API憑證(即阿里云AccessKey)是用戶訪問內部資源最重要的身份憑證。用戶調用API時的通信加密和身份認證會使用API憑證。API憑證是云上用戶調用云服務API、訪問云上資源的唯一身份憑證。
API憑證相當于登錄密碼,只是使用場景不同。前者用于程序方式調用云服務API,而后者用于登錄控制臺。
在阿里云,用戶可以使用AccessKey(簡稱AK)構造一個API請求(或者使用云服務SDK)來操作資源。AccessKey包括AccessKey ID和AccessKey Secret。其中AccessKey ID用于標識用戶,AccessKey Secret是用來驗證用戶身份合法性的密鑰。AccessKey Secret必須保密。
API憑證泄露會導致數據泄露,從而給用戶帶來嚴重的損失。
云安全中心實現AK安全自動化檢測閉環
云安全中心為了應對用戶不慎泄漏AccessKey造成惡劣影響,設計了全方位檢測理念,從泄漏前配置檢查、泄漏行為檢測、黑客異常調用三點完成檢測閉環,為用戶的云上業務安全保駕護航。
阿里云已率先和最大的開源代碼托管服務商GitHub合作,引入Token scan機制。
云安全中心AK檢測流程完全自動化,可以對在GitHub上泄露的AccessKey進行高效和精準的檢測。在實際場景中,阿里云已實現在含有AccessKey的代碼提交到GitHub后數秒之內,就可以通知用戶并且做出響應,盡可能減少對用戶產生的負面影響。
泄露前配置檢測-云安全態勢管理
在使用云產品的過程中為了防患于未然,您也可以在云安全中心控制臺左側導航欄,選擇,進入云安全態勢管理頁面檢查您當前云產品的配置項是否存在安全風險。
確保云產品的操作審計日志處于開啟狀態,可以幫助您分析是否有異常的調用行為。
確保使用的是RAM用戶的AK,而不是主賬號AK,并且遵守最小權限原則。這樣AK發生泄露問題時,不至于失去整個云賬號的控制權限。
確保開啟主賬號多因素認證(MFA)。開啟多因素認證可明顯降低因為密碼泄漏導致的未授權訪問。
用戶泄露行為檢測-AccessKey泄露檢測
您可在云安全中心控制臺左側導航欄,選擇,進入AK泄露檢測頁面查看AK泄漏的詳情。
黑客異常調用檢測-
除了泄漏前的提前預防,在云安全中心控制臺安全告警處理模塊,您可以篩選并查看云產品威脅檢測告警類型。云安全中心會在發現疑似黑客異常AK調用行為時進行告警,及時提醒用戶做出響應,以便在泄漏后及時檢測。
補充安全建議
除了上述云安全中心提供的AK泄露檢測和響應措施外,建議您在使用阿里云產品過程中遵循以下幾點安全規范,降低憑證泄漏造成的影響:
不要將AccessKey嵌入代碼中
嵌入代碼中的AK憑證容易被人忽視,經驗豐富的開發者會將其寫入數據庫或者獨立的文件中,使得其管理起來更方便。
定期更新AccessKey
定期更新代碼中存在的AccessKey,可保證一些舊的代碼泄漏后不會影響當前線上業務。
定期吊銷不需要的AccessKey
在阿里云AccessKey控制臺可查看最后一次AccessKey的訪問時間,建議禁用所有不用的AccessKey。
遵循最小權限原則使用RAM賬戶
根據不同業務需要授予不同子賬戶的讀寫權限,為不同業務分配不同子賬戶的AccessKey。
開啟操作日志審計,并將其投遞至OSS和SLS保存和審計
將操作日志存儲至OSS,異常情況時可以起到固證的作用;操作日志投遞至SLS,幫助您在日志數量大的時候也能實現高效檢索。