWS照顾到了这一点，而且会指定一个密钥对。在Linux的实例中，私有密钥添加到~/ssh/authorized_keys。最后一步是人工创建一个EC2实例，核实你指派给实例的你拥有的密钥对中的私有密钥。如果你没有这个私有密钥，就无法验证那个服务器。这种情况下假设你无法在服务器上创建逻辑登录机制。 同AWS或者任何云提供商工作的企业应该有一个密钥管理战略。私有密钥应该安全地存储，并且对那些需要使用它们工作的人限制访问。美国国家技术与标准研究所已经有密钥管理的最佳实践建议。AWS也发布了一套安全最佳实践。 在Github或者任何其他的云注册库上存储之前，扫描你的代码可以防止类似的事情再次发生。一些企业使用数据丢失保护应用扫描网络，防止私有或者敏感信息数据泄露，捕捉事件或者恶意泄露，比如社交安全成员。如果你的企业使用了这样的工具，考虑配置一下检测模式找到密钥文件，比如“-----BEGIN RSA PRIVATE KEY-----”。 糟糕的密钥管理不止会导致服务器受牵连，而且如果用来加密数据的密钥丢失了，用这个密钥加密的数据也就丢失了。声音密钥管理是无可替代的。

合力天下数据防泄密系统(HL-dataAS)用于保护企业的知识产权、客户资料、财务数据、技术图纸、应用系统等机密信息化数据不外泄。简单地说，”合力天下”防泄密系统让企业机密数据和应用系统的重要资料“拷不走”、“屏幕截取不走”、“另存不走”、“打印不走” 、“内容复制不走”、“MSN、QQ、邮件发送不走”。
一、支持各种文件格式加密（CAD、OFFICE、PDF、图纸、计算机程序、课件、游戏动画、数码照片、视频…），用户也可以根据自己的需要定制；支持出差人员管理；支持文档外发管理；防止涉密文档非法扩散。支持控制台审批解密，支持手机审批解密。 灵活的权限控制：只读、可写、可编辑、禁止删除；打印水印、禁止拍照等。
二、 支持局域网部署和互联网部署模式，支持总部和异地分支机构分别部署；支持单机部署模式；确保公司内部资料的相互流通。
三、支持各种应用系统：支持基于Windows的B/S、C/S的各种业务应用软件加密，如PDM、PLM、ERP、OA、CRM、CAM、HR、采编软件、流程管理软件、电子商务软件、财务软件、文档管理系统、网站服务器、云服务器、企业网盘、手机终端等。
四、 支持任意格式文档类型：Office、Open office、Wps、PDF、outlook、FOXMAIL、ARM、ANSYS、Easypro、OA系统、ERP、MSVISIO、 AutoCAD、Autodesk Inveator、Autovue、ACDSee、Pro/E、Inventor、CAXA、CAJviewer、Protel、PReS、Keil、Quartus、AVR Studio、 ARM Studio、Siemens Wicc、Xtcapp55、TurboCAD、开目CAD、TwinCAD、CATIA、Solid Edge、UG、PowerDraft、Photoline、清华天河CAD 、中望CAD、英泰CAD、浩辰CAD、凯思CAD、JEwelCAD、Code Wright、ULTRAEdit、Solidworks、SVN、ZDDS、IAR、PowerDesigner、FPWIN  GR、FX-PCS-DU-WIN-C、FXGPWIN、PhptoShop、DreamWeaver、MTcardEdit、CorelDraw、Fireworks、Flash、ACDSee、ZineMarker、 HITACHI Embedded workshop、HIGH-Performance Embedded workshop、Embedded workshop、CAM350、Matlab、 Labview、Illustrator、 MAYA、3D MAX、unity、realplay、media player、Cakewalk、Flash、LRC Editor、Lightscape、Beyond Compare、Java、Delphi、VSNet、C、 VB、VC、C++、Java虚拟机、Source Insight、WINRAR、EDITplus、IBM ClearCase、PowerBuilder、PowerPCB、Powerlogic、Power mill 、数控传输软件、视频文件、编程ICC、打标机（票据打印）、CAMtastic、DELcam-Exchange、cimatron、Macrumedia、Microchip、 MasterCAM、FastCAM、MyEclipse、Eclipse、Tomcat、MultiGen Creator、FoxPro、Access、MSSQL、Oracle、WinMerge、XOREAX、InCrediBuid、 ZBrush3、JDPaint、BodyPaint 3D、英泰PDM、NTKO、KASS、WINRAR、WINRAR、SILK ROAD、ETMARK、海康威视监控视频、邮箱大师、安卓手机、苹果手机等各种文档格式，即可自定义加密任意文件格式。
五、支持 *** 作系统(32位 64位)：支持Windows 2000、XP、2003、2008、2012、win7、win8、win10;LINUX;MAC OS;
六、 支持中文、英文、俄、日文、德文、韩文、法文、西班牙文等各种语言网络环境，支持中文、英文、俄、日文、德文、韩文、法文、西班牙文等世界各种语言文档加密。

