Topik ini menjelaskan cara menggunakan analisis akses eksternal untuk mengidentifikasi akses eksternal yang diizinkan ke sumber daya dalam direktori sumber daya atau akun saat ini.
Ikhtisar
Apa itu analisis akses eksternal?
Analisis akses eksternal membantu mengidentifikasi sumber daya yang dibagikan dengan akun eksternal di akun saat ini atau direktori sumber daya Anda. Beberapa sumber daya Alibaba Cloud, seperti Bucket Object Storage Service (OSS) dan Peran Resource Access Management (RAM), mendukung kebijakan berbasis sumber daya yang dilampirkan pada identitas eksternal. Analisis akses eksternal secara terus-menerus memantau sumber daya bersama dalam direktori sumber daya atau akun saat ini dan menghasilkan temuan untuk sumber daya tersebut. Ini membantu mengidentifikasi pembagian sumber daya yang tidak diharapkan dan mengurangi risiko keamanan perusahaan. Setiap temuan mencakup informasi tentang identitas eksternal yang mengakses sumber daya bersama serta izin operasi yang diberikan.
Zona tepercaya
Saat membuat analisis, Anda dapat menetapkan ruang lingkup analisis ke Current Account atau Resource Directory. Ruang lingkup yang ditentukan merupakan zona tepercaya dari analisis. Analisis memantau sumber daya yang dapat dianalisis di zona tepercaya. Jika identitas internal mengakses sumber daya di zona tepercaya, analisis menganggap akses tersebut tepercaya. Sebagai contoh, jika zona tepercaya adalah Current Account, identitas dalam akun saat ini dianggap tepercaya, sedangkan identitas di akun lain dianggap tidak tepercaya. Jika zona tepercaya adalah Resource Directory, identitas dalam direktori sumber daya tempat akun saat ini termasuk dianggap tepercaya, sedangkan identitas di luar direktori sumber daya dianggap tidak tepercaya.
Jenis sumber daya yang mendukung analisis akses eksternal
Bucket OSS
Analisis akses eksternal menganalisis daftar kontrol akses (ACL) dan kebijakan bucket dari Bucket OSS serta menghasilkan temuan berdasarkan nilai parameter Block Public Access. Jika sebuah bucket di zona tepercaya mengizinkan akses dari entitas di luar zona tepercaya, seperti pengguna anonim, analisis menghasilkan temuan aktif untuk bucket tersebut.
Peran RAM
Analisis akses eksternal menganalisis kebijakan kepercayaan dari Peran RAM. Kebijakan kepercayaan adalah kebijakan berbasis sumber daya yang ditentukan saat Anda membuat Peran RAM. Dalam kebijakan kepercayaan, Anda dapat menentukan entitas tepercaya yang dapat mengasumsikan Peran RAM. Jika entitas di luar zona tepercaya dapat mengasumsikan Peran RAM di zona tepercaya, analisis menghasilkan temuan aktif untuk peran tersebut.
Buat analisis akses eksternal
Masuk ke Konsol RAM sebagai pengguna RAM dengan hak administratif.
Di bilah navigasi sebelah kiri, pilih .
Di bilah navigasi atas, pilih wilayah.
CatatanAnalisis akses eksternal hanya menganalisis sumber daya di wilayah tempat analisis berada. Untuk menganalisis sumber daya di wilayah lain, Anda harus membuat analisis di wilayah tersebut. Sumber daya yang diterapkan di wilayah pusat, seperti Peran RAM, dapat dipantau dan dianalisis oleh analisis di wilayah mana pun.
Di halaman Analyzer, klik Create Analyzer. Di halaman Buat Analyzer, masukkan nama analyzer, atur Jenis Analyzer ke External Access, dan pilih ruang lingkup analisis. Lalu, klik Create Analyzer.
CatatanHanya akun manajemen direktori sumber daya yang dapat menyetel Ruang Lingkup Analyzer ke Resource Directory.
Setelah Anda membuat analisis, sistem akan mendeteksi akses eksternal ke sumber daya dalam ruang lingkup analisis. Proses ini memerlukan waktu tertentu untuk menghasilkan temuan.
Lihat dan kelola temuan akses eksternal
Lihat temuan
Anda dapat melihat temuan di halaman Analyzers atau Findings.
Gambar berikut menunjukkan halaman Analyzer.
Gambar berikut menunjukkan halaman Temuan.
Filter temuan
Anda dapat mencari temuan tertentu berdasarkan kondisi filter, seperti Sumber Daya, Tipe Sumber Daya, Pemilik Sumber Daya, dan Status.
Kondisi filter berlaku di konsol.
Sebagai contoh, Anda dapat mengonfigurasi kondisi berikut untuk memeriksa apakah akses publik ada.
Lihat detail temuan
Di daftar temuan, temukan temuan yang ingin Anda kelola dan klik ID di kolom Finding ID.
Anda dapat melakukan salah satu operasi berikut berdasarkan temuan:
Jika pembagian sumber daya diharapkan, klik Archive untuk mengarsipkan temuan.
Jika pembagian sumber daya tidak diharapkan, klik Go for Governance atau Copy Resource URL untuk melakukan operasi tata kelola di halaman yang sesuai. Jika sumber daya yang terlibat milik akun saat ini, klik Lanjutkan Tata Kelola. Jika tidak, klik Salin URL Sumber Daya.
Otomatis arsipkan temuan
Selain mengarsipkan temuan tunggal secara manual, Anda dapat membuat aturan arsip untuk secara otomatis mengarsipkan temuan yang tidak memerlukan tata kelola.
Di halaman Findings, konfigurasikan kondisi filter dan klik Simpan sebagai Aturan Arsip untuk membuat aturan arsip. Setelah Anda membuat aturan arsip, temuan baru akan secara otomatis diarsipkan.
Temuan yang dihasilkan sebelum aturan arsip dibuat tidak diarsipkan secara otomatis. Untuk mengarsipkan temuan, lakukan operasi berikut: Buka halaman Analyzers, klik nama di kolom Nama Analyzer, klik tab Aturan Arsip, temukan aturan arsip yang diperlukan, lalu klik Apply Archive Rule di kolom Tindakan.
