您可以使用DSC的資料檢測響應服務,檢測OSS資料中是否存在明文存取金鑰(AccessKey ID和AccessKey Secret,下文統稱AK)和被異常AK訪問的風險行為,並在檢測到異常訪問事件時觸發警告。通過查看異常AK和警示事件,及時確認並處理外泄的AK以及異常AK訪問OSS資料的風險行為,以免AK泄露和濫用,導致OSS資料被未授權訪問和泄露。
方案概覽
本文通過類比檢測到OSS Bucket中存在明文AK,以及使用已泄露AK訪問OSS Bucket中公用讀取檔案上報警示事件為例,介紹如何使用資料檢測響應服務,針對OSS Bucket中AK泄露和異常AK訪問警示事件進行檢測和治理,以提升OSS資料安全。
實現異常AK訪問OSS資料警示和處理,需要五步:
建立OSS Bucket並上傳檔案:建立OSS Bucket並上傳樣本檔案,包含一個儲存AK資訊的檔案和一個用於訪問的樣本檔案夾(包含一個樣本檔案),用於後續類比OSS資料的AK泄露和異常訪問情境。
將OSS Bucket授權接入DSC:將OSS Bucket授權接入DSC的資料檢測響應服務,確保DSC能對OSS Bucket進行AK泄露和異常訪問檢測。
配置風險事件層級和警示通知:檢測警示事件並擷取警示通知。
查看AK泄露異常警示通知:類比異常AK訪問OSS Bucket檔案,查看異常AK訪問OSS Bucket的警示事件,建議及時處理警示事件。
查看AK泄露風險事件及處置:檢測到的AK泄露並產生風險事件,方便您查看事件詳情並及時處理。
前提條件
當前帳號已購買資料資訊安全中心執行個體並授權資料資訊安全中心訪問其他阿里雲資源。
資料檢測響應是資料資訊安全中心的增值服務,實現異常AK訪問OSS Bucket審計警示,需要消耗OSS防護量和日誌儲存量。本樣本購買資料資訊安全中心,版本僅需選擇僅採購增值服務,開啟檢測響應和日誌儲存,購買足夠的檢測響應-OSS防護量和日誌儲存量,其他服務可自行選擇是否購買。
當前帳號已開通Object Storage Service。
本樣本類比AK泄露和異常訪問警示情境,需要準備一個當前帳號下的RAM使用者及其AccessKey ID、AccessKey Secret。具體操作,請參見建立RAM使用者和查看RAM使用者的AccessKey資訊。
步驟一:建立OSS Bucket並上傳檔案
建立OSS Bucket
在Object Storage Service控制台的Bucket列表頁面,單擊建立Bucket。
在建立 Bucket面板,配置如下參數,其他參數採用預設配置,然後單擊完成建立。
上傳檔案到OSS Bucket
建立一個test.txt檔案,輸入已準備的RAM使用者的AccessKey ID和AccessKey Secret值,然後儲存。
在Object Storage Service控制台的Bucket列表頁面的Bucket列表,單擊OSS Bucket名稱。
在檔案清單頁面,單擊上傳檔案。
選擇檔案ACL為私人,單擊掃描檔案,選擇已儲存的test.txt,單擊上傳檔案,等待檔案上傳成功。
在檔案清單頁面,單擊建立目錄,輸入目錄名(例如:
exampledir),單擊確定。進入
exampledir檔案目錄下,單擊上傳檔案。單擊掃描檔案,選擇您本地的任意樣本檔案例如userdata.csv,單擊上傳檔案,等待檔案上傳成功。
步驟二:將OSS Bucket授權接入DSC
登入資料資訊安全中心控制台。
在左側導覽列,選擇。
在概覽頁簽右上方的存储授权统计地區,單擊立即授權。
在資產授權配置面板,單擊資產同步。
在未授權頁簽的Bucket列表中,單擊目標Bucket操作列的授權。
開通資料檢測響應服務後的首月內,DSC會建立並立即執行敏感性資料識別掃描任務(使用主用模板,預設為互連網行業分類分級模板),進行敏感資訊分類分級。
步驟三:配置風險事件層級和警示通知
策略配置
DSC檢測AK泄露的風險事件,需要開啟檢測對應類型的狀態並配置風險層級。
在左側導覽列,選擇。
在策略配置頁簽中的风险事件类型選擇AK泄露,設定风险事件级别,並開啟风险事件开启状态,然後單擊保存。
說明風險事件預設開啟,且AK泄露事件層級預設為高危。
風險事件關閉後不再產生新的警示事件,存量事件不受影響。
調整風險事件層級後,存量事件風險層級將同步更新。
設定異常AK訪問警示通知