在滴滴事件发生之后，国内所有互联网公司都加大了对用户信息安全保障的重视程度。因为国内对滴滴采取的行动，让它们都感到了一阵后怕，谁也不想变成下一个“滴滴”。

但就在8月23日这天，阿里云传来坏消息，未经用户许可泄露信息，让很多人都表示，难道滴滴事件要重演？那么这究竟是怎么回事呢？阿里云为什么会泄露用户信息？

在回答这些问题之前，先来了解一下阿里云，毕竟很多人都不知道阿里云到底是干什么的。公开资料显示，阿里云成立于2009年，是全球领先的云计算以及人工智能 科技 公司，致力于为客户提供安全、可靠的计算和数据处理能力。

而截至目前，阿里云已经成为了国内排名第一，全球排名第三的云服务商，客户遍及全球。像大家熟知的12306购票网站，之所以能够流畅地运行下去，有很大一部分原因都来自于阿里云的鼎力支持，还有中国联通、中石化等公司，都与阿里云建立了紧密的合作关系。

毫不夸张地说，在如今这个信息时代，阿里云发挥出了重要的作用，基本上各个领域都能看到它的身影，例如上次东京奥运会的转播，也有阿里云的参与。而且为了保证能够给客户提供更好的服务，阿里云在全球各地都建有数据中心，布局非常完善。

但值得一提的是，云计算和云服务也存在一定的风险，将数据存储在云服务器里面，同样会出现泄漏的情况。而就在8月23日这天，浙江省通信管理局在一份对投诉人的答复函中明确表示，已核实阿里云未经用户许可将留存的注册信息泄露给第三方公司。

也就是说，用户留存在阿里云中的注册信息，被阿里云泄漏给了第三方公司，目前浙江省通信管理局已责令阿里云改正。这对于阿里云来说，无疑是一个坏消息，身为国内最大的云服务商，如果连用户的信息安全都保障不了，还怎么留住客户？

而且这起事件原本是发生在2019年11月份，但浙江省通信管理局直到今年7月份才给投诉者答复，如果不是8月23日被曝光了，人们还不知道原来阿里云也存在信息泄露的风险。

按理说，用户把注册信息留存在阿里云，是对它的信赖和认可，但没想到阿里云辜负了用户的信任，在未经用户同意的情况下，将注册信息泄露给了第三方公司。虽然目前还不知道这些注册信息重不重要，但只要是涉及到信息安全的问题，都不能掉以轻心。

再加上现在阿里云已经覆盖到了各个领域，小到个人的隐私信息，大到国家的关键数据，阿里云都扮演了一个重要的角色。假如阿里云不把信息安全放在心上，那么用户将不会再信赖它，客户也会寻找其它的云服务商，毕竟国内又不是只有阿里云。

至于滴滴事件将重演，这种说法就有点太严重了，阿里云泄露用户信息，只是个别情况，只要认真整改就行了，不会像滴滴那样，受到国内七大部门的联合审查。但是这两起事件的性质是一样的，都是关于用户信息安全保障，只不过阿里云没有滴滴那么严重。

就目前来看，滴滴事件仍然没有一个明确的结果，谁也不知道它到底做了什么。但有一点可以肯定的是，在事件发生之后，滴滴的市值已经接近腰斩，基本不可能再回到巅峰时期，那些投资者们也是损失惨重。

更有甚者，如果滴滴被证实出卖了一些重要信息，那么它或许会从美国退市，回归私有化，这便是它罔顾信息安全保障的下场。想必滴滴在上市之前也没有料到，原本一切顺利的计划，却因为信息安全问题被国内抓到了把柄，而且还没法为自己争辩。

