Jika kredensial akun Alibaba Cloud dan pengguna Resource Access Management (RAM) bocor, hal tersebut dapat menyebabkan risiko keamanan terhadap sumber daya cloud dan bisnis. Topik ini menjelaskan kesalahan umum dalam menggunakan kredensial dan solusinya.
Jenis kredensial berikut sering digunakan di Alibaba Cloud: Pasangan AccessKey dan token Layanan Keamanan (STS). Untuk informasi lebih lanjut, lihat Kredensial.
Kesalahan umum
Banyak pengembang langsung mengkode keras pasangan AccessKey dalam kode bisnis. Semua pengembang yang memiliki izin baca pada repositori kode dapat memperoleh informasi AccessKey. Beberapa pengembang bahkan mengunggah kode bisnis ke komunitas sumber terbuka atau layanan hosting kode, sehingga meningkatkan risiko keamanan.
Beberapa pengembang menulis pasangan AccessKey dalam kode klien untuk memungkinkan klien memanggil operasi API secara langsung. Penyerang dapat mendekompilasi kode klien dan memperoleh informasi AccessKey.
Dokumentasi teknis atau materi yang dibagikan dengan orang lain berisi informasi AccessKey.
Kode contoh dalam dokumentasi produk berisi informasi AccessKey.
Respon dari operasi API yang tidak dikelola oleh pengembang berisi informasi AccessKey.
Solusi keamanan
Cegah transmisi dan pengkodean keras kredensial yang tidak perlu selama proses pengembangan.
Hindari menggunakan pasangan AccessKey akun Alibaba Cloud Anda
Akun Alibaba Cloud memiliki semua izin pada sumber daya. Jika pasangan AccessKey akun Alibaba Cloud bocor, hal tersebut dapat menyebabkan risiko keamanan yang besar. Kami merekomendasikan agar Anda tidak menggunakan pasangan AccessKey akun Alibaba Cloud.
Hindari pengkodean keras kredensial dalam kode
Konfigurasikan informasi tentang kredensial dalam variabel lingkungan alih-alih mengkode keras kredensial dalam kode. Contoh berikut menunjukkan cara mengonfigurasi pasangan AccessKey dalam variabel lingkungan ALIBABA_CLOUD_ACCESS_KEY_ID dan ALIBABA_CLOUD_ACCESS_KEY_SECRET. Untuk informasi lebih lanjut, lihat Konfigurasikan Variabel Lingkungan di Linux, macOS, dan Windows.
Kode contoh:
public static com.aliyun.ecs20140526.Client createClient() throws Exception {
com.aliyun.teaopenapi.models.Config config = new com.aliyun.teaopenapi.models.Config()
.setAccessKeyId(System.getenv("ALIBABA_CLOUD_ACCESS_KEY_ID"))
.setAccessKeySecret(System.getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"));
config.endpoint = "ecs.cn-shanghai.aliyuncs.com";
return new com.aliyun.ecs20140526.Client(config);
}Gunakan KMS untuk mengelola kredensial
Key Management Service (KMS) memungkinkan Anda mengelola kredensial Anda. Untuk informasi lebih lanjut, lihat Ikhtisar. Anda dapat menggunakan Secrets Manager dari KMS untuk memutar ulang rahasia RAM yang dihosting oleh Secrets Manager secara berkala atau segera. Setelah Anda menginstal plug-in rahasia RAM di aplikasi Anda, Anda dapat mengambil dinamis pasangan AccessKey yang disimpan dalam rahasia RAM. Ini mencegah pengkodean keras informasi AccessKey dalam kode Anda. Untuk informasi lebih lanjut, lihat Kelola dan Gunakan Rahasia RAM.
Gunakan peran RAM instans
Anda dapat melampirkan peran RAM instans ke instans Elastic Compute Service (ECS), instans kontainer elastis, atau node pekerja dari kluster Container Service for Kubernetes (ACK). Kemudian, Anda dapat memperoleh token STS dengan menggunakan server metadata ECS. Ini mencegah pengkodean keras informasi AccessKey dalam kode Anda dan mengurangi risiko kebocoran pasangan AccessKey. Untuk informasi lebih lanjut, lihat Peran RAM Instans, Gunakan Peran RAM Instans dengan Memanggil Operasi API, dan Tetapkan Peran RAM ke Pod.
