审计OSS Bucket文件中敏感数据行为评估操作风险_数据安全中心(DSC)-阿里云帮助中心

OSS可以通过服务器端加密机制，为存储的静态数据提供加密保护。为防止加密规则因误操作被删除，导致数据泄露，可以使用数据安全中心 DSC（Data Security Center）进行OSS数据活动监控，实时监测并记录OSS Bucket中加密规则的变动操作，并在检测到删除加密规则时触发警告，帮助组织及时发现和处理OSS数据泄露的威胁。

方案概览

本示例模拟：某个OSS Bucket已开启服务端加密功能，当OSS Bucket服务端加密被删除后，实时上报邮件告警通知给指定的安全管理员。安全管理员可以及时查看当前操作日志，确认删除服务端加密操作的账号、源IP是否正常，并进行处理。

完成以上数据风险审计和告警，只需四步：

创建OSS Bucket：新增OSS Bucket，并开启服务端加密。
将OSS Bucket文件接入DSC：DSC授权接入OSS Bucket，确保DSC能审计存储OSS Bucket的活动日志。
配置OSS Bucket的审计和告警通知：打通DSC与OSS数据的采集链路，使DSC采集OSS Bucket和文件的活动日志，对应操作触发审计规则后，上报告警到DSC并发送告警通知给指定安全管理员。
查看和处理告警事件：通过告警事件的日志分析，确认当前操作是否对OSS数据安全造成威胁并及时处理。

当前账号已开通数据安全中心免费版并授权数据安全中心访问其他阿里云资源。
数据安全中心的免费版服务已提供数据审计、审计告警和告警通知功能，每月免费提供500 TB的OSS防护量。本示例仅需开通DSC免费版服务。
当前账号已开通对象存储OSS。

步骤一：创建OSS Bucket

在对象存储OSS控制台的Bucket列表页面，单击创建Bucket。
在创建 Bucket面板，配置如下参数，其他参数采用默认配置，然后单击完成创建。

步骤二：将OSS Bucket文件接入DSC

在数据安全中心的授权管理页面，单击资产授权管理。
在资产授权管理面板的非结构化数据下，选择OSS，单击资产同步。
资产同步完成后，找到新创建的OSS Bucket，然后单击操作列的授权。
授权完成后，在资产授权管理页面，找到该OSS Bucket，然后单击操作列的一键连接。
在提示框中，无需选中数据扫描和识别，直接单击确定。
等待OSS Bucket的连接状态变为已连接。

步骤三：配置OSS Bucket的审计和告警通知

3.1 开启原生日志采集

在数据安全中心审计配置页面的资产接入页签，单击点击去授权，完成日志服务访问云资源的授权。
在资产接入页签的当前数据类型，选择OSS。
找到新创建的OSS Bucket，单击审计模式列的原生日志采集，在弹出的对话框中，单击确定。

3.2 开启审计告警规则

在数据安全中心的规则配置页签，单击OSS审计规则子页签。
在规则列表，开启删除Bucket的加密规则。

3.3 配置告警通知

在告警通知页签，单击新增告警配置。
在新增告警通知配置面板，选择邮箱告警方式，选中审计告警的所有等级，单击确定。

步骤四：查看告警事件

当目标OSS Bucket的服务端加密功能被删除后，会上报告警至数据安全中心，并发送告警通知给指定的告警联系人。

4.1 查看邮箱告警通知

邮箱通知中设置的邮件接收人会接收到如下邮件告警信息。

4.2 查看告警事件

在数据安全中心的审计告警页面，查看OSS的告警列表，可看到对应告警事件。
单击操作列的详情，可在详情面板查看日志分析，查看操作的客户端信息、服务端信息以及操作信息。

4.3 确认处理告警事件

通过以上信息，如果评估删除Bucket的加密规则会导致Bucket中敏感信息存在泄露风险，应立即处理告警事件。

在Bucket的服务器端加密页面，完成服务端加密方式和加密算法配置。
如果判断操作账号不应该具备该权限，可以在OSS控制台目标Bucket的Bucket 授权策略页签，缩小该账号权限。例如设置为只读。

总结

DSC可以对OSS Bucket及文件的活动行为进行审计和告警，根据启用的告警规则触发并上报告警事件，以帮助您及时发现各类潜在风险和隐患，为数据安全保驾护航。

灵活启用审计规则

DSC支持的内置审计规则包括黑客工具攻击、设置BucketACL、删除多个Object、配置Bucket的加密规则、设置ObjectACL、删除Bucket的加密规则、删除Bucket。DSC还支持按照Bucket名称、Object名称、客户端IP、访问者UID、操作类型、状态码等多种维度自定义审计规则。

您可根据不同场景不同类型的应用灵活选择启用的审计规则，精确掌控OSS Bucket相关访问和修改信息。具体内容，请参见配置并开启审计告警规则。