OSS泄露检测

数据安全中心 DSC(Data Security Center)增值服务的检测响应服务提供OSS泄露(AK场景)检测功能。通过检测GitHub平台公开源代码、已授权OSS Bucket中公开存在的阿里云账号或RAM用户的访问密钥(AccessKey ID和AccessKey Secret,以下简称:AK)信息,DSC可识别出AK是否泄露,并跟踪已泄露和自建情报的异常AK访问Bucket和文件的风险行为,提供相应AK的访问告警。建议您及时查看并处理外泄的AK告警事件。本文介绍OSS泄露(AK场景)的功能原理和使用说明。

功能介绍

DSC支持从以下情报源检测AK是否泄露,并在发现已泄露AK访问Bucket和文件的风险行为时提供告警信息,同时提供针对AK、Bucket和文件的治理能力,帮助您及时发现和处理数据外泄的风险,提升数据安全性。

image

AK泄露检测

支持检测的项

说明

AK信息范围

当前已购买数据检测响应服务的阿里云账号及其下RAM用户的AK信息。

AK情报源

  • GitHub平台:GitHub平台公开源代码(多为企业员工私自上传并不小心公开)中是否含有AK信息。

  • OSS Bucket:检测OSS泄露(AK场景)中已授权连接的OSS Bucket文件中是否含有明文存储的AK信息。

    支持授权当前阿里云账号的所有OSS Bucket资产。

  • 自建情报:自行录入AK信息。支持录入当前阿里云账号及其下RAM用户的AK信息。

  • 威胁情报:DSC系统采集阿里云平台收集的数据库实例和账号AK信息。

如果开通了DSC的多账号统一管理功能,还支持录入和检测成员账号及其下RAM用户的AK信息,支持授权成员账号的所有OSS Bucket资产。

DSC多账号统一管理功能的开通和使用,请参见多账号统一管理

AK访问告警

针对已泄露、自建情报和威胁情报的AK,DSC将对这些AK访问文件(已授权的Bucket和文件)的风险活动进行聚合,形成一个详细的告警事件。

功能项

说明

告警聚合逻辑

  • 告警维度:一个AK访问一个Bucket作为一条告警。

  • 告警时间范围:开通功能时间至最近一次检测时间。DSC控制台的数据检测响应 > OSS泄露页面会显示本次检测时间下次检测时间

  • 告警检测和上报频率:每天北京时间凌晨四点对前一天的访问日志进行检测、分析和上报告警事件。

  • 停止检测时间:数据检测响应服务到期导致服务停止,或当前服务可用资源额度不足导致服务停止。

告警事件

DSC控制台显示AK异常访问告警事件的关键信息,包括告警时间、情报源、AK归属账号、访问的Bucket名称和文件数等。

同时,如果运行了对应识别模板的敏感数据识别任务,还会显示相关Bucket及其文件的敏感等级,以便安全管理员能够迅速理解潜在的威胁情况。

异常AK访问告警通知

支持配置异常AK访问的告警通知。针对上报的告警事件,DSC将向对应接收人发送告警通知,提供威胁情报,以帮助其快速识别并定位Bucket文件是否存在泄露风险。

停止告警通知时间:当AK泄露事件已处理或加白后,不再发送告警通知。您可以自行前往DSC控制台的数据检测响应 > OSS泄露页面查看告警事件。

响应措施

DSC提供一系列的响应措施,包含AK处置和Bucket及其文件治理。例如禁用受影响的AK以防止未授权访问,或对相关文件设置更严格的访问控制策略。通过这些方式,DSC可助力企业提升其安全防护能力,有效抵御数据泄露和恶意攻击,确保业务的安全运行。

相关服务

在OSS泄露中授权连接OSS Bucket后,支持使用以下服务,进一步帮助您跟踪异常AK访问事件。例如使用数据洞察扫描访问的文件是否涉及敏感信息,使用数据审计跟踪异常AK访问Bucket文件客户端IP、操作类型等,帮助您进一步分析确认数据泄露风险。

服务说明

服务项

说明

数据洞察

  • 开通数据检测响应服务的首月,授权接入数据资产后,默认创建并立即执行敏感数据分类分级任务,使用主用模板(默认为互联网行业分类分级模板)扫描已接入资产下的数据,对接入的数据进行敏感信息分类分级。

    说明

    该默认任务不在DSC控制台显示。

  • 从开通数据检测响应服务的次月开始,DSC不再自动创建和执行敏感数据分类分级任务。如果需要对已授权连接的资产数据进行敏感信息分类分级,需要创建自定义识别任务使用已启用模板进行扫描。