现在阿里云也出现了和滴滴一样的情况，尽管不如它严重，但也要引起重视，因为一个用户的信息泄露，就代表有很多用户都存在同样的风险。阿里云必须给用户一个满意的答复，不然的话这起事件将会成为它的污点，不利于接下来的发展。

当然了，用户的信息被泄露，也有可能不是阿里云的本意，毕竟有那么多数据和信息，阿里云不可能每一个都照顾到。但不管怎样，既然这是阿里云的业务，只要出现了问题，阿里云就应该承担责任，用户也不想找不到源头。

事实上，在滴滴事件曝光之后，国内已经明显加强了对互联网行业的管控力度，尤其是信息安全这块儿，更是受到了前所未有的重视。然而就如今的局面来看，国内的互联网公司们，还没有真正意识到问题的严重性，尤其是那些巨头，依旧在我行我素。

如果继续这样发展下去，滴滴绝对不会是最后一个接受审查的互联网公司，一旦其它企业也发生了类似的情况，国内同样会展开全面调查，到时候滴滴事件就真的要重演了。这显然是国内和广大用户都不想看到的结果，互联网行业应该早做打算。

所以说，别看阿里云未经用户许可泄露注册信息这件事闹得不是很大，现在也没多少人关注，但是却反映出了一些值得深思的问题。阿里云本身是阿里旗下的产业，而阿里又是国内最大的互联网公司之一，连它都规范不了自己的行为，何谈其它企业？

好在国内已经采取了相应的措施，今年9月1日过后，《网络产品安全漏洞管理规定》这项新规就会正式开始实施，国内各大互联网巨头都必须要遵守。正所谓没有规矩不成方圆，相信在国内出手后，类似于滴滴的事件就会明显减少，直到彻底消失。

综上所述，阿里云传来的坏消息，同样是关于用户信息安全的，未经许可泄露用户信息，这种行为显然是错误的。希望今后阿里云能认真整改，积极吸取教训，不要重蹈滴滴的覆辙，不然就算再强大，也会有没落的一天。

对此，你们怎么看呢？欢迎留言和转发。

风险无处不在，关键在于如何进行有效防范。

应对方法：

检测发现

可以利用云应用检测工具发现当前所使用软件(包括谁使用及使用频率)，同时确定业务数据是否涉入。采用云访问安全代理(简称CASB)解决方案要求供应商提供影子IT评估意见以了解当前企业内部的IT问题严重程度。

风险评估

对特定应用进行制裁、监控及制止，才能构建良好的云应用环境。利用评级系统确定云应用风险特点。保证此评级与陈述体系能够对影子IT进行分析并便捷地上传、匿名化、压缩并缓存日志数据，然后轻松交付自动化风险评估陈述。

用户引导

确保全部员工了解常见网络违法战术。降低未知威胁带来的影响。未知威胁永久存在，但杰出的安全意识训练有助于缓解其后果。定期发布提醒并组织季度训练，这样能够轻松并以较低成本削减恶意软件风险。

策略执行

安全策略执行必须拥有高粒度与实时性。这些要求在云应用领域可能较难完成。根据用户做法、所用工具及事务规则设定策略控制方案，从而立足于用户群组、设备、方位、浏览器以及代理为背景设计相关内容。考虑使用安全网关(内部、公有云或混合云)，同时配合具备数据丢失预防(简称DLP)功能的CASB解决方案。

隐私与治理

云环境中的数据需要使用特殊的以数据为中心的安全策略。加密机制在各类环境下皆有其必要性，但加密令牌机制在云安全领域的作用往往尤为突出。保证加密机制不会影响到应用中的查找、排序、报告以及邮件发送等功能。如果加密机制令上述功能的正常使用受到不良影响，则用户往往会想办法回避加密。

加密流量管理

对于需要过超过五成流量进行加密的行业(例如金融服务及医疗卫生)，基于策略的流量解密可能需要匹配专门的SSL可视化子系统及/或专用网络架构。

事件响应

需要立足于低层级进行云部署以建立直观的人机界面，从而实现事件响应(例如多种格式查找、可视化、过滤及集成第三方SIEM系统)。

---