Security Center memeriksa pasangan AccessKey dari akun Alibaba Cloud dan Pengguna Manajemen Akses Sumber Daya (RAM) dalam kode sumber yang disimpan di GitHub secara real-time. Jika terdeteksi kebocoran pasangan AccessKey, Security Center menghasilkan peringatan. Kami menyarankan Anda untuk segera meninjau dan menangani peristiwa kebocoran tersebut. Topik ini menjelaskan prinsip-prinsip pendeteksian kebocoran pasangan AccessKey serta cara menangani peristiwa terkait.
Prinsip-prinsip
Fitur pendeteksian kebocoran pasangan AccessKey memungkinkan Anda mendeteksi informasi pasangan AccessKey dalam kode sumber publik yang diterapkan di GitHub secara real-time. Dalam banyak kasus, karyawan perusahaan mengunggah dan membocorkan kode sumber yang berisi pasangan AccessKey. Ketika hal ini terjadi, Security Center mengirimkan notifikasi untuk membantu Anda mengidentifikasi kebocoran data sesegera mungkin.
Security Center hanya mendeteksi kebocoran pasangan AccessKey pada platform GitHub.
Jika karyawan perusahaan mengunggah kode sumber rahasia ke platform seperti GitHub, pasangan AccessKey dari akun Alibaba Cloud milik perusahaan tersebut dapat bocor di internet. Jika pasangan AccessKey bocor, Anda mungkin kehilangan kendali atas sumber daya dalam akun tersebut.
Pasangan AccessKey hanya dapat digunakan oleh pihak ketiga jika baik ID AccessKey maupun Rahasia AccessKey dari pasangan tersebut bocor. Saat Security Center mendeteksi kebocoran pasangan AccessKey dari akun Alibaba Cloud atau pengguna RAM, sistem memberi tahu akun terkait melalui metode berbeda berdasarkan validitas Rahasia AccessKey. Metode berikut didukung:
Peringatan pada halaman pendeteksian kebocoran pasangan AccessKey: Peringatan dihasilkan jika kebocoran terdeteksi, terlepas dari validitas Rahasia AccessKey.
Pesan di konsol: Pesan ditampilkan di konsol Security Center atau di sebagian besar konsol layanan Alibaba Cloud jika kebocoran pasangan AccessKey terdeteksi dan Rahasia AccessKey valid.
Notifikasi: Security Center mengirimkan notifikasi berdasarkan pengaturan notifikasi jika kebocoran pasangan AccessKey terdeteksi dan Rahasia AccessKey valid. Notifikasi dapat dikirim melalui pesan internal dan email.
Konfigurasikan notifikasi peringatan untuk kebocoran pasangan AccessKey
Jika peringatan dihasilkan untuk kebocoran pasangan AccessKey, Security Center memberi tahu Anda melalui email, atau pesan internal.
Secara default, Security Center mengirimkan notifikasi saat peringatan dihasilkan. Namun, Anda dapat melakukan operasi berikut untuk menentukan metode notifikasi: Pilih Notification Settings di panel navigasi sisi kiri konsol Security Center. Pada tab Email/Internal Message, konfigurasikan Notification Method untuk AccessKey Pair Leak Information. Anda hanya akan menerima notifikasi melalui metode yang dipilih. Untuk informasi lebih lanjut, lihat Konfigurasikan Pengaturan Notifikasi.
Peristiwa kebocoran pasangan AccessKey dapat menyebabkan risiko serius. Kami menyarankan Anda untuk memilih semua metode notifikasi agar menerima notifikasi sesegera mungkin.
Secara default, hanya kontak akun yang menerima notifikasi. Jika Anda ingin orang lain menerima notifikasi, Anda dapat melakukan operasi berikut untuk menambahkan kontak:
Di halaman Pengaturan Umum, pilih di kolom Jenis Notifikasi, lalu klik Ubah di kolom Kontak yang sesuai untuk mengubah penerima pesan.
Penerima notifikasi yang dimodifikasi juga diterapkan pada notifikasi lain yang dikirim oleh Security Center dan pada notifikasi yang dikirim oleh layanan seperti Anti-DDoS dan Web Application Firewall (WAF).
Tangani Peristiwa Kebocoran Pasangan AccessKey
Jika Anda menerima notifikasi untuk kebocoran pasangan AccessKey, pasangan AccessKey dari akun Alibaba Cloud Anda atau pengguna RAM telah bocor. Kami menyarankan Anda untuk segera menangani pasangan AccessKey yang bocor. Setelah menangani peristiwa kebocoran, tangani peringatan terkait di konsol Security Center. Berikut langkah-langkahnya:
Masuk ke konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.
