数据安全中心 DSC(Data Security Center)提供数据检测响应增值服务。通过检测GitHub平台公开源代码、已授权OSS Bucket中公开存在的阿里云账号或RAM用户的访问密钥AccessKey(以下简称:AK)信息,DSC可识别出AK是否泄露,并跟踪已泄露和自建情报的异常AK访问Bucket和文件的风险行为,提供相应AK的访问告警。建议您及时查看并处理外泄的AK告警事件。本文介绍数据检测响应的功能原理和使用说明。
功能介绍
DSC支持从以下情报源检测AK是否泄露,并在发现已泄露或异常AK访问Bucket和文件的风险行为时提供告警信息,同时提供针对AK、Bucket和文件的治理能力,帮助您及时发现和处理数据外泄的风险,提升数据安全性。
AK泄露检测
支持检测的AK信息范围:当前已购买数据检测响应服务的阿里云账号及其下RAM用户的AK信息。
支持检测的AK情报源:
GitHub平台:GitHub平台公开源代码(多为企业员工私自上传并不小心公开)中是否含有AK信息。
OSS Bucket:检测数据检测响应已授权连接的OSS Bucket文件中是否含有明文存储的AK信息。
支持授权当前阿里云账号的所有OSS Bucket资产。
自建情报:自行录入疑似泄露、已泄露或需要检测是否涉及异常访问的AK信息。
支持录入当前阿里云账号及其下RAM用户的AK信息。
支持的多账号统一管理能力:
如果开通了DSC的多账号统一管理功能,还支持录入和检测成员账号及其下RAM用户的AK信息,支持授权成员账号的所有OSS Bucket资产。
DSC多账号统一管理功能的开通和使用,请参见多账号统一管理。
异常AK访问告警
在GitHub平台或已授权OSS Bucket文件中如果发现AK泄露,DSC将对所有使用泄露的AK和已录入的AK访问文件(已授权的Bucket和文件)的风险活动进行聚合,形成一个详细的告警事件。
告警聚合逻辑
告警维度:一个AK访问一个Bucket作为一条告警。
告警时间范围:开通功能时间至最近一次检测时间。DSC控制台的页面会显示本次检测时间和下次检测时间。
告警检测频率:每天北京时间凌晨四点对前一天的访问日志进行检测分析。
停止检测时间:数据检测响应服务到期导致服务停止,或当前服务可用资源额度不足导致服务停止。
告警事件信息
AK泄露告警事件将在DSC控制台显示关键信息,包括告警时间、情报源、AK归属账号、访问的Bucket名称和文件数等。同时,如果运行了对应识别模板的敏感数据识别任务,还会显示相关Bucket及其文件的敏感等级,以便安全管理员能够迅速理解潜在的威胁情况。
设置异常AK访问告警通知
您可以配置异常AK访问的告警通知。在发现未处理的异常AK访问事件时,DSC将向对应接收人发送告警通知,提供实时的威胁情报,以帮助其快速识别并定位Bucket文件是否存在泄露风险。
停止告警通知时间:当AK泄露事件已处理或加白后,不再发送告警通知。您可以自行前往DSC控制台的页面查看告警事件。
响应措施
DSC提供一系列的响应措施,包含AK处置和Bucket及其文件治理。例如禁用受影响的AK以防止未授权访问,或对相关文件设置更严格的访问控制策略。通过这些方式,DSC可助力企业提升其安全防护能力,有效抵御数据泄露和恶意攻击,确保业务的安全运行。
相关服务说明
数据检测响应服务授权连接OSS Bucket后,支持使用以下服务,进一步帮助您跟踪异常AK访问事件。例如使用数据洞察扫描访问的文件是否涉及敏感信息,使用数据审计跟踪异常AK访问Bucket文件客户端IP、操作类型等,帮助您进一步分析确认数据泄漏风险。
数据洞察
开通数据检测响应服务的首月,默认创建并立即执行数据洞察的系统默认任务,使用主用模板(默认为互联网行业分类分级模板)扫描已接入Bucket中的文件内容,对Bucket及其文件进行敏感信息分类分级。
说明该系统默认任务不在DSC控制台显示。
从开通数据检测响应服务的次月开始,DSC不再自动创建和执行系统默认任务。如果需要对已授权连接的Bucket文件进行敏感信息分类分级,需要创建自定义识别任务使用已启用模板进行扫描。
具体内容,请参见识别任务说明。
数据审计
您可以开通OSS的原生日志采集模式,分析OSS Bucket的文件活动信息,跟踪OSS数据潜在的恶意行为或未授权访问。具体内容,请参见配置并开启审计模式。
开通数据检测响应服务后,针对该服务授权的OSS Bucket,默认立即开通原生日志采集模式进行日志采集。如果资产中心也授权了相同的OSS Bucket,该Bucket会开通原生日志采集模式。
对于资产中心和数据检测响应同时授权的OSS资产,如果需要关闭审计模式,则必须先取消数据检测响应服务的授权。
开通数据检测响应服务后,每月针对已购买的OSS防护量,每TB OSS防护量会赠送200 GB日志存储容量。若日志存储容量不足需要手动扩容,以保证审计日志正常收集。具体操作,请参见管理日志存储。
在数据检测响应的资产授权配置面板中,会显示数据洞察和数据审计功能默认启用的有效期。
如果当前仅购买了数据检测响应增值服务,后续使用数据洞察和数据审计服务,需要升级DSC实例为企业版。具体操作,请参见购买数据安全中心。
应用场景
源代码保护
在软件开发过程中,开发人员可能会不经意地将包含 AK(AccessKey ID)信息的代码推送到公开的 GitHub 仓库中,这可能导致敏感信息被暴露。DSC(代码安全中心)能够监测这些公开源代码,及时识别此类安全风险,并提醒开发人员采取修正措施,以避免潜在的安全威胁。
云存储安全
部分OSS Bucket可能因配置错误而暴露为公开状态,从而可能导致其中的数据被未经授权访问。如果Bucket内包含携带访问密钥(AK)的文件,这些敏感凭证可能会被泄露。通过检测此类配置失误,DSC有助于及时保护云存储中的数据免遭未经授权的泄露。
自建情报监控
DSC支持手动录入AK信息,以汇总使用该异常AK访问的文件信息,跟踪未授权AK的异常访问,进而检测是否涉及敏感信息泄露。
安全合规
对于需要遵守严格安全合规标准的企业,监测凭证泄露是一个基本要求。DSC可对凭证使用进行监控,以符合行业安全标准和法律法规要求。
实时安全分析与响应
DSC可以对发现的AK泄露事件发出告警,让安全团队可以迅速做出响应。安全团队可以追踪被泄露的凭据,评估潜在的影响,并采取措施来缓解风险。
权限管理和风险评估
DSC不仅帮助识别AK泄露事件,同时还能够帮助运维和安全团队管理和审计AK的使用,辅助进行细致的权限管理和风险评估。
通过数据检测响应功能,DSC有助于提前识别和处置关键的安全隐患,降低被攻击的风险,保护企业的运营安全。
使用流程
数据检测响应是DSC的增值服务,需要您购买后才能使用。该服务的计费规则和购买方法,请参见开通数据检测响应服务。
完成相关准备工作。
DSC提供OSS同步配置功能,可将通过敏感识别任务扫描出的Bucket文件的敏感等级同步到OSS侧Bucket文件的标签中。为了方便后续根据文件敏感等级标签管控对应文件的访问权限,推荐您启用OSS同步配置功能。具体操作,请参见同步敏感等级标签至OSS文件。
对于未处理的AK泄露事件,DSC提供告警通知能力,您可以根据需要,设置邮箱或短信通知方式接收AK泄露告警通知。具体操作,请参见设置异常AK访问告警通知。
授权待检测的OSS Bucket和录入待跟踪访问记录的AK信息。具体操作,请参见OSS授权和AK情报录入。
从开通数据检测响应服务的次月开始,DSC不再自动创建和执行数据洞察的系统默认任务。您需要为已授权OSS资产自定义敏感数据识别任务并执行。具体内容,请参见识别任务说明。
查看已泄露的AK信息,以及已泄露和已录入异常AK访问已授权Bucket和文件的告警事件,进一步定位风险位置并判断风险影响,以便后续选择适用的处理策略。具体操作,请参见查看异常泄露AK及其访问告警。
根据已定位分析的AK泄露信息和异常访问行为,选择对应的措施处理AK泄露问题并治理Bucket和文件的访问策略。具体操作,请参见处理AK泄露和异常访问告警。