Tangani pasangan AccessKey yang berpotensi dikompromikan - Resource Access Management

Jika Anda mencurigai bahwa pasangan AccessKey untuk Akun Alibaba Cloud Anda telah dikompromikan, segera ambil tindakan untuk melindungi akun Anda. Pasangan AccessKey yang dikompromikan dapat menyebabkan akses tidak sah ke resource, biaya tak terduga, dan potensi pelanggaran data. Topik ini menjelaskan langkah-langkah respons segera terhadap pasangan AccessKey yang dikompromikan.

Respons otomatis Alibaba Cloud

Alibaba Cloud secara terus-menerus memantau keberadaan pasangan AccessKey yang diekspos secara publik. Jika kami mendeteksi pasangan AccessKey yang dikompromikan, kami segera memberi tahu Anda melalui informasi kontak yang terkait dengan akun Anda. Untuk melindungi resource Anda, kami juga secara otomatis menerapkan kebijakan perlindungan restriktif pada pasangan AccessKey tersebut. Kebijakan ini memblokir operasi API berisiko tinggi hingga Anda mengambil tindakan. Untuk informasi selengkapnya, lihat Perlindungan restriktif untuk pasangan AccessKey yang dikompromikan.

Peringatan

Selalu pantau notifikasi dari Alibaba Cloud melalui SMS, email, dan pesan konsol. Jika Anda menerima notifikasi tentang pasangan AccessKey yang dikompromikan, segera ambil tindakan. Anda bertanggung jawab untuk mengaudit akun Anda terhadap aktivitas tidak sah apa pun.

Catatan

Berdasarkan model tanggung jawab bersama, Anda bertanggung jawab atas pengamanan kredensial Anda. Meskipun Alibaba Cloud menyediakan deteksi otomatis untuk pasangan AccessKey yang diekspos secara publik, Anda tetap harus mengelola dan melindungi semua pasangan AccessKey Anda.

Respons segera untuk pasangan AccessKey yang dikompromikan milik Akun Alibaba Cloud

Jika pasangan AccessKey tidak sedang digunakan, nonaktifkan dan hapus di halaman AccessKey.
Jika pasangan AccessKey sedang digunakan, putar (rotate) di halaman AccessKey.
Buat pasangan AccessKey baru, perbarui aplikasi Anda agar menggunakan pasangan tersebut, lalu nonaktifkan dan hapus pasangan AccessKey yang dikompromikan.

