OSS泄露檢測

功能介紹

DSC支援從以下情報源檢測AK是否泄露，並在發現已泄露AK訪問Bucket和檔案的風險行為時提供警示資訊，同時提供針對AK、Bucket和檔案的治理能力，協助您及時發現和處理資料外泄的風險，提升資料安全性。

AK泄露檢測

如果開通了DSC的多帳號統一管理功能，還支援錄入和檢測成員帳號及其下RAM使用者的AK資訊，支援授權成員帳號的所有OSS Bucket資產。

DSC多帳號統一管理功能的開通和使用，請參見多帳號統一管理。

AK訪問警示

針對已泄露、自建情報和威脅情報的AK，DSC將對這些AK訪問檔案（已授權的Bucket和檔案）的風險活動進行彙總，形成一個詳細的警示事件。

響應措施

DSC提供一系列的響應措施，包含AK處置和Bucket及其檔案治理。例如禁用受影響的AK以防止未授權訪問，或對相關檔案設定更嚴格的存取控制策略。通過這些方式，DSC可助力企業提升其安全防護能力，有效抵禦資料泄露和惡意攻擊，確保業務的安全運行。

相關服務

在OSS泄露中授權串連OSS Bucket後，支援使用以下服務，進一步協助您跟蹤異常AK訪問事件。例如使用資料洞察掃描訪問的檔案是否涉及敏感資訊，使用資料審計跟蹤異常AK訪問Bucket檔案用戶端IP、操作類型等，協助您進一步分析確認資料泄露風險。

服務說明

服務有效期間

• 在数据检测响应 > OSS泄露頁面單擊立即授權，資產授權配置面板中會顯示資料洞察和資料審計功能預設啟用的有效期間。

• 如果目前的版本是僅採購增值服務，後續使用資料洞察和資料審計服務，需要升級DSC執行個體為企業版。具體操作，請參見購買資料資訊安全中心。

應用情境

• 原始碼保護

  在軟體開發過程中，開發人員可能會不經意地將包含 AK（AccessKey ID）資訊的程式碼推送到公開的 GitHub 倉庫中，這可能導致敏感資訊被暴露。DSC（代碼資訊安全中心）能夠監測這些公開原始碼，及時識別此類安全風險，並提醒開發人員採取修正措施，以避免潛在的安全威脅。

• 雲端儲存安全

  部分OSS Bucket可能因配置錯誤而暴露為公開狀態，從而可能導致其中的資料被未經授權訪問。如果Bucket內包含攜帶存取金鑰（AK）的檔案，這些敏感憑證可能會被泄露。通過檢測此類配置失誤，DSC有助於及時保護雲端儲存中的資料免遭未經授權的泄露。

• 自建情報監控

  DSC支援手動錄入AK資訊，以匯總使用該異常AK訪問的檔案資訊，跟蹤未授權AK的異常訪問，進而檢測是否涉及敏感資訊泄露。

• 安全合規

  對於需要遵守嚴格安全合規標準的企業，監測憑證泄露是一個基本要求。DSC可對憑證使用進行監控，以符合行業安全標準和法律法規要求。

• 即時安全分析與響應

  DSC可以對發現的AK泄露事件發出警示，讓安全團隊可以迅速做出響應。安全團隊可以追蹤被泄露的憑據，評估潛在的影響，並採取措施來緩解風險。

• 許可權管理和風險評估

  DSC不僅協助識別AK泄露事件，同時還能夠協助營運和安全團隊管理和審計AK的使用，輔助進行細緻的許可權管理和風險評估。

通過資料檢測響應功能，DSC有助於提前識別和處置關鍵的安全隱患，降低被攻擊的風險，保護企業的營運安全。

使用流程

1. 檢測響應是DSC的增值服務，需要您購買後才能使用。該服務的計費規則和購買方法，請參見開通檢測響應服務。

2. 完成相關準備工作。

   • DSC提供OSS同步配置功能，可將通過敏感識別任務掃描出的Bucket檔案的敏感等級同步到OSS側Bucket檔案的標籤中。為了方便後續根據檔案敏感等級標籤管控對應檔案的存取權限，推薦您啟用OSS同步配置功能。具體操作，請參見同步敏感等級標籤至OSS檔案。

   • 對於未處理的AK泄露事件，DSC提供警示通知能力，您可以根據需要，設定郵箱或簡訊通知方式接收AK泄露警示通知。具體操作，請參見設定異常AK訪問警示通知。

3. 授權待檢測的OSS Bucket和錄入待跟蹤訪問記錄的AK資訊。具體操作，請參見OSS授權和AK情報錄入。

4. 從開通檢測響應服務的次月開始，DSC不再自動建立和執行資料洞察的系統預設任務。您需要為已授權OSS資產自訂敏感性資料識別任務並執行。具體內容，請參見通過識別任務掃描敏感性資料。

5. 查看已泄露的AK資訊，以及已泄露和已錄入異常AK訪問已授權Bucket和檔案的警示事件，進一步定位風險位置並判斷風險影響，以便後續選擇適用的處理策略。具體操作，請參見查看異常泄露AK及其訪問警示。

6. 根據已定位分析的AK泄露資訊和異常訪問行為，選擇對應的措施處理AK泄露問題並治理Bucket和檔案的存取原則。具體操作，請參見處理AK泄露和異常訪問警示。