审计和处理异常AK访问OSS文件

您可以使用DSC的数据检测响应服务,检测OSS数据中是否存在明文访问密钥(AccessKey ID和AccessKey Secret,下文统称AK)和被异常AK访问的风险行为,并在检测到异常访问事件时触发警告。通过查看异常AK和告警事件,及时确认并处理外泄的AK以及异常AK访问OSS数据的风险行为,以免AK泄露和滥用,导致OSS数据被未授权访问和泄露。

方案概览

本文通过模拟检测到OSS Bucket中存在明文AK,以及使用已泄露AK访问OSS Bucket中公共读文件上报告警事件为例,介绍如何使用数据检测响应服务,针对OSS Bucket中AK泄露和异常AK访问告警事件进行检测和治理,以提升OSS数据安全。

image

实现异常AK访问OSS数据告警和处理,需要五步:

  1. 创建OSS Bucket并上传文件:创建OSS Bucket并上传示例文件,包含一个保存AK信息的文件和一个用于访问的示例文件夹(包含一个示例文件),用于后续模拟OSS数据的AK泄露和异常访问场景。

  2. 将OSS Bucket授权接入DSC将OSS Bucket授权接入DSC的数据检测响应服务,确保DSC能对OSS Bucket进行AK泄露和异常访问检测。

  3. 配置敏感等级同步和告警通知:为后续获取告警通知和根据敏感等级管控OSS文件访问权限做准备。

  4. 查看和处理AK泄露和异常告警事件:模拟异常AK访问OSS Bucket文件,查看数据检测响应检测AK泄露和异常AK访问OSS Bucket的告警事件,建议及时处理告警事件。

前提条件

步骤一:创建OSS Bucket并上传文件

1.1 创建OSS Bucket

  1. 在对象存储OSS控制台的Bucket列表页面,单击创建Bucket

  2. 创建 Bucket面板,配置如下参数,其他参数采用默认配置,然后单击完成创建

    image

1.2 上传文件到OSS Bucket

  1. 创建一个test.txt文件,输入已准备的RAM用户的AccessKey ID和AccessKey Secret值,然后保存。

    image

  2. 在对象存储OSS控制台的Bucket列表页面的Bucket列表,单击OSS Bucket名称。

  3. 文件列表页面,单击上传文件

  4. 选择文件ACL私有,单击扫描文件,选择已保存的test.txt,单击上传文件,等待文件上传成功。

    image

  5. 文件列表页面,单击新建目录,输入目录名(例如:exampledir),单击确定

  6. 进入exampledir文件目录下,单击上传文件

  7. 单击扫描文件,选择您本地的任意示例文件例如userdata.csv,单击上传文件,等待文件上传成功。

步骤二:将OSS Bucket授权接入DSC

  1. OSS泄露(AK场景)页面的授权统计区域,单击立即授权

  2. 资产授权配置面板,单击资产同步

  3. 未授权的Bucket列表中,单击目标Bucket操作列的授权

    image

开通数据检测响应服务后的首月内,DSC会创建并立即执行敏感数据识别扫描任务(使用主用模板,默认为互联网行业分类分级模板),进行敏感信息分类分级。

步骤三:配置敏感等级同步和告警通知

3.1 完成OSS同步配置

为了方便后续根据文件敏感等级标签进行对应文件的访问权限管控,启用OSS同步配置功能。

OSS同步配置页签,开启同步标签到OSS的开关,选择模板互联网行业分类分级模板,单击提交

image

3.2 设置异常AK访问告警通知

系统设置页面的告警通知页签,设置邮件通知方式接收异常AK访问告警通知。

image

步骤四:查看和处理AK泄露和异常告警事件

模拟AK访问OSS Bucket成功后,您需要在第二天,才能查看和接收到当天发生的异常AK访问OSS Bucket的告警事件及告警通知。

4.1使用AK下载OSS Bucket文件

本文以Linux环境安装ossutil工具为例,使用命令行工具ossutil访问OSS Bucket文件。更多安装说明,请参见安装ossutil

  1. 安装并配置ossutil。

    1. 在Linux操作系统下,执行以下命令下载并安装ossutil。

      sudo -v ; curl https://gosspublic.alicdn.com/ossutil/install.sh | sudo bash
      说明
      • 安装过程中,需要使用解压工具(unzip、7z)解压软件包,请提前安装其中的一个解压工具。

      • 安装完成后,ossutil会安装到/usr/bin/目录下。

    2. 输入并执行配置命令:ossutil config

    3. 根据提示按回车键,设置配置文件路径为默认路径,设置工具的语言为CH

    4. 根据提示分别设置Endpoint、AccessKey ID、STSToken和AccessKey Secret参数。

      您可以在OSS Bucket的概览页面的访问端口区域查看Endpoint(地域节点)AccessKey ID、AccessKey Secret为已准备的RAM用户的AK信息。

  2. 输入以下命令,访问目标OSS Bucket的文件/exampledir/userdata.csv

    ossutil cp oss://examplebucket/exampledir/userdata.csv /opt

    返回如下信息,表示成功访问下载了目标文件。

    image

4.2 查看AK泄露检测结果

  1. OSS泄露(AK场景)页面的AK泄露情况区域,查看私有明文存储(本示例存储AK信息的test.txt的ACL为私有)的检测结果,如下图所示,显示数字1,表示已检测到1个AK信息。

    image

  2. 单击公开明文存储的数字,查看已泄露的AK。

    image

  3. 单击情报源详情,本示例显示AK为已上传至OSS Bucket的test.txt中的AccessKey ID

    image

4.3 查看邮件告警通知

告警通知的联系人会收到如下邮件通知:

image

4.4 查看告警事件详情

  1. OSS泄露(AK场景)页面的AK访问行为的告警列表,查看已检测到的AK访问已授权OSS Bucket和文件的告警事件以及Bucket文件敏感识别结果。

    image

  2. 单击告警事件对应操作列的详情,在告警详情页面,可以查看到AK详情、访问的Bucket详情以及访问的文件列表。

    image

  3. 单击访问Bucket详情区域右侧的查看Bucket详情,可查看当前Bucket中扫描识别的文件信息以及敏感识别结果统计。

    image

4.5 处理告警事件

由于当前OSS Bucket是公共读权限,所有RAM用户未经授权就可以直接访问。如果确认当前OSS Bucket中存储文件需要授权访问,您可以设置Bucket ACL为私有。

  1. 访问Bucket详情区域,单击Bucket治理进度右侧的前往处置

  2. Bucket处置面板,单击Bucket ACL右侧配置,设置Bucket ACL私有

    image

总结

DSC的数据检测响应功能,支持持续检测已泄漏和异常AK访问OSS Bucket及其文件行为,并提供AK治理和Bucket治理能力,帮助您提升OSS数据安全性。

AK泄露检测

除了支持OSS Bucket中是否存在AK泄露,还支持检测公开GitHub和自建情报的AK泄露情况。更多说明,请参见OSS授权和AK情报录入

image

AK异常访问告警事件

数据检测响应针对GitHub、OSS Bucket和自建情报的AK,都进行已授权OSS Bucket的访问跟踪,帮助您更全面地处理外泄的AK告警事件。更多说明,请参见查看异常泄露AK及其访问告警

image

AK告警事件处理

数据检测响应服务提供AK处置和Bucket治理两种响应措施,帮助您限制Bucket的IP访问权限和文件的敏感等级访问权限,有效抵御数据泄露和恶意攻击,防护数据安全。例如禁用受影响的AK以防止未授权访问,或对相关文件设置更严格的访问控制策略。处理方案说明的具体内容,请参见处理AK泄露和异常访问告警

image