在左側導覽列,選擇。
在告警通知頁簽中,單擊創建警報配置。
在創建警報規則面板中,選擇郵箱或短信警示方式,根據配置項進行配置,然後單擊確定。具體操作,請參見配置郵箱、簡訊和電話警示通知。
步驟四:查看AK泄露異常警示通知
類比AK訪問OSS Bucket成功後,您需要在第二天,才能查看和接收到當天發生的異常AK訪問OSS Bucket的警示事件及警示通知。
使用AK下載OSS Bucket檔案
本文以Linux環境安裝ossutil工具為例,使用命令列工具ossutil訪問OSS Bucket檔案。更多安裝說明,請參見安裝ossutil。
安裝並配置ossutil。
在Linux作業系統下,執行以下命令下載並安裝ossutil。
sudo -v ; curl https://gosspublic.alicdn.com/ossutil/install.sh | sudo bash說明安裝過程中,需要使用解壓工具(unzip、7z)解壓軟體包,請提前安裝其中的一個解壓工具。
安裝完成後,ossutil會安裝到/usr/bin/目錄下。
輸入並執行配置命令:
ossutil config。根據提示按斷行符號鍵,設定設定檔路徑為預設路徑,設定工具的語言為EN。
根據提示分別設定Endpoint、AccessKey ID、STSToken和AccessKey Secret參數。
您可以在OSS Bucket的概覽頁面的訪問連接埠地區查看Endpoint(地區節點)。AccessKey ID、AccessKey Secret為已準備的RAM使用者的AK資訊。
輸入以下命令,訪問目標OSS Bucket的檔案
/exampledir/userdata.csv。ossutil cp oss://examplebucket/exampledir/userdata.csv /opt返回如下資訊,表示成功訪問下載了目標檔案。
查看郵件警示通知
警示通知的連絡人會收到如下郵件通知:
步驟五:查看AK泄露風險事件及處置
在左側導覽列,選擇。
在风险类型地區單擊AK泄露。
在目標風險事件操作列單擊詳情。
在詳情頁查看該風險事件的詳細資料,並進行處置。
AK相關資訊
查看AccessKey ID、AK归属账号、AK状态、首次检出时间、最新检出时间、情报源等資訊。
單擊處置。
在AK处置面板中進行禁用或一键轮转操作。
禁用:跳轉至RAM控制台,對當前主帳號下及其RAM使用者的AccessKey執行禁用操作。具體操作,請參見禁用RAM使用者的AccessKey。
一键轮转:
已接入KMS:單擊確認後KMS會執行輪轉操作,刪除並重新建立一個新的AK。
警告此操作一旦執行將無法撤銷,請務必謹慎處理。
未接入KMS:跳轉至Key Management Service控制台,將AK憑證託管至KMS。如果您未開通KMS,必須先購買和啟用KMS執行個體。
AK泄露詳情
支援查看以下情報源的AK泄露情況。您可以根據不同的情報源對風險事件進行處置或加白操作。
Github泄露量:GitHub平台上的公開原始碼中包含的AK資訊。
分別單擊文件名、使用者名稱、仓库名,可跳轉至GitHub平台查看相關資訊。
單擊操作列的加白,對目標檔案進行加白處理,該檔案後續將不會再產生AK泄露風險事件。
公开明文存储/私有明文存储:檢測已授權的OSS Bucket檔案中包含的公開/私人明文儲存的AK資訊。
修改ACL:單擊文件ACL列的下拉按鈕,可修改對應檔案的ACL。
刪除:單擊操作列的删除文件,刪除對應Bucket中的檔案。
加白:單擊操作列的加白,對目標檔案進行加白處理,該檔案後續將不會再產生AK泄露風險事件。
威脅情報/自建情报:對於源自威脅情報或自建情報的AK泄露事件,您可對相關威脅來源或錄入情報使用者執行加白操作。
說明檔案刪除後,T+1天會自動更新文件删除状态為已删除,且狀態更新為已处置。
檔案加白後,T+1天會自動更新狀態更新為已加白。
AK訪問Bucket詳情
對於已泄露的AK訪問Bucket詳情,您不僅可以查看具體的檔案訪問列表,還可以配置Bucket的存取權限以及設定POP網關攔截策略,從而有效保障資料安全。
相關文檔
除了支援OSS Bucket中是否存在AK泄露,還支援檢測数据库账密泄露、人机账号混用、敏感信息公开存储等風險事件。更多說明,請參見風險概覽及自建情報。