云秘密管理存储

对手可能会从云原生秘密管理解决方案（如AWS Secrets Manager、GCP Secret Manager、Azure Key Vault和Terraform Vault）中获取凭据。 秘密管理器支持密码、API密钥和其他凭据材料的安全集中管理。在使用秘密管理器的情况下，云服务可以通过API请求动态获取凭据，而不是访问不安全地存储在纯文本文件或环境变量中的秘密。 如果对手能够在云环境中获得足够的权限——例如，通过获取高权限的云账户的凭据或破坏有权限检索秘密的服务——他们可能能够从秘密管理器请求秘密。这可以通过AWS中的get-secret-value、GCP中的gcloud secrets describe和Azure中的az key vault secret show命令来实现。(引用: Permiso Scattered Spider 2023)(引用: Sysdig ScarletEel 2.0 2023)(引用: AWS Secrets Manager)(引用: Google Cloud Secrets)(引用: Microsoft Azure Key Vault) 注意： 此技术与云实例元数据API不同，因为凭据是直接从云秘密管理器请求的，而不是通过实例元数据API。