セキュリティセンターは、GitHub に保存されているソースコード内の Alibaba Cloud アカウントと Resource Access Management (RAM) ユーザーの AccessKey ペアをリアルタイムでチェックします。セキュリティセンターが AccessKey ペアの漏洩を検出した場合、セキュリティセンターはアラートを生成します。できるだけ早く AccessKey ペアの漏洩イベントを表示して処理することをお勧めします。このトピックでは、AccessKey ペアの漏洩の検出の原則と、AccessKey ペアの漏洩イベントの処理方法について説明します。
原則
AccessKey ペア漏洩検出機能を使用すると、GitHub にデプロイされたパブリックソースコード内の AccessKey ペア情報をリアルタイムで検出できます。ほとんどの場合、ソースコードは企業の従業員によってアップロードおよび開示されます。ソースコードに AccessKey ペアが含まれている場合、セキュリティセンターは通知を送信して、データ漏洩をできるだけ早く特定するのに役立ちます。
セキュリティセンターは、GitHub ソースコードプラットフォームでのみ AccessKey ペアの漏洩を検出します。
企業の従業員が GitHub などのプラットフォームに機密ソースコードをアップロードした場合、企業が所有する Alibaba Cloud アカウントの AccessKey ペアがインターネット上に漏洩する可能性があります。Alibaba Cloud アカウントの AccessKey ペアが漏洩した場合、アカウント内のリソースの制御を失う可能性があります。
AccessKey ペアは、AccessKey ペアの AccessKey ID と AccessKey シークレットの両方が漏洩した場合にのみ、第三者によって使用できます。セキュリティセンターが Alibaba Cloud アカウントまたは RAM ユーザーの AccessKey ペアの漏洩を検出した場合、セキュリティセンターは、AccessKey シークレットが有効かどうかによって異なる方法を使用して、Alibaba Cloud アカウントまたは RAM ユーザーが属する Alibaba Cloud アカウントに通知します。以下の方法がサポートされています。
AccessKey ペア漏洩検出ページのアラート: セキュリティセンターは、AccessKey シークレットが有効かどうか regardless of に、AccessKey ペアの漏洩が検出されるとアラートを生成します。
コンソールでのプロンプト: AccessKey ペアの漏洩が検出され、AccessKey シークレットが有効な場合、セキュリティセンターコンソールまたはほとんどの Alibaba Cloud サービスコンソールにプロンプトが表示されます。
通知: セキュリティセンターは、AccessKey ペアの漏洩が検出され、AccessKey シークレットが有効な場合、通知設定に基づいて通知を送信します。通知は、内部メッセージとメールで送信できます。
AccessKey ペア漏洩のアラート通知を設定する
AccessKey ペア漏洩のアラートが生成されると、セキュリティセンターはメール、または内部メッセージで通知します。
デフォルトでは、セキュリティセンターはアラートが生成されると通知を送信します。また、次の操作を実行して通知方法を指定することもできます。セキュリティセンターコンソールの左側のナビゲーションウィンドウで 通知設定 を選択します。[メール/内部メッセージ] タブで、AccessKey Pair Leak Information の [通知方法] を設定します。選択した方法でのみ通知を受信できます。詳細については、「通知設定の構成」をご参照ください。
AccessKey ペアの漏洩イベントは深刻なリスクを引き起こす可能性があります。できるだけ早く通知を受信するために、すべての通知方法を選択することをお勧めします。
デフォルトでは、アカウントの連絡先のみが通知を受信します。他のユーザーにも通知を受信させたい場合は、次の操作を実行して連絡先を追加できます。
[共通設定] ページで、[通知タイプ] 列の を選択し、対応する [連絡先] 列の [変更] をクリックしてメッセージ受信者を変更します。
変更された通知受信者は、セキュリティセンターから送信される他の通知、および Anti-DDoS や Web Application Firewall (WAF) などのサービスから送信される通知にも適用されます。
AccessKey ペア漏洩イベントを処理する