Di panel navigasi sisi kiri, pilih .
Di halaman AccessKey Leak Detection, tinjau dan tangani peristiwa kebocoran pasangan AccessKey.
Lihat Detail Peristiwa Kebocoran Pasangan AccessKey
Untuk melihat detail peristiwa kebocoran pasangan AccessKey, temukan peristiwa terkait dan klik Details di kolom Tindakan. Anda dapat mengklik nilai Nama Pengguna, Nama File, atau Nama Repositori di bagian File Details untuk pergi ke GitHub dan melihat sumber kebocoran pasangan AccessKey.
Tangani Peristiwa Kebocoran Pasangan AccessKey
Security Center tidak dapat menangani pasangan AccessKey yang bocor secara otomatis atau memungkinkan Anda melakukan penanganan cepat. Anda harus menangani pasangan AccessKey secara manual di konsol RAM dan kemudian masuk ke konsol Security Center untuk menangani peristiwa kebocoran. Berikut metode yang dapat digunakan:
Hubungi personel terkait untuk menghapus atau menyembunyikan konten terkait di GitHub.
Jika Anda tidak lagi menggunakan pasangan AccessKey untuk memanggil operasi API dan mengakses sumber daya Alibaba Cloud, hapus atau nonaktifkan pasangan AccessKey yang bocor dan aktifkan pasangan AccessKey baru. Pastikan bisnis inti Anda tidak terpengaruh. Untuk informasi lebih lanjut, lihat Hapus Pasangan AccessKey Pengguna RAM dan Nonaktifkan Pasangan AccessKey Pengguna RAM.
Setelah menangani pasangan AccessKey yang bocor secara manual, temukan peristiwa kebocoran pasangan AccessKey di halaman Pendeteksian Kebocoran AccessKey dan klik Handle di kolom Tindakan. Di kotak dialog yang muncul, pilih metode penanganan dan klik Handle Now.
Nilai valid untuk Handling Method termasuk Manually Deleted, Manually Disabled AccessKey Pair, dan Add to Whitelist.
CatatanSetelah menghapus informasi yang melibatkan pasangan AccessKey dan memilih metode penanganan untuk Handling Method, status peristiwa kebocoran pasangan AccessKey berubah menjadi Ditangani.
Jika Anda menambahkan peristiwa kebocoran pasangan AccessKey ke daftar putih, status peristiwa berubah menjadi Added to Whitelist. Kemudian, peristiwa tersebut ditambahkan ke daftar Ditangani.
Jika Anda ingin menghapus peristiwa kebocoran pasangan AccessKey dari daftar putih, temukan peristiwa di daftar Ditangani, buka halaman detail, lalu klik Batalkan daftar putih.
Lihat catatan panggilan pasangan AccessKey
Anda dapat melihat catatan panggilan pasangan AccessKey untuk memeriksa apakah pasangan AccessKey yang bocor digunakan oleh penyerang dan memahami ruang lingkup dampak peristiwa kebocoran. Bagian ini menjelaskan cara melihat catatan panggilan pasangan AccessKey berdasarkan garis waktu di konsol ActionTrail.
Anda juga dapat menggunakan fitur audit pasangan AccessKey dari ActionTrail untuk menanyakan layanan Alibaba Cloud yang diakses menggunakan pasangan AccessKey. Dengan cara ini, Anda dapat melihat catatan panggilan pasangan AccessKey. Untuk informasi lebih lanjut, lihat Kueri Log Pasangan AccessKey.
Masuk ke konsol Security Center, buka halaman AccessKey Leak Detection, lalu salin ID AccessKey yang diperlukan.
Masuk ke konsol ActionTrail.
Di panel navigasi sisi kiri, pilih .
Di bilah navigasi atas, pilih wilayah peristiwa yang ingin Anda kueri dari daftar drop-down.
Pilih AccessKey ID dari daftar drop-down Jenis Baca/Tulis, tempel ID AccessKey di kotak pencarian, lalu pilih rentang waktu untuk kueri.
Dalam daftar peristiwa, temukan peristiwa yang diperlukan dan klik View Event Details di kolom Tindakan untuk melihat detail peristiwa.
