Identifikasi akses eksternal - Resource Access Management

Topik ini menjelaskan cara menggunakan alat analisis akses eksternal untuk mengidentifikasi akses eksternal yang diizinkan ke resource dalam direktori sumber daya Anda atau dalam akun saat ini.

Ikhtisar

Apa itu alat analisis akses eksternal?

Alat analisis akses eksternal membantu mengidentifikasi resource yang dibagikan dengan akun eksternal dalam akun saat ini atau direktori sumber daya Anda. Beberapa resource Alibaba Cloud, seperti bucket Object Storage Service (OSS) dan role Resource Access Management (RAM), mendukung kebijakan berbasis resource yang ditautkan ke identitas eksternal. Alat ini secara terus-menerus memantau resource yang dibagikan dalam zona kepercayaan—yaitu akun saat ini atau direktori sumber daya—and menghasilkan temuan untuk resource tersebut. Hal ini membantu mengidentifikasi pembagian resource yang tidak terduga dan mengurangi risiko keamanan perusahaan. Setiap temuan mencakup informasi mengenai identitas eksternal yang mengakses resource yang dibagikan serta izin operasi yang diberikan.

Zona kepercayaan

Saat membuat alat analisis, Anda dapat mengatur cakupan analisis ke Current Account atau Resource Directory. Cakupan yang Anda tentukan merupakan zona kepercayaan dari alat analisis tersebut. Alat ini memantau resource yang dapat dianalisis dalam zona kepercayaan. Jika identitas internal mengakses resource dalam zona kepercayaan, alat analisis menganggap akses tersebut tepercaya. Misalnya, jika zona kepercayaan adalah Current Account, identitas dalam akun saat ini dianggap tepercaya, sedangkan identitas dalam akun lain dianggap tidak tepercaya. Jika zona kepercayaan adalah Resource Directory, identitas dalam direktori sumber daya tempat akun saat ini berada dianggap tepercaya, sedangkan identitas di luar direktori tersebut dianggap tidak tepercaya.

Jenis resource yang didukung oleh alat analisis akses eksternal

OSS buckets
Alat analisis akses eksternal menganalisis daftar kontrol akses (ACL) dan kebijakan bucket OSS serta menghasilkan temuan berdasarkan nilai parameter Block Public Access. Jika bucket dalam zona kepercayaan mengizinkan akses dari entitas di luar zona kepercayaan—seperti pengguna anonim—alat analisis akan menghasilkan temuan aktif untuk bucket tersebut.
RAM roles
Alat analisis akses eksternal menganalisis kebijakan kepercayaan role RAM. Kebijakan kepercayaan adalah kebijakan berbasis resource yang ditentukan saat Anda membuat role RAM. Dalam kebijakan tersebut, Anda dapat menentukan entitas tepercaya yang dapat mengasumsikan role RAM tersebut. Jika entitas di luar zona kepercayaan dapat mengasumsikan role RAM dalam zona kepercayaan, alat analisis akan menghasilkan temuan aktif untuk role RAM tersebut.

Buat alat analisis akses eksternal

Masuk ke RAM console sebagai RAM user yang memiliki hak administratif.
Di panel navigasi sebelah kiri, pilih Access Analyzing > Analyzers.
Di bilah navigasi atas, pilih wilayah.
Catatan
Alat analisis akses eksternal hanya menganalisis resource di wilayah tempat alat tersebut berada. Untuk menganalisis resource di wilayah lain, Anda harus membuat alat analisis di wilayah tersebut. Resource yang diterapkan di wilayah pusat, seperti role RAM, dapat dipantau dan dianalisis oleh alat analisis di wilayah mana pun.
Di halaman Analyzers, klik Create Analyzer. Di halaman Create Analyzer, masukkan nama alat analisis, atur Analyzer Type ke External Access, lalu pilih cakupan analisis. Kemudian, klik Create Analyzer.
Catatan
Hanya akun manajemen direktori sumber daya yang dapat mengatur Analyzer Scope ke Resource Directory.

Setelah Anda membuat alat analisis, alat tersebut akan mendeteksi akses eksternal ke resource dalam cakupan analisis. Sistem memerlukan periode waktu tertentu untuk menghasilkan temuan.

Lihat dan tangani temuan akses eksternal

Lihat temuan

Anda dapat melihat temuan di halaman Analyzers atau Findings.

Gambar berikut menunjukkan halaman Analyzers.

Gambar berikut menunjukkan halaman Findings.

Filter temuan

Anda dapat mencari temuan tertentu berdasarkan kondisi filter, seperti Resource, Resource Type, Resource Owner, dan Status.

Catatan

Kondisi filter berlaku di konsol.

Sebagai contoh, Anda dapat mengonfigurasi kondisi berikut untuk memeriksa apakah terdapat akses publik.

Lihat detail temuan

Di daftar temuan, temukan temuan yang ingin Anda kelola lalu klik ID di kolom Finding ID.

Anda dapat melakukan salah satu operasi berikut berdasarkan temuan tersebut:

Jika pembagian resource sesuai ekspektasi, klik Archive untuk mengarsipkan temuan tersebut.
Jika pembagian resource tidak sesuai ekspektasi, klik Go for Governance atau Copy Resource URL untuk melakukan operasi tata kelola di halaman yang sesuai. Jika resource yang terlibat termasuk dalam akun saat ini, klik Go for Governance. Jika tidak, klik Copy Resource URL.

Arsipkan temuan secara otomatis

Selain mengarsipkan satu temuan secara manual, Anda dapat membuat aturan arsip untuk secara otomatis mengarsipkan temuan yang tidak memerlukan tata kelola.

Di halaman Findings, konfigurasikan kondisi filter lalu klik Save as Archive Rule untuk membuat aturan arsip. Setelah aturan arsip dibuat, temuan baru akan secara otomatis diarsipkan.

Temuan yang dihasilkan sebelum aturan arsip dibuat tidak akan diarsipkan secara otomatis. Untuk mengarsipkan temuan tersebut, lakukan langkah-langkah berikut: Buka halaman Analyzers, klik nama di kolom Analyzer Name, klik tab Archive Rules, temukan aturan arsip yang diperlukan, lalu klik Apply Archive Rule di kolom Actions.