程序员以代码的形式征服安全基础架构系列:不安全的密码学
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