Untuk informasi tentang bidang dalam peristiwa manajemen, lihat Struktur Peristiwa Manajemen.
Terus pantau panggilan pasangan AccessKey yang tidak normal
Setelah menangani peristiwa kebocoran pasangan AccessKey secara tepat waktu, kami menyarankan Anda untuk terus memantau panggilan pasangan AccessKey yang tidak normal. Ini dapat mencegah terjadinya peristiwa serupa, membantu Anda merespons dengan cepat ketika kebocoran terjadi, dan mengurangi dampak peristiwa tersebut. Bagian berikut menjelaskan metode untuk terus memantau panggilan pasangan AccessKey yang tidak normal. Anda dapat menggunakan satu atau lebih metode berdasarkan kebutuhan Anda.
Monitor panggilan pasangan AccessKey yang tidak normal dari perspektif serangan
Security Center mengumpulkan banyak tahun pengalaman pertahanan serangan dan membangun model besar untuk mendeteksi panggilan pasangan AccessKey yang tidak normal secara umum. Misalnya, alamat IP yang memulai permintaan panggilan melakukan serangan, alamat IP memanggil pasangan AccessKey dari beberapa pengguna sekaligus, operasi API yang dipanggil sensitif, dan pasangan AccessKey pernah bocor. Untuk melihat peringatan untuk panggilan pasangan AccessKey yang tidak normal di konsol Security Center, lakukan operasi berikut:
Masuk ke konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.
Di panel navigasi sisi kiri, pilih .
CatatanJika Anda telah mengaktifkan fitur Pendeteksian dan Tanggapan Ancaman Cloud (CTDR), panel navigasi sisi kiri akan berubah menjadi .
Pilih Deteksi Ancaman Cloud untuk Jenis Peringatan untuk memeriksa apakah peringatan dihasilkan untuk panggilan pasangan AccessKey yang tidak normal.
Jika peringatan semacam itu dihasilkan, Anda perlu melihat detail peringatan untuk memeriksa apakah panggilan pasangan AccessKey normal.
(Opsional) Konfigurasikan notifikasi peringatan.
Anda dapat mengonfigurasi metode notifikasi peringatan di konsol Security Center. Di panel navigasi sisi kiri, pilih System ConfigurationNotification Settings. Pada tab Email/Pesan Internal, temukan Alert di kolom Item Notifikasi lalu konfigurasikan metode notifikasi. Dengan cara ini, Anda dapat menerima peringatan untuk panggilan pasangan AccessKey yang tidak normal secara tepat waktu. Edisi Dasar Security Center hanya mendukung metode notifikasi pesan internal. Untuk informasi lebih lanjut, lihat Konfigurasikan Pengaturan Notifikasi.
Monitor panggilan pasangan AccessKey yang tidak normal yang dilakukan oleh akun Alibaba Cloud
ActionTrail menyediakan peringatan bawaan untuk memantau panggilan pasangan AccessKey yang tidak normal yang dilakukan oleh akun Alibaba Cloud. Di konsol ActionTrail, Anda dapat mengaktifkan peringatan bawaan Alert of Frequency of AK Abnormal Usage dan Root Account AK Usage Detection. Dengan cara ini, Anda dapat menerima notifikasi ketika panggilan pasangan AccessKey yang tidak normal terjadi. Untuk informasi lebih lanjut, lihat Konfigurasikan Aturan Peringatan.
Deteksi panggilan pasangan AccessKey yang tidak normal berdasarkan perilaku historis
Fitur Insights yang disediakan oleh ActionTrail memungkinkan Anda menganalisis pasangan AccessKey yang memiliki laju panggilan tidak normal berdasarkan perilaku historis dan mengidentifikasi perilaku tidak normal secara tepat waktu. Untuk informasi tentang cara mengaktifkan Insights dan melihat peristiwa Insights, lihat Kueri Peristiwa Insights di Konsol ActionTrail.
Rekomendasi
Kami menyarankan Anda untuk tidak menggunakan pasangan AccessKey dari akun Alibaba Cloud.
Jangan hardcode pasangan AccessKey ke dalam kode Anda. Anda dapat mengelola pasangan AccessKey Anda dengan mengonfigurasi variabel lingkungan. Untuk informasi lebih lanjut, lihat Solusi Keamanan Kredensial.
Gunakan repositori kode GitHub pribadi untuk mengelola kode atau bangun sistem hosting kode internal untuk mencegah kebocoran kode sumber dan informasi sensitif.