帮助企业跨云服务管理用户或数据的公司数量呈爆炸式增长。一家使用SalesForce、谷歌G-Suite、Github和其他数十种此类服务的公司在为用户提供服务、帮助他们跨服务登录、撤销他们的访问权限、跟踪他们在不必要的地方支付了什么费用、收集数据到仪表盘等等方面面临着真正的挑战。10bet娱乐71966 澳门永利

在玛丽·米克尔刚刚发布的2017年互联网趋势报告中，它显示企业平均使用约1000种云服务，其中91种是出于营销目的。

像这样的公司ComputeNext，VendorHawk，OneLogin，Logrr，Kilpfolio，Okta，还有更多的公司正在解决云服务扩散问题的不同方面。为了实现他们的目标，他们必须代表用户或管理员行事。在实践中，这意味着它们会获得OAuth令牌或API令牌，这类似于要使用的服务的虚拟用户名和密码。这些令牌通常为一个帐户提供完整的读和写权限。

这就引出了一个问题:这些OAuth令牌是如何存储的?他们是如何被保护的?如果有人访问了存储这些凭证的系统，会发生什么?

OneLogin在宣布他们的服务最近被攻破时，无意中提供了这个问题的答案，这是他们10个月内第二次被攻破。这个漏洞让攻击者可以访问OneLogin客户的未加密凭据，比如Conde Nast、Dun and Bradstreet和ARM。

这就引出了一个问题:这些OAuth令牌是如何存储的?

在他们的宣布被入侵的博客帖子OneLogin说，“我们在加密某些敏感数据处于静止状态，目前我们不能排除威胁者也获得了解密数据的能力的可能性。”随后，他们给客户发了一封电子邮件，称“所有接受我们美国数据中心服务的客户都受到了影响;客户数据被盗用，包括解密加密数据的能力。”

通常，当人们说数据是“静止”加密的，这是数据存在的一种委婉说法透明的加密与磁盘加密或透明数据库加密。

这种类型的加密可以防止物理盗窃，但不能防止数字盗窃. 当笔记本电脑被盗或有人从服务器中取出硬盘时，透明的加密是至关重要的。但是，如果攻击者获得对正在运行的服务器的访问权限，加密对他们来说也是透明的。

如果我们认为OneLogin超越了基本的透明加密，那么他们的声明仍然表明他们在服务器上也有密钥(否则攻击者就不会访问未加密的数据)。这就好比把抽屉锁上，然后把钥匙放在桌子上。

由于这个漏洞，客户需要更改他们的密码(管理员和所有用户)，为他们的服务生成新的API密钥，并创建新的OAuth令牌——如果他们胆敢再次共享这些。

这就好比把抽屉锁上，然后把钥匙放在桌子上。

OneLogin并不孤单。在我们研究的数十个集成服务中，没有一个声称使用端到端加密或零信任机制来保护这些令牌。

客户应该要求对他们最敏感的数据进行更强有力的保护，他们应该要求保留对这些数据的控制权，包括用来解密这些数据的密钥。IronCore可以帮助云供应商保护OAuth令牌等敏感数据，并为客户提供零信任的服务，使用端到端加密来控制客户数据，而不会丢失功能。

现在是时候让云发展起来，使用更健壮的安全模型，包括强加密，这样像这样的入侵就不会造成未加密的敏感数据丢失。