您可以使用DSC的数据检测响应服务,检测OSS数据中是否存在明文访问密钥(AccessKey ID和AccessKey Secret,下文统称AK)和被异常AK访问的风险行为,并在检测到异常访问事件时触发警告。通过查看异常AK和告警事件,及时确认并处理外泄的AK以及异常AK访问OSS数据的风险行为,以免AK泄露和滥用,导致OSS数据被未授权访问和泄露。
方案概览
本文通过模拟检测到OSS Bucket中存在明文AK,以及使用已泄露AK访问OSS Bucket中公共读文件上报告警事件为例,介绍如何使用数据检测响应服务,针对OSS Bucket中AK泄露和异常AK访问告警事件进行检测和治理,以提升OSS数据安全。
实现异常AK访问OSS数据告警和处理,需要五步:
创建OSS Bucket并上传文件:创建OSS Bucket并上传示例文件,包含一个保存AK信息的文件和一个用于访问的示例文件夹(包含一个示例文件),用于后续模拟OSS数据的AK泄露和异常访问场景。
将OSS Bucket授权接入DSC:将OSS Bucket授权接入DSC的数据检测响应服务,确保DSC能对OSS Bucket进行AK泄露和异常访问检测。
配置敏感等级同步和告警通知:为后续获取告警通知和根据敏感等级管控OSS文件访问权限做准备。
查看和处理AK泄露和异常告警事件:模拟异常AK访问OSS Bucket文件,查看数据检测响应检测AK泄露和异常AK访问OSS Bucket的告警事件,建议及时处理告警事件。
前提条件
当前账号已购买数据安全中心实例并授权数据安全中心访问其他阿里云资源。
数据检测响应是数据安全中心的增值服务,实现异常AK访问OSS Bucket审计告警,需要消耗OSS防护量和日志存储量。本示例购买数据安全中心,版本仅需选择仅采购增值服务,开启检测响应和日志存储,购买足够的检测响应-OSS防护量和日志存储量,其他服务可自行选择是否购买。
当前账号已开通对象存储OSS。
本示例模拟AK泄露和异常访问告警场景,需要准备一个当前账号下的RAM用户及其AccessKey ID、AccessKey Secret。具体操作,请参见创建RAM用户和查看RAM用户的AccessKey信息。
步骤一:创建OSS Bucket并上传文件
1.1 创建OSS Bucket
在对象存储OSS控制台的Bucket列表页面,单击创建Bucket。
在创建 Bucket面板,配置如下参数,其他参数采用默认配置,然后单击完成创建。
1.2 上传文件到OSS Bucket
创建一个test.txt文件,输入已准备的RAM用户的AccessKey ID和AccessKey Secret值,然后保存。
在对象存储OSS控制台的Bucket列表页面的Bucket列表,单击OSS Bucket名称。
在文件列表页面,单击上传文件。
选择文件ACL为私有,单击扫描文件,选择已保存的test.txt,单击上传文件,等待文件上传成功。
在文件列表页面,单击新建目录,输入目录名(例如:
exampledir
),单击确定。进入
exampledir
文件目录下,单击上传文件。单击扫描文件,选择您本地的任意示例文件例如userdata.csv,单击上传文件,等待文件上传成功。
步骤二:将OSS Bucket授权接入DSC
在OSS泄露(AK场景)页面的授权统计区域,单击立即授权。
在资产授权配置面板,单击资产同步。
在未授权的Bucket列表中,单击目标Bucket操作列的授权。
开通数据检测响应服务后的首月内,DSC会创建并立即执行敏感数据识别扫描任务(使用主用模板,默认为互联网行业分类分级模板),进行敏感信息分类分级。
步骤三:配置敏感等级同步和告警通知
3.1 完成OSS同步配置
为了方便后续根据文件敏感等级标签进行对应文件的访问权限管控,启用OSS同步配置功能。
在OSS同步配置页签,开启同步标签到OSS的开关,选择模板互联网行业分类分级模板,单击提交。
3.2 设置异常AK访问告警通知
在系统设置页面的告警通知页签,设置邮件通知方式接收异常AK访问告警通知。
步骤四:查看和处理AK泄露和异常告警事件
