敏感数据处理的安全最佳实践

Cookie、令牌和云凭证等敏感数据在身份验证和访问控制中扮演着至关重要的角色。意外泄露（例如在屏幕共享时暴露浏览器开发者工具中的数据）可能危及账户、会话，甚至您的整个基础架构。本文重点介绍安全处理 Cookie、令牌和凭证的基本注意事项。

注意事项与最佳实践

• Cookie（session、iamadt、iambdt、CSRF 令牌）：
  • 在屏幕共享时，切勿分享浏览器工具中可见 Cookie 的截图或屏幕内容，请将其遮盖或删除。
  • 避免在不安全的聊天或文档中复制粘贴 Cookie。
  • 定期清除共享或公共设备上的 Cookie。
  • 了解有关 Site24x7 Cookie 政策的更多信息。
• 多层身份验证
  
  • Site24x7 TFA：请务必在 Site24x7 账户内启用双因素身份验证，以增强登录安全性。
  • 账户级 MFA：确保在账户提供商层面（如 Zoho、Azure、AWS 或身份提供商账户）启用 MFA，以保护登录访问安全。
• IP 限制：
  
  • 将控制台和 API 访问限制在受信任的 IP 范围内。
  • 对敏感环境的远程访问使用 VPN。
  • 尽可能将 API 访问限制在受信任的 IP 范围内。
• 设备密钥：
  
  • 仅为受信任的机器注册设备密钥。
  • 撤销丢失或已停用设备的访问权限。
  • 避免在公共论坛中分享设备密钥。
• OAuth 令牌：
  
  • 将 OAuth 令牌视同凭证处理——不得在日志或 URL 中暴露。
  • 使用带有刷新机制的短期令牌。
  • 发现可疑活动时，及时轮换和撤销令牌。
• 如果您在机器人或第三方应用程序中使用 REST API，请务必保护好您的 API 令牌：
  
  • 按照最小权限原则生成令牌。
  • 避免将令牌硬编码到脚本或源代码中。
  • 定期轮换令牌并撤销未使用的令牌。
• 云凭证（Azure/AWS）：
  
  • 使用最小权限的 IAM 角色，而非根凭证。
  • 定期轮换访问密钥并禁用未使用的密钥。
  • 将密钥存储在安全保管库中（如 AWS Secrets Manager、Azure Key Vault）。
• 避免共享 HAR 文件：
  
  • HAR 文件可能包含敏感数据，请避免分享。 
  • 如需进行安全故障排除，请使用 Quartz 录制，而非导出或共享 HAR 文件。

即使是微小的疏忽也可能造成严重后果。例如，在屏幕共享时通过浏览器开发者工具暴露 Cookie 或令牌，可能使攻击者劫持您的活跃会话，无需密码即可未授权访问您的账户。同样，泄露的 AWS 或 Azure 凭证可能在数分钟内被利用，启动未授权资源或访问敏感数据。