使用数据检测响应功能检测OSS中是否存在AK信息前,需要先完成对应OSS Bucket的授权。如果已知或怀疑某些AK可能存在泄露风险,可以将这些AK录入数据安全中心 DSC(Data Security Center)。后续数据检测响应服务会对异常(已泄露和已录入)AK访问已授权Bucket的风险行为进行跟踪,检测这些AK访问的Bucket文件信息,并提供相应的访问告警,帮助您及时发现并处理数据泄露风险。
前提条件
已开通数据检测响应服务并购买了足够的OSS防护量。具体内容,请参见开通数据检测响应服务。
如果使用RAM用户,RAM用户需要具备目标Bucket的管理权限和其他RAM用户的管理权限。具体内容,请参见为RAM用户授权DSC。
背景信息
AK泄露检测和异常访问告警的工作原理和使用限制,请参见什么是数据检测响应。
使用限制
自建AK情报时:
如果当前账号开通了多账号统一管理功能,最多可以录入100万条AK信息。多账号统一管理功能的详细内容,请参见多账号统一管理。
如果当前账号未开通多账号统一管理功能,最多可以录入10,000条AK信息。
如果批量上传AK信息,AK信息文件格式必须保存为.xlsx,且文件大小不能超过10 MB。
授权检测的OSS Bucket
只有完成OSS Bucket授权,数据检测响应服务才能检测文件中是否存在AK泄露风险,以及有哪些异常AK访问了已授权Bucket文件。具体授权操作如下:
登录数据安全中心控制台。
在左侧导航栏,选择
。如果是首次进入OSS泄露(AK场景)页面,需要单击立即授权,在资产授权配置页面Bucket列表中,按照以下操作,完成资产授权。
单击目标Bucket操作列的授权,或选中多个目标资产前面的复选框后,单击列表下方的一键授权。
完成资产授权后,单击立即体验。
如果需要继续添加OSS Bucket授权,在OSS泄露(AK场景)页面的授权统计区域,单击立即授权。
在资产授权配置面板,单击资产同步。
购买DSC实例后,在Welcome页面完成DSC授权后会立即自动同步云上数据资产列表,此时无需执行资产同步操作。DSC会每天凌晨对后续新增的数据资产进行扫描并自动同步到对应资产的未授权列表中。如果您需要为当天创建的资产授权,则需要手动执行资产同步操作。
在未授权的Bucket列表中,单击目标Bucket操作列的授权。
需要批量授权时,选中多个目标资产前面的复选框后,单击列表下方的批量授权。
重要如果当前阿里云账号开通了多账号管理能力,可以根据UID选择成员账号下需要检测的OSS Bucket。开通多账号管理方法,请参见多账号统一管理。
如果当前时间在开通数据检测响应服务后的首月内,DSC会创建并立即执行数据洞察的扫描任务,进行敏感信息分类分级。
该任务使用主用模板(默认为互联网行业分类分级模板)扫描已授权Bucket中的文件内容,对Bucket及其文件进行敏感信息分类分级。该任务在控制台不可见、不可管理。
如果开通数据检测响应服务的时间已超过一个月,您需要手动创建自定义识别任务,选择作用域为OSS,选择扫描范围为数据检测响应服务已授权连接的Bucket,才能对已授权Bucket文件进行敏感数据分类分级。具体内容,请参见自定义识别任务。
自建AK情报
对于已知的疑似泄露、已泄露、可能存在未授权访问等风险的AK,或需要查看目标AK访问了哪些Bucket,可以直接录入这些AK信息到数据检测响应的情报源,DSC检测到这些AK访问已授权Bucket文件后会形成告警事件在
页面展示。如果在GitHub和已授权Bucket文件中未检测到AK泄露,即使有AK访问已授权Bucket,也不会形成告警事件在
页面展示。所以,如果需要查看AK访问已授权Bucket的行为事件,您需要自建情报来录入目标AK信息。登录数据安全中心控制台。
在左侧导航栏,选择
。在OSS泄露(AK场景)页面的数据统计区域,单击自建情报的录入情报。
在情报管理面板,单击新建情报。
选择以下方式录入AK信息。
单个手动录入
在手动录入页签,输入AccessKey ID,选择泄露状态(已泄露、未泄露、疑似泄露),输入备注信息后,单击确定。
如果当前时间,您已经完成了目标Bucket授权且授权成功后至少完成了一次检测,DSC会记录下检测到的访问已授权Bucket的AK信息,并汇总为样例数据。您可以单击样例数据预览,复制这些AK信息进行录入。
批量上传
在批量上传页签,单击模板下载,获取AK信息模板文件(.xlsx),输入AccessKeyId(AccessKey ID)、Status(泄露状态:已泄露、未泄露、疑似泄露)和Comment(备注)。
如果当前时间,您已经完成了目标Bucket授权且授权成功后至少完成了一次检测,DSC会记录下检测到的访问已授权Bucket的AK信息,并汇总为样例数据写入模板文件,如下表所示。
在AK信息文件中输入需要录入的AK信息,然后保存。
返回批量上传页签,单击查看本地文件或上传图标,导入已保存的.xlsx文件。
单击确定。
后续操作
从开通数据检测响应服务的次月开始,DSC不再自动创建和执行数据洞察的系统默认任务。您需要为已授权OSS资产自定义敏感数据识别任务并执行。具体内容,请参见识别任务说明。
查看已泄露的AK信息,以及已泄露和已录入异常AK访问已授权Bucket和文件的告警事件,进而定位风险位置并判断风险影响,以便后续选择适用的处理策略。具体操作,请参见查看异常泄露AK及其访问告警。
根据泄露AK的告警详情和DSC提供的响应措施,进行相关AK泄露事件的处理。例如禁用受影响的AK以防止未授权访问,或对相关文件设置更严格的访问控制策略。具体内容,请参见处理AK泄露和异常访问告警。
相关文档
将通过敏感识别任务扫描出的Bucket文件的敏感等级同步到OSS侧Bucket文件的标签中,方便后续根据文件敏感等级标签管控对应文件的访问权限。具体操作,请参见同步敏感等级标签至OSS文件。
实时获取已泄露和已录入AK的告警事件,跟进AK访问记录,确认是否涉及重要数据泄漏风险。具体内容,请参见设置异常AK访问告警通知。