Security Center memantau repositori GitHub publik secara real-time dan memberikan peringatan ketika pasangan AccessKey milik Akun Alibaba Cloud Anda atau pengguna Resource Access Management (RAM) terpapar. Jika kebocoran terdeteksi, segera ambil tindakan: cabut atau ganti kredensial yang telah dikompromikan, lalu hapus konten yang terpapar dari GitHub.
Cara kerja
Lingkup
Platform pendeteksian: Security Center hanya mendeteksi kebocoran pasangan AccessKey dalam kode sumber publik di GitHub. Platform hosting kode lainnya tidak didukung.
Target pendeteksian: Pasangan AccessKey dari akun Alibaba Cloud dan pengguna RAM, mencakup ID AccessKey maupun Rahasia AccessKey.
Metode notifikasi
Security Center menggunakan metode notifikasi berbeda tergantung pada apakah Rahasia AccessKey yang bocor masih valid:
Pihak ketiga hanya dapat menggunakan pasangan AccessKey Anda untuk mengakses resource Anda jika baik ID AccessKey maupun Rahasia AccessKey telah bocor.
Kondisi | Metode notifikasi |
Kebocoran ID AccessKey, terlepas dari apakah Rahasia AccessKey masih valid. | Peringatan pada halaman AccessKey Leak Detection |
Rahasia AccessKey bocor dan masih valid |
|
Konfigurasikan pemberitahuan peringatan
Security Center mengaktifkan pemberitahuan peringatan kebocoran AccessKey secara default. Peringatan dapat dikirim melalui SMS, panggilan suara, email, dan pesan internal.
Ubah metode notifikasi
Akses Konsol Security Center - Pengaturan Sistem - Pengaturan Notifikasi. Di pojok kiri atas halaman, pilih wilayah tempat aset yang akan dilindungi berada: Chinese Mainland atau Outside Chinese Mainland.
Pada tab Email/Internal Message, temukan Informasi Kebocoran Pasangan AccessKey dan pilih Notification Method yang diperlukan.
Kebocoran AccessKey merupakan insiden berisiko tinggi. Untuk memastikan notifikasi tepat waktu, kami menyarankan agar Anda mengaktifkan semua metode notifikasi. Untuk informasi selengkapnya, lihat Konfigurasikan pemberitahuan peringatan.
Tambahkan penerima notifikasi
Secara default, hanya kontak akun yang menerima notifikasi. Untuk menambahkan penerima lain:
SMS, email, dan pesan internal:
Pada halaman Pengaturan Umum, buka Pesan Keamanan > Pemberitahuan Keamanan dan ubah penerima pesan.
CatatanPerubahan yang dilakukan di sini juga berlaku untuk item notifikasi Security Center lainnya, serta item notifikasi produk seperti Anti-DDoS dan Web Application Firewall (WAF).
Setelah Anda mengubah penerima, perubahan tersebut berlaku untuk semua item notifikasi Security Center, serta item notifikasi produk seperti Anti-DDoS dan Web Application Firewall (WAF).
Tangani kebocoran pasangan AccessKey
Setelah menerima peringatan kebocoran AccessKey, ID AccessKey dan Rahasia AccessKey akun Alibaba Cloud atau pengguna RAM Anda telah terpapar. Lakukan langkah-langkah berikut:
Langkah 1: Tangani kebocoran secara manual
Security Center tidak mendukung penanganan otomatis terhadap event kebocoran AccessKey. Lakukan operasi berikut secara eksternal terlebih dahulu:
Hapus atau sembunyikan konten yang bocor di GitHub: Hubungi pihak terkait untuk menghapus atau menyembunyikan file, repositori, atau kode yang berisi pasangan AccessKey.
Tangani AccessKey yang bocor di konsol RAM: Hapus atau nonaktifkan AccessKey yang bocor dan buat yang baru, pastikan operasi bisnis inti tidak terganggu. Untuk informasi selengkapnya, lihat Hapus pasangan AccessKey untuk pengguna RAM dan Nonaktifkan pasangan AccessKey untuk pengguna RAM.
Langkah 2: Tandai status penanganan di konsol
Setelah menangani kebocoran secara manual, tandai status event peringatan AccessKey di konsol Security Center:
Buka halaman AccessKey Leak Detection di konsol Security Center.
Temukan event target dan klik Handle pada kolom Actions. Pilih salah satu metode penanganan berikut dan klik Handle Now.
