密钥管理
密钥管理保护凭据,并在发生泄露时减少影响范围。
关键控制措施包括访问边界、轮换和合规性证据。
另请参阅
安全基线
最小权限
事件就绪
常见问题
什么算作密钥?
凭据、API密钥、令牌、证书以及任何授予访问权限的值。
最低标准是什么?
集中存储、访问控制、轮换和事件响应准备。
密钥应多久轮换一次?
基于风险和能力——高风险密钥应更频繁地轮换,并在事件发生后轮换。
常见的失败模式是什么?
密钥存在于源代码控制、日志中,或具有广泛访问权限的长期有效凭据。
首要改进措施是什么?
从代码中移除密钥,集中存储,并强制执行最小权限访问。