有一个爆炸的公司数量，有助于帮助公司管理跨云服务的用户或数据。A company that uses SalesForce, Google G-Suite, Github, and dozens of other such services has a real challenge when it comes to provisioning users, helping them sign in across services, revoking their access, tracking what they’re paying for unnecessarily, collecting data into dashboards, and so forth.

在Mary Meeker刚刚发布的2017年互联网趋势报告中，它表明，企业平均使用约1000云服务 - 91仅用于营销目的。

类似的公司composenext.那Vendorhawk.那onelogin.那Logrr.那kilpfolio.那okta.等等，还有更多正在解决云服务增殖问题的不同方面。为他们实现目标，他们必须代表用户或管理员行事。在实践中，这意味着他们获取OAuth令牌或API令​​牌，这就像用于服务的虚拟用户名和密码。这些令牌通常为帐户提供完整的读写权限。

这引出了问题：如何存储这些OAuth令牌？他们是如何受到保护的？如果有人访问存储这些凭据的系统，会发生什么？

Onelogin在宣布最近违反其服务时，他们不经意地为这个问题提供了答案，他们的第二个月内第二。此违规行为攻击者访问Onelogin客户的未加密凭据，如Conde Nast，Dun和Bradstreet和Arm。

这引出了问题：如何存储这些OAuth令牌？

在他们的博客文章宣布违规行为，Onelogin说，“我们加密休息时的某些敏感数据，此时我们不能排除威胁演员还获得解密数据的能力的可能性。“后来他们向客户发了一封电子邮件，“我们的美国数据中心服务的所有客户都受到影响;客户数据受到损害，包括解密加密数据的能力。“

通常，当人们说数据被加密“休息时”，这是数据的委婉语透明地与磁盘加密或透明数据库加密加密。

这种类型的加密可以防止物理盗窃，但不是数字盗窃。当笔记本电脑被盗或者某人从服务器中拿出硬盘时，透明加密至关重要。但是，如果攻击者获得访问运行服务器，则加密也对它们是透明的。

如果我们与基本透明加密进一步进一步信用OneLogin，则它们的语句仍然表示它们还有服务器上的键（否则攻击者未访问未加密数据）。这类似于锁定桌面抽屉，然后留在桌面上的钥匙。

由于此泄露，客户需要更改密码（管理员以及所有用户），为其服务生成新的API键，并创建新的OAuth令牌 - 如果他们敢于再次分享那些。

这类似于锁定桌面抽屉，然后留在桌面上的钥匙。

Onelogin并不孤单。我们研究过的集成服务，我们看几十个，没有一个要求使用端到端加密或零信任机制保护这些令牌。

客户应要求更强保护其最敏感的数据，并且他们应该要求他们保留对该数据的控制，包括用于解密它的键。Ironcore可以帮助云供应商确保OAuth代币等敏感数据，并为其客户提供零信任服务，这些服务使用端到端加密来提供无功能丢失的客户数据控制。

现在是云长大的时候，并使用更强大的安全模型，包括强加密，使得像这样的漏洞是一个非事件，没有未加密的敏感数据。