Pasangan AccessKey adalah kredensial yang digunakan untuk mengautentikasi identitas Anda saat memanggil API Alibaba Cloud. Kebocoran pasangan AccessKey dapat membahayakan seluruh sumber daya di bawah akun Anda, menyebabkan biaya tak terduga, permintaan tebusan, dan—dalam kasus parah—merugikan Alibaba Cloud atau pengguna lain. Ikuti langkah-langkah berikut untuk merespons dugaan kebocoran dan mengurangi risiko penyalahgunaan kredensial.
Langkah-langkah keamanan Alibaba Cloud
Alibaba Cloud terus memperkuat keamanan layanan cloud dan membantu Anda melindungi akun. Jika Alibaba Cloud mendeteksi bahwa pasangan AccessKey Anda telah dipublikasikan—berdasarkan intelijen eksternal—Anda akan segera diberi tahu melalui saluran kontak terdaftar. Untuk melindungi bisnis dan data Anda, Alibaba Cloud juga menerapkan perlindungan restriktif pada pasangan AccessKey yang dikompromikan dengan memblokirnya dari pemanggilan API berisiko tinggi untuk layanan cloud tertentu. Untuk detailnya, lihat Perlindungan restriktif untuk AccessKey.
Perhatikan notifikasi yang dikirim melalui pesan teks, email, dan pesan dalam konsol. Segera tanggapi sesuai kebutuhan bisnis Anda dan waspadai aktivitas mencurigakan yang melibatkan sumber daya cloud Anda agar tidak terjadi gangguan layanan.
Alibaba Cloud tidak dapat memantau status keamanan semua pasangan AccessKey Anda. Berdasarkan model tanggung jawab bersama, pasangan AccessKey merupakan bagian dari kredensial identitas akun Anda, dan Anda sepenuhnya bertanggung jawab atas keamanannya. Tetap waspada.
Langkah respons manual untuk dugaan kebocoran AccessKey Akun Alibaba Cloud (akun root)
-
Jika AccessKey tersebut tidak lagi digunakan, buka halaman manajemen AccessKey dan segera nonaktifkan atau hapus.
-
Jika AccessKey tersebut masih digunakan, buka halaman manajemen AccessKey dan lakukan rotasi.
Buat AccessKey baru dan simpan Rahasia AccessKey secara aman. Ganti AccessKey lama dengan yang baru di aplikasi Anda. Setelah memastikan semuanya berfungsi dengan benar, nonaktifkan dan hapus AccessKey lama.
Langkah respons manual untuk dugaan kebocoran AccessKey Pengguna RAM
-
Jika AccessKey tersebut tidak lagi digunakan, buka Konsol Resource Access Management (RAM) dan nonaktifkan atau hapus AccessKey Pengguna RAM tersebut. Untuk petunjuknya, lihat Nonaktifkan AccessKey Pengguna RAM dan Hapus AccessKey Pengguna RAM.
-
Jika AccessKey tersebut sedang digunakan dan dapat segera dirotasi, lakukan rotasi sesegera mungkin.
Buat AccessKey baru dan simpan Rahasia AccessKey secara aman. Ganti AccessKey lama dengan yang baru di aplikasi Anda. Setelah memastikan operasi normal, nonaktifkan dan hapus AccessKey lama. Untuk petunjuknya, lihat Rotasi AccessKey Pengguna RAM.
-
Jika AccessKey tersebut sedang digunakan tetapi tidak dapat segera dirotasi, ikuti langkah-langkah berikut untuk membatasi potensi kerusakan. Segera lakukan rotasi setelah memungkinkan.
Langkah 1: Kurangi izin AccessKey
Identifikasi kebutuhan bisnis Anda dan, tanpa mengganggu operasi saat ini, segera kurangi izin untuk pasangan AccessKey yang dicurigai. Batasi izin berisiko tinggi untuk meminimalkan potensi kerusakan terhadap bisnis dan penagihan Anda. Pertahankan kebijakan restriktif ini hingga Anda menonaktifkan dan menghapus pasangan AccessKey tersebut.
Izin berisiko tinggi yang direkomendasikan untuk dibatasi: mencegah Pengguna RAM membuat pengguna RAM lain atau memberikan izin di RAM, memblokir pelepasan sumber daya ECS, RDS, OSS, atau SLS, serta menonaktifkan pengiriman SMS.
Contoh berikut menunjukkan kebijakan kustom yang menolak aksi berisiko tinggi. Evaluasi dampaknya dan sesuaikan berdasarkan kebutuhan bisnis Anda.