Gunakan fitur RRSA
Dalam ACK, beberapa layanan diterapkan pada kluster dan node pekerja mungkin berisi pod dari layanan yang berbeda. Dalam skenario multi-penyewa, layanan dapat langsung mengakses server metadata ECS dan memperoleh token STS dari peran RAM yang ditetapkan ke node pekerja. Hal ini menyebabkan kebocoran izin. Fitur RAM Roles for Service Accounts (RRSA) mencapai kontrol izin granular pada pod dan secara otomatis menambahkan informasi OpenID Connect (OIDC) ke variabel lingkungan. Anda dapat menggunakan alat Kredensial Alibaba Cloud untuk memperoleh token STS sebagai token akses sementara. Untuk informasi lebih lanjut, lihat Gunakan RRSA untuk Memberi Otorisasi Pod yang Berbeda Mengakses Layanan Cloud yang Berbeda.
Gunakan alat Kredensial Alibaba Cloud
Alat Kredensial Alibaba Cloud mengenkapsulasi fitur untuk memperoleh dan mengelola kredensial. Selain itu, rantai penyedia kredensial default secara efektif mencegah pengkodean keras informasi tentang kredensial. Untuk informasi lebih lanjut, lihat Kelola Kredensial Akses.
Gunakan fitur deteksi kebocoran AccessKey dari Security Center
Security Center memeriksa pasangan AccessKey akun Alibaba Cloud dan pengguna RAM dalam kode sumber yang disimpan di GitHub secara real-time. Jika Security Center mendeteksi kebocoran pasangan AccessKey, Security Center menghasilkan peringatan. Kami merekomendasikan agar Anda melihat dan menangani peristiwa kebocoran pasangan AccessKey sesegera mungkin. Untuk informasi lebih lanjut, lihat Deteksi Kebocoran Pasangan AccessKey.
Tangani kebocoran pasangan AccessKey
Kebocoran pasangan AccessKey
Nonaktifkan atau Hapus Pasangan AccessKey
Jika terjadi kebocoran pasangan AccessKey, pertama-tama nonaktifkan atau hapus pasangan AccessKey dan gunakan pasangan AccessKey baru. Untuk informasi lebih lanjut, lihat Nonaktifkan Pasangan AccessKey Pengguna RAM dan Hapus Pasangan AccessKey Pengguna RAM.
Kueri Peristiwa Pasangan AccessKey
Anda dapat menggunakan fitur audit pasangan AccessKey dari ActionTrail untuk menanyakan informasi dasar pasangan AccessKey, serta layanan Alibaba Cloud yang diakses, alamat IP terkait, dan sumber daya. Ini membantu Anda melacak penggunaan pasangan AccessKey dan menangani pengecualian seperti kebocoran pasangan AccessKey.
Kebocoran token STS
Token STS adalah token akses sementara, dengan periode validitas mulai dari 15 menit hingga 12 jam. Oleh karena itu, kebocoran token STS juga dapat menyebabkan risiko keamanan yang besar. Anda dapat melakukan langkah-langkah berikut untuk membuat token STS tidak valid:
Masuk ke Konsol RAM.
Lepaskan semua kebijakan dari peran RAM.
Untuk informasi lebih lanjut, lihat Cabut Izin dari Peran RAM.
Hapus peran RAM.
Untuk informasi lebih lanjut, lihat Hapus Peran RAM.
Setelah peran RAM dihapus, semua token STS yang diperoleh dengan mengasumsikan peran RAM ini dan belum kedaluwarsa akan segera menjadi tidak valid.
Jika Anda masih perlu menggunakan peran RAM ini, Anda dapat membuat peran baru dengan nama yang sama dan melampirkan kebijakan yang sama untuk melanjutkan tugas Anda dengan peran RAM yang baru dibuat.
Referensi
Untuk informasi lebih lanjut, lihat topik berikut: