使用資料檢測響應功能檢測OSS中是否存在AK資訊前,需要先完成對應OSS Bucket的授權。如果已知或懷疑某些AK可能存在泄露風險,可以將這些AK錄入Data Security Center (DSC)。後續資料檢測響應服務會對異常(已泄露和已錄入)AK訪問已授權Bucket的風險行為進行跟蹤,檢測這些AK訪問的Bucket檔案資訊,並提供相應的訪問警示,協助您及時發現並處理資料泄露風險。
前提條件
已開通資料檢測響應服務併購買了足夠的OSS防護量。具體內容,請參見開通檢測響應服務。
如果使用RAM使用者,RAM使用者需要具備目標Bucket的系統管理權限和其他RAM使用者的系統管理權限。具體內容,請參見為RAM使用者授權DSC。
背景資訊
AK泄露檢測和異常訪問警示的工作原理和使用限制,請參見OSS泄露檢測。
使用限制
自建AK情報時:
如果當前帳號開通了多帳號統一管理功能,最多可以錄入100萬條AK資訊。多帳號統一管理功能的詳細內容,請參見多帳號統一管理。
如果當前帳號未開通多帳號統一管理功能,最多可以錄入10,000條AK資訊。
如果批量上傳AK資訊,AK資訊檔格式必須儲存為.xlsx,且檔案大小不能超過10 MB。
授權檢測的OSS Bucket
只有完成OSS Bucket授權,資料檢測響應服務才能檢測檔案中是否存在AK泄露風險,以及有哪些異常AK訪問了已授權Bucket檔案。具體授權操作如下:
登入資料資訊安全中心控制台。
在左側導覽列,選擇。
如果是首次進入OSS泄露頁面,需要單擊立即授權,在資產授權配置頁面Bucket列表中,按照以下操作,完成資產授權。
單擊目標Bucket操作列的授權,或選中多個目標資產前面的複選框後,單擊列表下方的一鍵授權。
完成資產授權後,單擊立即體驗。
如果需要繼續添加OSS Bucket授權,在OSS泄露頁面的授權統計地區,單擊立即授權。
在資產授權配置面板,單擊資產同步。
購買DSC執行個體後,在Welcome頁面完成DSC授權後會立即自動同步雲上資料資產列表,此時無需執行資產同步操作。DSC會每天淩晨對後續新增的資料資產進行掃描並自動同步到對應資產的未授權列表中。如果您需要為當天建立的資產授權,則需要手動執行資產同步操作。
在未授權的Bucket列表中,單擊目標Bucket操作列的授權。
需要大量授權時,選中多個目標資產前面的複選框後,單擊列表下方的大量授權。
如果當前阿里雲帳號開通了多帳號管理能力,可以根據UID選擇成員帳號下需要檢測的OSS Bucket。開通多帳號管理方法,請參見多帳號統一管理。
如果目前時間在開通資料檢測響應服務後的首月內,DSC會建立並立即執行資料洞察的掃描任務,進行敏感資訊分類分級。
該任務使用主用模板(預設為互連網行業分類分級模板)掃描已授權Bucket中的檔案內容,對Bucket及其檔案進行敏感資訊分類分級。該任務在控制台不可見、不可管理。
如果開通資料檢測響應服務的時間已超過一個月,您需要手動建立自訂識別任務,選擇範圍為指定資產類型的OSS,選擇的識別範圍為資料檢測響應服務已授權串連的Bucket,才能對已授權的Bucket檔案進行敏感性資料分類分級。具體內容,請參見添加自訂識別任務。
自建AK情報
對於已知的疑似泄露、已泄露、可能存在未授權訪問等風險的AK,或需要查看目標AK訪問了哪些Bucket,可以直接錄入這些AK資訊到資料檢測響應的情報源,DSC檢測到這些AK訪問已授權Bucket檔案後會形成警示事件在頁面展示。
如果在GitHub和已授權Bucket檔案中未檢測到AK泄露,即使有AK訪問已授權Bucket,也不會形成警示事件在頁面展示。所以,如果需要查看AK訪問已授權Bucket的行為事件,您需要自建情報來錄入目標AK資訊。
登入資料資訊安全中心控制台。
在左側導覽列,選擇。
在OSS泄露頁面的AK泄露情況地區,單擊自建情報的錄入情報。
在情報管理面板,單擊建立情報。
選擇以下方式錄入AK資訊。
單個手動錄入
在手動錄入頁簽,輸入AccessKey ID,選擇泄露狀態(已泄露、未泄露、疑似泄露),輸入備忘資訊後,單擊確定。
如果目前時間,您已經完成了目標Bucket授權且授權成功後至少完成了一次檢測,DSC會記錄下檢測到的訪問已授權Bucket的AK資訊,並匯總為範例資料。您可以單擊範例資料預覽,複製這些AK資訊進行錄入。
批量上傳
在批量上傳頁簽,單擊模板下載,擷取AK資訊模板檔案(.xlsx),輸入AccessKeyId(AccessKey ID)、Status(泄露狀態:已泄露、未泄露、疑似泄露)和Comment(備忘)。
如果目前時間,您已經完成了目標Bucket授權且授權成功後至少完成了一次檢測,DSC會記錄下檢測到的訪問已授權Bucket的AK資訊,並匯總為範例資料寫入模板檔案,如下表所示。
在AK資訊檔中輸入需要錄入的AK資訊,然後儲存。
返回批量上傳頁簽,單擊查看本地檔案或上傳
表徵圖,匯入已儲存的.xlsx檔案。單擊確定。
後續操作
從開通資料檢測響應服務的次月開始,DSC不再自動建立和執行資料洞察的系統預設任務。您需要為已授權OSS資產自訂敏感性資料識別任務並執行。具體內容,請參見通過識別任務掃描敏感性資料。
查看已泄露的AK資訊,以及已泄露和已錄入異常AK訪問已授權Bucket和檔案的警示事件,進而定位風險位置並判斷風險影響,以便後續選擇適用的處理策略。具體操作,請參見查看異常泄露AK及其訪問警示。
根據泄露AK的警示詳情和DSC提供的響應措施,進行相關AK泄露事件的處理。例如禁用受影響的AK以防止未授權訪問,或對相關檔案設定更嚴格的存取控制策略。具體內容,請參見處理AK泄露和異常訪問警示。
相關文檔
將通過敏感識別任務掃描出的Bucket檔案的敏感等級同步到OSS側Bucket檔案的標籤中,方便後續根據檔案敏感等級標籤管控對應檔案的存取權限。具體操作,請參見同步敏感等級標籤至OSS檔案。
即時擷取已泄露和已錄入AK的警示事件,跟進AK訪問記錄,確認是否涉及重要資料泄露風險。具體內容,請參見設定異常AK訪問警示通知。