模拟AK访问OSS Bucket成功后,您需要在第二天,才能查看和接收到当天发生的异常AK访问OSS Bucket的告警事件及告警通知。
4.1使用AK下载OSS Bucket文件
本文以Linux环境安装ossutil工具为例,使用命令行工具ossutil访问OSS Bucket文件。更多安装说明,请参见安装ossutil。
安装并配置ossutil。
在Linux操作系统下,执行以下命令下载并安装ossutil。
sudo -v ; curl https://gosspublic.alicdn.com/ossutil/install.sh | sudo bash
说明安装过程中,需要使用解压工具(unzip、7z)解压软件包,请提前安装其中的一个解压工具。
安装完成后,ossutil会安装到/usr/bin/目录下。
输入并执行配置命令:
ossutil config
。根据提示按回车键,设置配置文件路径为默认路径,设置工具的语言为CH。
根据提示分别设置Endpoint、AccessKey ID、STSToken和AccessKey Secret参数。
您可以在OSS Bucket的概览页面的访问端口区域查看Endpoint(地域节点)。AccessKey ID、AccessKey Secret为已准备的RAM用户的AK信息。
输入以下命令,访问目标OSS Bucket的文件
/exampledir/userdata.csv
。ossutil cp oss://examplebucket/exampledir/userdata.csv /opt
返回如下信息,表示成功访问下载了目标文件。
4.2 查看AK泄露检测结果
在OSS泄露(AK场景)页面的AK泄露情况区域,查看私有明文存储(本示例存储AK信息的test.txt的ACL为私有)的检测结果,如下图所示,显示数字1,表示已检测到1个AK信息。
单击公开明文存储的数字,查看已泄露的AK。
单击情报源详情,本示例显示AK为已上传至OSS Bucket的test.txt中的AccessKey ID值。
4.3 查看邮件告警通知
告警通知的联系人会收到如下邮件通知:
4.4 查看告警事件详情
在OSS泄露(AK场景)页面的AK访问行为的告警列表,查看已检测到的AK访问已授权OSS Bucket和文件的告警事件以及Bucket文件敏感识别结果。
单击告警事件对应操作列的详情,在告警详情页面,可以查看到AK详情、访问的Bucket详情以及访问的文件列表。
单击访问Bucket详情区域右侧的查看Bucket详情,可查看当前Bucket中扫描识别的文件信息以及敏感识别结果统计。
4.5 处理告警事件
由于当前OSS Bucket是公共读权限,所有RAM用户未经授权就可以直接访问。如果确认当前OSS Bucket中存储文件需要授权访问,您可以设置Bucket ACL为私有。
在访问Bucket详情区域,单击Bucket治理进度右侧的前往处置。
在Bucket处置面板,单击Bucket ACL右侧配置,设置Bucket ACL为私有。
总结
DSC的数据检测响应功能,支持持续检测已泄漏和异常AK访问OSS Bucket及其文件行为,并提供AK治理和Bucket治理能力,帮助您提升OSS数据安全性。
AK泄露检测
除了支持OSS Bucket中是否存在AK泄露,还支持检测公开GitHub和自建情报的AK泄露情况。更多说明,请参见OSS授权和AK情报录入。
AK异常访问告警事件
数据检测响应针对GitHub、OSS Bucket和自建情报的AK,都进行已授权OSS Bucket的访问跟踪,帮助您更全面地处理外泄的AK告警事件。更多说明,请参见查看异常泄露AK及其访问告警。
AK告警事件处理
数据检测响应服务提供AK处置和Bucket治理两种响应措施,帮助您限制Bucket的IP访问权限和文件的敏感等级访问权限,有效抵御数据泄露和恶意攻击,防护数据安全。例如禁用受影响的AK以防止未授权访问,或对相关文件设置更严格的访问控制策略。处理方案说明的具体内容,请参见处理AK泄露和异常访问告警。