Gunakan protokol HTTPS terenkripsi untuk melindungi transmisi AccessKey dan data sensitif Anda. Ini mencegah pelanggaran data serta serangan man-in-the-middle.
Risiko keamanan
Menggunakan protokol HTTP untuk mengakses Elastic Compute Service (ECS) OpenAPI setara dengan mengirimkan data teks biasa melalui jaringan. Setiap node perantara di jalur dari klien ke server Alibaba Cloud, seperti router, switch, atau penyedia layanan jaringan, dapat membaca seluruh konten dengan mudah. Hal ini menimbulkan risiko keamanan berikut:
Pelanggaran Kredensial dan Data: Permintaan API mencakup kredensial identitas Anda, AccessKey (AK/SK), serta informasi sensitif dari operasi, seperti ID instans dan data disk. Saat ditransmisikan melalui HTTP, informasi ini sepenuhnya terpapar dalam teks biasa. Penyerang dapat dengan mudah mencegatnya menggunakan metode seperti sniffing jaringan, yang dapat menyebabkan pencurian izin akun Anda.
Serangan Man-in-the-Middle (MitM): Penyerang tidak hanya dapat menyadap tetapi juga memalsukan komunikasi antara Anda dan server Alibaba Cloud. Sebagai contoh, penyerang dapat mengubah permintaan Anda untuk membuat Instance ECS menjadi instruksi jahat untuk menghapus instans bisnis inti Anda, atau menyuntikkan pesan kesalahan ke dalam data yang dikembalikan kepada Anda.
Pemalsuan Identitas dan Penipuan Phishing: Protokol HTTP tidak dapat memverifikasi bahwa server yang Anda hubungi adalah server Alibaba Cloud yang asli. Penyerang dapat memalsukan Rekaman DNS atau mendirikan server palsu untuk menipu permintaan API Anda agar dikirim ke alamat jahat dan mencuri kredensial Anda.
Praktik terbaik
Saat menggunakan protokol HTTPS untuk mengakses OpenAPI, kit pengembangan perangkat lunak (SDK) secara default mengaktifkan validasi sertifikat SSL/TLS. Jika lingkungan kode Anda tidak dikonfigurasi dengan sertifikat yang diperlukan, akan terjadi kesalahan validasi sertifikat.
Untuk memastikan keamanan komunikasi, atur parameter runtime IgnoreSSL = false untuk mengaktifkan validasi sertifikat.Bahasa | V 2.0 | V 1.0 |
Java | ||
Python | ||
PHP | ||
Node.js/TypeScript | ||
.NET | ||
Go |
Kepatuhan
Blokir: Larang Permintaan ECS OpenAPI yang Tidak Menggunakan HTTPS
Gunakan Kebijakan Resource Access Management (RAM) pada tingkat organisasi atau akun untuk melarang permintaan ECS OpenAPI yang tidak menggunakan HTTPS.
Untuk Pengguna Perusahaan:
Masuk ke Konsol Direktori Sumber Daya dengan Akun Alibaba Cloud Anda. Di panel navigasi sebelah kiri, klik Control Policies. Buat kebijakan kustom. Lalu, tempelkan konten JSON berikut.
{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": "*", "Condition": { "Bool": { "acs:SecureTransport": "true" } } } ], "Version": "1" }Di Konsol Direktori Sumber Daya, pilih folder yang sesuai dan sambungkan kebijakan tersebut. Kebijakan ini memblokir permintaan dari akun di folder tersebut.
Untuk Pengguna Non-Perusahaan:
Masuk ke Konsol RAM dengan Akun Alibaba Cloud Anda. Di panel navigasi sebelah kiri, klik Policies dan buat kebijakan kustom yang menggunakan konten yang sama dengan kebijakan yang dijelaskan di atas.
Sambungkan kebijakan tersebut ke Pengguna RAM, Grup Pengguna RAM, atau Peran RAM. Untuk informasi lebih lanjut, lihat Kelola Otorisasi Berbasis Kebijakan.