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "ram:AddUserToGroup", "ram:AttachPolicyToGroup", "ram:AttachPolicyToRole", "ram:AttachPolicyToUser", "ram:ChangePassword", "ram:CreateAccessKey", "ram:CreateLoginProfile", "ram:CreatePolicyVersion", "ram:CreateRole", "ram:CreateUser", "ram:DetachPolicyFromUser", "ram:PassRole", "ram:SetDefaultPolicyVersion", "ram:UpdateAccessKey", "ram:SetPasswordPolicy", "ram:UpdateRole", "ram:UpdateLoginProfile", "ram:UpdateUser" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "ecs:DeleteInstance", "ecs:DeleteInstances", "ecs:DeregisterManagedInstance", "ecs:ReleaseDedicatedHost" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "rds:DeleteAccount", "rds:DeleteDatabase", "rds:DeleteDBInstance", "rds:DestroyDBInstance" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "oss:DeleteBucket", "oss:DeleteObject", "oss:PutBucketAcl", "oss:PutBucketPolicy" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "log:DeleteLogStore", "log:DeleteProject", "log:PutProjectPolicy", "log:DeleteProjectPolicy" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "dysms:CreateProductNew", "dysms:CreateSmsTemplateNew", "dysms:AddSmsTemplate", "dysms:SendSms", "dysms:SendBatchSms" ], "Resource": "*" } ] }Untuk petunjuknya, lihat Buat kebijakan kustom dan Kelola izin untuk Pengguna RAM.
Tentukan dengan jelas izin minimum yang diperlukan untuk AccessKey tersebut dan hapus semua izin yang tidak perlu.
Langkah 2: Aktifkan MFA untuk Pengguna RAM
Sebagai praktik terbaik, aktifkan autentikasi multi-faktor (MFA) untuk semua Pengguna RAM di bawah Akun Alibaba Cloud (akun root) yang mengakses konsol.
-
Wajibkan MFA untuk Pengguna RAM yang masuk ke konsol melalui akun root.
Untuk petunjuknya, lihat Kelola pengaturan login Pengguna RAM.
-
Kaitkan perangkat MFA ke pengguna tersebut.
Untuk petunjuknya, lihat Kaitkan perangkat MFA ke Pengguna RAM.
Langkah 3: Periksa operasi AccessKey yang mencurigakan
Tinjau pasangan AccessKey tersebut untuk aktivitas tidak biasa dan selidiki apakah identitas lain juga mungkin dikompromikan. Fokuskan pada alamat IP sumber yang mencurigakan serta aksi pembuatan atau penghapusan sumber daya di luar operasi bisnis normal.
Operasi berbahaya yang perlu diselidiki selama periode dugaan kebocoran:
-
Perubahan identitas dan izin: membuat Pengguna RAM (
CreateUser), membuat AccessKey (CreateAccessKey), menyambungkan kebijakan (AttachPolicyToUser), dan membuat peran (CreateRole). -
Penghapusan atau pelepasan sumber daya: menghapus instance ECS (
DeleteInstance), menghapus instance RDS (DeleteDBInstance), dan menghapus bucket OSS (DeleteBucket). -
Aksi eksfiltrasi data: mengubah ACL bucket OSS (
PutBucketAcl) atau kebijakan bucket (PutBucketPolicy). -
Perilaku API tidak biasa: volume besar panggilan API dalam waktu singkat, operasi dari alamat IP atau Wilayah yang tidak dikenal, atau operasi batch di luar jam kerja normal.
Cara memeriksa: Di Konsol Resource Access Management (RAM), temukan daftar AccessKey Pengguna RAM dan tinjau catatan operasinya. Atau, buka halaman AccessKey audit di Konsol ActionTrail dan masukkan ID AccessKey untuk mengkueri riwayat operasinya.
Fitur audit AccessKey ActionTrail menampilkan semua panggilan API yang dilakukan oleh pasangan AccessKey tertentu dalam 90 hari terakhir, termasuk waktu panggilan, nama aksi, alamat IP sumber, dan layanan cloud yang diakses. Untuk petunjuknya, lihat Pantau penggunaan AccessKey dengan ActionTrail.
CatatanUntuk operasi terkait data yang tidak dicakup ActionTrail—seperti yang ada di OSS atau SLS—gunakan fitur logging layanan cloud terkait untuk investigasi.
Periksa juga apakah Pengguna RAM atau pasangan AccessKey lain menunjukkan tanda aktivitas mencurigakan di luar kunci yang diketahui dikompromikan. Jika Anda menemukan perilaku mencurigakan, konfirmasi dengan personel terkait apakah aksi tersebut sah. Jika kebocoran dicurigai, lakukan tindakan berikut:
-
Jika Pengguna RAM harus tetap aktif, segera ganti password-nya dan aktifkan autentikasi multi-faktor (MFA).
-
Jika Pengguna RAM tersebut tidak dibuat secara sah atau tidak lagi diperlukan, hapus. Pengguna RAM yang dihapus akan masuk ke Keranjang daur ulang. Pantau dampaknya terhadap bisnis Anda, dan segera pulihkan jika diperlukan.
-
Untuk aktivitas AccessKey yang mencurigakan, batasi izin seperti dijelaskan di atas, lalu lakukan rotasi kunci tersebut.
Langkah 4: Periksa biaya tidak biasa
Di Biaya dan Pengeluaran, tinjau penagihan Anda untuk biaya tak terduga. Berdasarkan temuan dari langkah sebelumnya, terapkan langkah perlindungan yang ditargetkan untuk layanan yang terdampak.
-
Strategi pencegahan kebocoran AccessKey jangka panjang
Lihat Praktik terbaik penggunaan kredensial akses untuk memanggil Alibaba Cloud OpenAPI.