文档

AK泄露检测

更新时间:

云安全中心实时检测GitHub平台公开源代码中阿里云账号或RAM用户的访问密钥AccessKey(以下简称:AK)信息,可识别出AK是否泄露,并提供相应的告警,建议您及时查看并处理外泄的AK事件。本文介绍AK泄露检测的原理及如何处理泄露事件。

功能原理

云安全中心AK泄露检测功能使用搭建在网络空间中的威胁情报采集系统,通过网络爬虫对GitHub平台进行实时检测,捕获并判定被公开的源代码(多为企业员工私自上传并不小心公开)中是否含有AK信息并发送通知,帮助您及时发现数据外泄的风险。

重要

企业员工如果将不可公开的公司源码上传至GitHub等平台,可能会导致阿里云账号的AK信息在外网环境泄露,AK泄露可能会让您失去该账号下所有资源的控制权。

只有AccessKey ID和AccessKey Secret(以下简称SK)同时泄露时,该访问密钥才可以被第三方利用。云安全中心在检测到阿里云账号或RAM用户的AK信息泄露时,会根据SK是否有效,采用不同的方式向对应的阿里云账号发送通知,支持的通知方式如下:

  • AK泄露检测页面告警:只要检测到AK泄露,无论SK是否有效,都会提供告警。

  • 控制台弹框提示:只有检测到泄露的SK信息有效时,在您访问阿里云控制台首页或多数云产品控制台时会弹框提示。

  • 根据通知设置发送告警通知:只有检测到泄露的SK信息有效时,才会根据您设置的通知方式(站内信、邮件或短信)发送通知。

image

设置AK泄露告警通知

云安全中心支持对AK泄露情报提供告警通知,通知的方式包括短信、邮件、站内信。

云安全中心默认开启AK泄露告警通知。您也可以根据需要,在云安全中心控制台通知设置页面短信/邮件/站内信页签中,自定义AccessKey 泄露情报通知时间通知方式。设置后,只有在您设置的时间段会收到AK泄露通知。具体操作,请参见通知设置

重要
  • 已设置时间段外发生外泄事件时,您无法第一时间收到通知,云安全中心将在下一个您设置的时段发送告警通知。由于AK泄露风险安全风险高,为了能及时接收到通知,建议您将通知时间设置为24小时,并且选中所有通知方式

  • 收到AK泄露告警通知后,表示您阿里云账号或RAM用户的AK和SK信息已外泄。请第一时间处理AK泄露事件。处理完成后,请在云安全中心控制台对该AK告警事件进行处理。

查看和处理AK泄露事件

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择风险治理 > AK泄露检测

  3. AK泄露检测页面,查看并处理AK泄露事件。

    • 查看AK泄露情报统计数据

      您可以查看云安全中心检测到的所有信息泄露情报:AccessKey泄露次数、AccessKey异常调用告警次数和支持的检测平台。

      单击AccessKey异常调用告警下的数字,可以跳转到安全告警处理页面查看检测出的AK异常调用告警。通过查看AK异常调用告警,可以确认AK泄露的影响范围。

    • 查看AccessKey泄露检测详情

      您可以在AK泄露检测列表中,选择一个检测记录,单击其操作列的详情,查看详细的情报信息。单击文件详情区域的用户名、文件名、仓库名等链接,可以跳转GitHub对应页面,查看AK信息泄露的源头。

    • 处理检测出的AK泄露事件

      云安全中心不支持自动处理或一键处理AK泄露事件,您需要手动处理完AK泄露事件后,再前往云安全中心控制台标注AK泄露处理状态。手动处理AK泄露事件的方法如下:

      手动处理完AK泄露事件后,您需要在AK泄露检测列表中定位到具体事件,单击其操作列的处理,选择AK事件处理方式,并单击立即处理

      处理方式包含我已手动删除我已手动禁用 AK加白名单三种。

      说明

      您针对该AK泄露已处理了所有的AK泄露来源、并手动确认处理方式后,该AK泄露事件的状态会变为已处理。

      如果选择加入白名单处理,该检测项处理状态变为已加白名单,并进入已处理列表。

      需要恢复检测时,您可从已处理列表进入AK泄露详情页,进行取消白名单操作。

    • 导出AK泄露检测报表

      单击下载图标图标,在出现导出完成提示后,单击下载,将Excel格式的报表下载到本地。

查看AK调用事件

通过查看AK调用事件,可以确定在AK泄露后AK是否被攻击者利用过,以了解AK泄露的影响范围。下文介绍通过操作审计服务查看AK调用事件的操作步骤。

  1. 云安全中心控制台AK泄露检测页面,获取需要查看的AccessKey ID。

    image.png

  2. 登录操作审计控制台

  3. 在左侧导航栏,选择事件 > 事件查询

  4. 选择类型为AccessKey ID,输入待查询的AccessKey ID,并选择查询时间段。

    image.png

  5. 查看该AccessKey ID的调用事件列表,单击目标事件操作列的查看事件详情,可查看事件的详细记录信息。

AccessKey使用建议

  • 不使用阿里云账号(主账号)AccessKey。更多信息,请参见不使用主账号AccessKey。

  • 避免直接将AccessKey信息硬编码到代码中,可通过配置环境变量的方法管理AccessKey。更多信息,请参见凭据的安全使用方案

相关文档

  • 本页导读 (1)
文档反馈