AccessKey ペア漏洩の通知を受信した場合、Alibaba Cloud アカウントまたは RAM ユーザーの AccessKey ペアが漏洩しています。漏洩した AccessKey ペアをできるだけ早く処理することをお勧めします。AccessKey ペア漏洩イベントを処理した後、セキュリティセンターコンソールで AccessKey ペア漏洩のアラートを処理します。AccessKey ペア漏洩イベントを処理するには、次の操作を実行します。
セキュリティセンターコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
AccessKey Leak Detection ページで、AccessKey ペア漏洩イベントを表示して処理します。
AccessKey ペア漏洩イベントの詳細を表示する
AccessKey ペア漏洩イベントの詳細を表示するには、漏洩イベントを見つけて、[操作] 列の 詳細 をクリックします。File Details セクションの [ユーザー名]、[ファイル名]、または [リポジトリ名] の値をクリックして GitHub に移動し、AccessKey ペア漏洩のソースを表示できます。
AccessKey ペア漏洩イベントを処理する
セキュリティセンターは、漏洩した AccessKey ペアを自動的に処理したり、漏洩した AccessKey ペアに対して迅速な処理を実行したりすることはできません。RAM コンソールで AccessKey ペアを手動で処理してから、セキュリティセンターコンソールにログインして AccessKey ペア漏洩イベントを処理する必要があります。漏洩した AccessKey ペアは、次の方法で手動で処理できます。
関係者に連絡して、GitHub 上の関連コンテンツを削除または非表示にします。
AccessKey ペアを使用して API 操作を呼び出したり、Alibaba Cloud リソースにアクセスしたりしなくなった場合は、漏洩した AccessKey ペアを削除または無効にし、新しい AccessKey ペアを有効にします。コアビジネスに影響がないことを確認してください。詳細については、「RAM ユーザーの AccessKey ペアを削除する」および「RAM ユーザーの AccessKey ペアを無効にする」をご参照ください。
漏洩した AccessKey ペアを手動で処理した後、[AccessKey 漏洩検出] ページで AccessKey ペア漏洩イベントを見つけて、[操作] 列の 処理 をクリックする必要があります。表示されるダイアログボックスで、処理方法を選択し、今すぐ処理 をクリックします。
Handling Method の有効な値には、Manually Deleted、Manually Disabled AccessKey Pair、および [ホワイトリストに追加] が含まれます。
説明AccessKey ペアに関する情報を削除し、Handling Method の処理方法を選択すると、AccessKey ペア漏洩イベントのステータスが [処理済み] に変わります。
AccessKey ペア漏洩イベントをホワイトリストに追加すると、イベントのステータスが Added to Whitelist に変わります。その後、イベントは [処理済み] リストに追加されます。
AccessKey ペア漏洩イベントをホワイトリストから削除するには、[処理済み] リストでイベントを見つけて詳細ページに移動し、[ホワイトリストをキャンセル] をクリックします。
AccessKey ペア呼び出しレコードを表示する
AccessKey ペアの呼び出しレコードを表示して、漏洩した AccessKey ペアが攻撃者によって使用されているかどうかを確認し、AccessKey ペア漏洩イベントの影響範囲を把握できます。このセクションでは、ActionTrail コンソールでタイムライン別に AccessKey ペア呼び出しレコードを表示する方法について説明します。
ActionTrail の AccessKey ペア監査機能を使用して、AccessKey ペアを使用してアクセスされる Alibaba Cloud サービスをクエリすることもできます。このようにして、AccessKey ペア呼び出しレコードを表示できます。詳細については、「AccessKey ペアのログをクエリする」をご参照ください。
セキュリティセンターコンソール にログインし、AccessKey Leak Detection ページに移動し、必要な AccessKey ID をコピーします。