Metode Penanganan | Skema Penerapan |
Manually Deleted | Pasangan AccessKey yang bocor tidak lagi digunakan dan telah dihapus. |
Manually Disabled AccessKey Pair | Pasangan AccessKey yang bocor masih perlu digunakan tetapi harus dinonaktifkan sementara. Anda dapat mengaktifkannya kembali di Konsol RAM. Catatan Jika AccessKey tersebut telah dinonaktifkan di Konsol RAM, Security Center secara otomatis menyinkronkan status nonaktif tersebut dan status event berubah menjadi Manually Disabled. |
Add to Whitelist | Event ini merupakan false positive atau dapat diabaikan dengan aman. Setelah dipilih, status berubah menjadi Added to Whitelist dan event tersebut dipindahkan ke daftar yang telah ditangani. Untuk melanjutkan deteksi, buka halaman detail kebocoran pasangan AccessKey dari daftar yang telah ditangani dan batalkan daftar putih tersebut. |
Tinjau catatan pemanggilan pasangan AccessKey
Setelah terjadi kebocoran, periksa apakah kredensial yang terpapar telah digunakan oleh pihak yang tidak sah. Gunakan ActionTrail untuk mengkueri riwayat pemanggilan.
Anda juga dapat menggunakan fitur audit pasangan AccessKey di ActionTrail untuk meninjau log akses. Lihat Kueri log pasangan AccessKey.
Pada halaman AccessKey Leak Detection di konsol Security Center, peroleh ID AccessKey yang ingin Anda kueri.
Login ke Konsol ActionTrail.
Di panel navigasi kiri, pilih
Di bilah navigasi atas, pilih wilayah tempat event terjadi.
Atur jenis kueri ke ID AccessKey, masukkan ID AccessKey, dan tentukan rentang waktu.
Lihat daftar event yang dipanggil oleh ID AccessKey tersebut. Klik View Details di kolom Actions untuk melihat detail event. Untuk deskripsi bidang dalam peristiwa manajemen, lihat Struktur peristiwa manajemen.
Pantau penggunaan pasangan AccessKey yang tidak normal
Setelah menangani insiden, siapkan pemantauan berkelanjutan untuk mendeteksi anomali di masa depan sedini mungkin.
Detect ancaman dengan Security Center
Security Center menggunakan praktik terbaik keamanan dan model besar untuk mendeteksi pemanggilan pasangan AccessKey yang tidak normal, seperti pemanggilan dari alamat IP dengan aktivitas serangan baru-baru ini, pemanggilan massal pasangan AccessKey dari IP yang sama untuk beberapa pengguna, atau pemanggilan API sensitif menggunakan kredensial yang sebelumnya pernah bocor.
Login ke Konsol Security Center.
Di panel navigasi kiri, pilih . Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
CatatanJika Anda telah mengaktifkan Agentic SOC, navigasi ke sebagai gantinya.
Atur Alert Type menjadi Malicious Process (Cloud Threat Detection) dan periksa adanya peringatan terkait pemanggilan pasangan AccessKey yang tidak normal.
(Opsional) Konfigurasikan pemberitahuan peringatan: buka System Settings > Notification Settings, temukan Alert di kolom Notification Item, dan pilih metode yang Anda inginkan.
CatatanEdisi Dasar hanya mendukung metode notifikasi pesan internal.
Siapkan alert bawaan ActionTrail
ActionTrail menyediakan dua alert bawaan khusus untuk pemantauan pasangan AccessKey:
Alert of Frequency of AccessKey Abnormal Usage
Root Account AccessKey Usage Detection
Untuk mengaktifkan alert ini, lihat Konfigurasikan alert event.
Identifikasi anomali dengan ActionTrail Insights
Fitur Insights di ActionTrail menganalisis pola pemanggilan historis dan menampilkan pasangan AccessKey dengan laju aktivitas tidak normal. Untuk mengaktifkan Insights dan meninjau Peristiwa Insights, lihat Kueri Peristiwa Insights.
Rekomendasi
Hindari pasangan AccessKey akun root. Gunakan pengguna RAM sebagai gantinya.
Jangan pernah menyematkan kredensial secara langsung di kode. Simpan pasangan AccessKey dalam variabel lingkungan. Lihat Solusi keamanan kredensial.
Gunakan repositori privat. Simpan kode sumber di repositori GitHub privat atau sistem hosting kode internal untuk mencegah paparan tidak disengaja.