具体内容,请参见通过识别任务扫描敏感数据

数据审计

您可以开通目标数据资产的原生日志采集模式,分析对应数据的活动信息,跟踪对应数据潜在的恶意行为或未授权访问。具体内容,请参见配置并开启审计模式

  • 开通数据检测响应服务后,针对该服务授权的数据资产,在数据检测响应 > 数据审计页面的审计配置 > 资产接入页签中,默认立即开通原生日志采集模式进行日志采集。

    对于资产中心页面和数据检测响应 > OSS泄露数据检测响应 > 数据库泄露页面同时授权的数据资产,如果需要关闭审计模式,则必须先取消数据检测响应服务的授权。

  • 开通数据检测响应服务后,每月针对已购买的OSS防护量,每TB OSS防护量会赠送50 GB日志存储容量;每月针对已购买的数据库实例数,为每个数据库实例提供200 GB的日志存储量。若日志存储容量不足需要手动扩容,以保证审计日志正常收集。具体操作,请参见管理日志存储

服务有效期

  • 数据检测响应 > OSS泄露页面单击立即授权资产授权配置面板中会显示数据洞察和数据审计功能默认启用的有效期。

  • 如果当前版本是仅采购增值服务,后续使用数据洞察和数据审计服务,可以开启增值模块的数据审计和数据识别购买足够的资源规格,也可以升级DSC实例为企业版。具体操作,请参见购买数据安全中心

应用场景

  • 源代码保护

    在软件开发过程中,开发人员可能会不经意地将包含 AK(AccessKey ID)信息的代码推送到公开的 GitHub 仓库中,这可能导致敏感信息被暴露。DSC(代码安全中心)能够监测这些公开源代码,及时识别此类安全风险,并提醒开发人员采取修正措施,以避免潜在的安全威胁。

  • 云存储安全

    部分OSS Bucket可能因配置错误而暴露为公开状态,从而可能导致其中的数据被未经授权访问。如果Bucket内包含携带访问密钥(AK)的文件,这些敏感凭证可能会被泄露。通过检测此类配置失误,DSC有助于及时保护云存储中的数据免遭未经授权的泄露。

  • 自建情报监控

    DSC支持手动录入AK信息,以汇总使用该异常AK访问的文件信息,跟踪未授权AK的异常访问,进而检测是否涉及敏感信息泄露。

  • 安全合规

    对于需要遵守严格安全合规标准的企业,监测凭证泄露是一个基本要求。DSC可对凭证使用进行监控,以符合行业安全标准和法律法规要求。

  • 实时安全分析与响应

    DSC可以对发现的AK泄露事件发出告警,让安全团队可以迅速做出响应。安全团队可以追踪被泄露的凭据,评估潜在的影响,并采取措施来缓解风险。

  • 权限管理和风险评估

    DSC不仅帮助识别AK泄露事件,同时还能够帮助运维和安全团队管理和审计AK的使用,辅助进行细致的权限管理和风险评估。

通过数据检测响应功能,DSC有助于提前识别和处置关键的安全隐患,降低被攻击的风险,保护企业的运营安全。

使用流程

  1. 检测响应是DSC的增值服务,需要您购买后才能使用。该服务的计费规则和购买方法,请参见开通检测响应服务

  2. 完成相关准备工作。

    • DSC提供OSS同步配置功能,可将通过敏感识别任务扫描出的Bucket文件的敏感等级同步到OSS侧Bucket文件的标签中。为了方便后续根据文件敏感等级标签管控对应文件的访问权限,推荐您启用OSS同步配置功能。具体操作,请参见同步敏感等级标签至OSS文件

    • 对于未处理的AK泄露事件,DSC提供告警通知能力,您可以根据需要,设置邮箱或短信通知方式接收AK泄露告警通知。具体操作,请参见设置异常AK访问告警通知

  3. 授权待检测的OSS Bucket和录入待跟踪访问记录的AK信息。具体操作,请参见OSS授权和AK情报录入

  4. 从开通检测响应服务的次月开始,DSC不再自动创建和执行数据洞察的系统默认任务。您需要为已授权OSS资产自定义敏感数据识别任务并执行。具体内容,请参见通过识别任务扫描敏感数据

  5. 查看已泄露的AK信息,以及已泄露和已录入异常AK访问已授权Bucket和文件的告警事件,进一步定位风险位置并判断风险影响,以便后续选择适用的处理策略。具体操作,请参见查看异常泄露AK及其访问告警

  6. 根据已定位分析的AK泄露信息和异常访问行为,选择对应的措施处理AK泄露问题并治理Bucket和文件的访问策略。具体操作,请参见处理AK泄露和异常访问告警