ActionTrail コンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、ドロップダウンリストからクエリするイベントのリージョンを選択します。
[読み取り/書き込みタイプ] ドロップダウンリストから [accesskey ID] を選択し、検索ボックスに AccessKey ID を貼り付けて、クエリの時間範囲を選択します。
イベントのリストで、必要なイベントを見つけて、[操作] 列の [イベント詳細の表示] をクリックしてイベントの詳細を表示します。
管理イベントのフィールドの詳細については、「管理イベントの構造」をご参照ください。
異常な AccessKey ペア呼び出しに継続的に注意を払う
AccessKey ペア漏洩イベントをタイムリーに処理した後、異常な AccessKey ペア呼び出しに継続的に注意を払うことをお勧めします。これにより、同様のイベントの発生を防ぎ、AccessKey ペアの漏洩が発生したときに迅速に対応し、イベントの影響を軽減できます。以下のセクションでは、異常な AccessKey ペア呼び出しに継続的に注意を払う方法について説明します。要件に基づいて、1 つ以上の方法を使用できます。
攻撃の観点から異常な AccessKey ペア呼び出しを監視する
セキュリティセンターは長年の攻撃防御経験を蓄積し、多数の大規模モデルを構築しています。セキュリティセンターは、一般的な異常な AccessKey ペア呼び出しを検出できます。たとえば、呼び出しリクエストを開始した IP アドレスが攻撃を実行した、IP アドレスが一度に複数のユーザーの AccessKey ペアを呼び出した、呼び出された API 操作が機密である、AccessKey ペアがかつて漏洩したなどです。セキュリティセンターコンソールで異常な AccessKey ペア呼び出しのアラートを表示するには、次の操作を実行します。
セキュリティセンターコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
[アラートタイプ] で [クラウド脅威検出] を選択して、異常な AccessKey ペア呼び出しのアラートが生成されているかどうかを確認します。
そのようなアラートが生成された場合は、アラートの詳細を表示して、AccessKey ペア呼び出しが正常かどうかを確認する必要があります。
(オプション) アラート通知を設定します。
セキュリティセンターコンソールでアラート通知方法を設定できます。左側のナビゲーションウィンドウで、システム設定 > 通知設定 を選択します。[メール/内部メッセージ] タブで、[通知項目] 列の セキュリティアラート を見つけて、通知方法を設定します。このようにして、異常な AccessKey ペア呼び出しのアラートをタイムリーに受信できます。セキュリティセンターの Basic Edition は、内部メッセージ通知方法のみをサポートしています。詳細については、「通知設定の構成」をご参照ください。
Alibaba Cloud アカウントによって行われた異常な AccessKey ペア呼び出しを監視する
ActionTrail は、Alibaba Cloud アカウントによって行われた異常な AccessKey ペア呼び出しを監視するための組み込みアラートを提供します。ActionTrail コンソールで、組み込みアラート [AK の異常使用頻度の警告] と [ルートアカウント AK 使用検出] を有効にできます。このようにして、異常な AccessKey ペア呼び出しが発生したときに通知を受信できます。詳細については、「アラートルールの構成」をご参照ください。
履歴の動作に基づいて異常な AccessKey ペア呼び出しを検出する
ActionTrail によって提供される Insights 機能を使用すると、履歴の動作に基づいて異常な呼び出し率を持つ AccessKey ペアを分析し、異常な動作をタイムリーに特定できます。Insights を有効にして Insights イベントを表示する方法については、「ActionTrail コンソールで Insights イベントをクエリする」をご参照ください。
推奨事項
Alibaba Cloud アカウントの AccessKey ペアを使用しないことをお勧めします。
AccessKey ペアをコードにハードコードしないでください。環境変数を設定することで、AccessKey ペアを管理できます。詳細については、「認証情報セキュリティソリューション」をご参照ください。
非公開 GitHub コードリポジトリを使用してコードを管理するか、内部コードホスティングシステムを構築して、ソースコードと機密情報の漏洩を防ぎます。