Respons segera untuk pasangan AccessKey yang dikompromikan milik RAM user

Jika pasangan AccessKey tidak sedang digunakan, segera nonaktifkan dan hapus.
Jika pasangan AccessKey sedang digunakan dan dapat diputar segera, lakukan tanpa penundaan.
Buat pasangan AccessKey baru, perbarui aplikasi Anda agar menggunakannya, uji perubahan tersebut, lalu nonaktifkan dan hapus pasangan AccessKey yang dikompromikan. Untuk informasi selengkapnya, lihat Putar pasangan AccessKey untuk RAM user.
Jika pasangan AccessKey sedang digunakan dan tidak dapat diputar segera tanpa mengganggu operasi bisnis Anda, ikuti langkah-langkah berikut untuk memitigasi risiko. Anda tetap harus memutar pasangan AccessKey tersebut sesegera mungkin.
Langkah 1: Cabut izin dari pasangan AccessKey
Untuk membatasi potensi kerusakan, segera batasi izin RAM user yang terkait dengan pasangan AccessKey yang dikompromikan. Lampirkan kebijakan baru ke pengguna tersebut yang secara eksplisit menolak izin berisiko tinggi. Tindakan ini membantu mencegah penyerang menyebabkan kerugian signifikan, seperti menghapus resource atau membuat pengguna baru.
Periksa juga izin yang sudah ada pada RAM user tersebut dan hapus izin yang tidak esensial bagi kelangsungan operasi bisnis Anda.
Kode berikut menyediakan contoh kebijakan kustom untuk menolak izin berisiko tinggi. Evaluasi kebijakan ini dan sesuaikan dengan kebutuhan keamanan Anda sebelum menerapkannya.
```
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ram:AddUserToGroup",
        "ram:AttachPolicyToGroup",
        "ram:AttachPolicyToRole",
        "ram:AttachPolicyToUser",
        "ram:ChangePassword",
        "ram:CreateAccessKey",
        "ram:CreateLoginProfile",
        "ram:CreatePolicyVersion",
        "ram:CreateRole",
        "ram:CreateUser",
        "ram:DetachPolicyFromUser",
        "ram:PassRole",
        "ram:SetDefaultPolicyVersion",
        "ram:UpdateAccessKey",
        "ram:SetPasswordPolicy",
        "ram:UpdateRole",
        "ram:UpdateLoginProfile",
        "ram:UpdateUser"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "ecs:DeleteInstance",
        "ecs:DeleteInstances",
        "ecs:DeregisterManagedInstance",
        "ecs:ReleaseDedicatedHost"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "rds:DeleteAccount",
        "rds:DeleteDatabase",
        "rds:DeleteDBInstance",
        "rds:DestroyDBInstance"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "oss:DeleteBucket",
        "oss:DeleteObject",
        "oss:PutBucketAcl",
        "oss:PutBucketPolicy"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "log:DeleteLogStore",
        "log:DeleteProject",
        "log:PutProjectPolicy",
        "log:DeleteProjectPolicy"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "dysms:CreateProductNew",
        "dysms:CreateSmsTemplateNew",
        "dysms:AddSmsTemplate",
        "dysms:SendSms",
        "dysms:SendBatchSms"
      ],
      "Resource": "*"
    }
  ]
}
```
Untuk informasi selengkapnya, lihat Buat kebijakan kustom dan Berikan izin kepada RAM user.
Langkah 2: Aktifkan MFA untuk RAM user
Jika RAM user memiliki izin untuk login ke konsol, aktifkan autentikasi multi-faktor (MFA) sebagai praktik keamanan terbaik.
1. Terapkan persyaratan MFA untuk login konsol pengguna tersebut.
2. Bekerja sama dengan pengguna untuk bind perangkat MFA baru ke akun mereka.
Langkah 3: Periksa operasi abnormal yang dilakukan dengan pasangan AccessKey
Audit semua aktivitas yang dilakukan oleh pasangan AccessKey yang dikompromikan untuk mengidentifikasi tindakan tidak sah. Cari aktivitas tidak biasa, seperti pembuatan atau penghapusan resource di wilayah yang tidak terduga, atau panggilan API dari alamat IP yang tidak dikenal.
Anda dapat menyelidiki aktivitas pasangan AccessKey menggunakan salah satu metode berikut:
- Metode 1: Gunakan konsol RAM untuk tinjauan cepat
  1. Login ke Konsol RAM.
  2. Di panel navigasi sebelah kiri, pilih Identities > Users.
  3. Klik username RAM user yang dituju.
  4. Di halaman detail pengguna, klik tab Authentication.
  5. Di bagian AccessKey, tinjau riwayat operasi dan informasi penggunaan terakhir untuk pasangan AccessKey yang ditentukan.
- Metode 2: Gunakan ActionTrail untuk audit komprehensif
  1. Login ke Konsol ActionTrail.
  2. Di panel navigasi sebelah kiri, klik AccessKey Pair Audit.
  3. Di kotak pencarian, filter riwayat event berdasarkan ID AccessKey yang dikompromikan untuk meninjau semua panggilan API dan aktivitas pengguna terkait.
Catatan
Untuk data event yang tidak dicatat oleh ActionTrail (seperti akses objek di OSS), Anda harus mengaktifkan dan memeriksa log untuk setiap layanan secara terpisah.
Saat melakukan audit, periksa juga aktivitas mencurigakan dari RAM user atau pasangan AccessKey lainnya. Penyerang mungkin telah menggunakan pasangan AccessKey yang dikompromikan awal untuk membuat backdoor lain. Jika Anda menemukan aktivitas tidak sah:
- Untuk pengguna sah yang menunjukkan aktivitas mencurigakan, segera reset password mereka dan wajibkan penggunaan MFA.
- Hapus semua RAM user yang dibuat tanpa otorisasi.
- Jika Anda menemukan pasangan AccessKey lain yang dikompromikan, ikuti prosedur yang sama untuk membatasi izin dan memutarnya.
Langkah 4: Periksa biaya abnormal
Di konsol Biaya dan Pengeluaran, tinjau detail penagihan Anda untuk biaya tak terduga apa pun. Penggunaan resource tanpa izin, seperti untuk penambangan cryptocurrency, dapat menyebabkan lonjakan biaya signifikan. Jika Anda menemukan resource tidak sah, segera hapus setelah mendokumentasikannya untuk investigasi Anda.

Praktik terbaik untuk pencegahan

Untuk informasi selengkapnya, lihat Praktik terbaik untuk menggunakan kredensial akses dalam memanggil operasi API.