AK泄露了,怎么办?

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: AccessKey(包含AccessKey ID和Secret)是程序访问的凭证,无异于打开云上资源的大门钥匙,保管好AK是保障云上安全最重要的事情,甚至没有之一。

image.png

AccessKey(包含AccessKey ID和Secret)是程序访问的凭证,无异于打开云上资源的大门钥匙。一旦钥匙被拿走,不法分子可以在AK权限的范围内执行任何操作,不需要再提供其他的凭证。因此保管好AK是保障云上安全最重要的事情,甚至没有之一。尽管阿里云在控制台、在文档、在云栖大会不停地宣导AccessKey管理的最佳安全实践,用户却往往只有在密钥被盗用,造成账户欠费、资源释放、数据泄露等等问题时,才发现AK已经泄露。


>>>欢迎点击查看阿里云凭证管理与安全最佳实践专题页


一个真实的案例

image.png

日本汽车巨头丰田,在 GitHub 上公开访问密钥近五年后,近 30 万客户的个人数据可能被泄露。

2022年10月7日丰田发表声明,丰田汽车公司和丰田互联公司提供的互联订阅“T-Connect”服务的部分客户的电子邮件地址和客户管理号码,共计296,019 个号码可能已被泄露。

经查实事件源于2017 年 12 月,一家外包开发“T-Connect”网站的公司不小心将部分源代码上传到其公开设置的 GitHub 账户,违反了处理规则,但是直到 2022 年 9 月 15 日才引起注意。这部分发布的源代码包含数据服务器的访问密钥,可用于访问存储在数据服务器上的电子邮件地址和客户管理号码。


那么如果AK泄露了,怎么办?

当确认AccessKey发生泄露,这把Accesskey就已经存在被盗用的风险,只有替换掉它才能消除风险。

1.如果这是一把主账号AccessKey

那就意味着这把AK有账号下所有权限,且没有任何手段做止血封禁,唯一的办法是直接轮转AccessKey。所以我们不厌其烦地向用户强调:不要使用主账号AK。

2.如果这是一把子用户AccessKey

确认AccessKey不在使用中,可以立即禁用,观察对业务无影响后进行删除。再从以下第四步开始排查其他风险。

确认AccessKey目前在业务使用中,轮转AccessKey往往需要一定的时间,按照以下步骤先降低被盗用的影响,然后尽快完成轮转


1)尽快缩小泄露AccessKey的权限,限制高风险权限,降低业务和资费受损的风险。

明确业务场景,在不影响当前业务运行的前提下,限制高风险权限。

●将这把AK明确不需要使用的权限全部移除。

●限制的高风险权限:禁止该用户在RAM访问控制中创建新的用户、AK及授权,禁止ECS、RDS、OSS、SLS资源的释放,和禁止发送短信等权限。在AccessKey轮转或删除之前请不要解除该策略的授权。

自定义权限策略创建的方法

为用户授权的方法


2)按照最佳实践,建议账号下所有控制台访问用户开启多因素认证,降低子用户被盗用的风险。

●设置账号内用户登录控制台必须开启多因素认证。

●为用户绑定多因素认证设备。

用户登录设置

绑定多因素设备


3)轮转泄露的AccessKey。 操作方式:创建新的AccessKey,妥善保管Secret。将原AccessKey替换为新的AccessKey,验证正常运行后,禁用旧的AccessKey进行观察,直至轮换结束后删除旧AK。

轮换AccessKey详细操作


4)检查费用中心确认是否有异常的费用产生。对盗用者创建的资源进行关停、禁用,确认业务无影响后尽快释放降低资损。


5)检查泄露的AccessKey是否有异常操作行为。对相关的资源做一些数据加密、备份、释放保护等针对性地处理,同时可以联系云产品获取产品级别的一些封禁措施。

●在访问控制产品控制台查找用户的AccessKey列表,在列表中点击查看操作记录,或到操作审计控制台AccessKey审计页面直接输入AccessKeyId查询操作记录。

●OSS、SLS日志服务等数据类访问日志需要到各产品日志功能查询。

●重点关注异常的访问IP、非业务需要的资源创建或删除操作等。


6)进一步排查除了已知有泄露风险的AccessKey之外,是否有其他RAM用户和AccessKey有异常的操作行为。

●排查方式:通过操作审计查看近期的操作记录,重点关注异常的访问IP、非业务需要的资源创建或删除操作等

●若发现有异常行为,和员工确认操作非本人执行,有疑似泄露风险时,建议按以下方式处理。

○RAM用户有异常,是企业自己创建的用户需要继续使用的,建议立即修改密码并开启多因素认证。

○RAM用户并非正常创建的,或确认为闲置用户不需要继续使用的,可进行删除。RAM用户删除后会进入用户回收站,观察业务受到影响可快速恢复。

○AccessKey异常操作,参照以上方式进行限制权限后进行轮转。


还有哪些日常能做预防措施?

企业上云安全实践,请仔细阅读常记于心。

程序访问最佳实践,ECS实例角色、ACK的RRSA实例角色方案可以替代永久AK。必须使用AK时,通过环境变量减少AK的明文输入。

RAM访问控制提供了治理检测云治理中心提供了企业多账号的成熟度检测,定期查看发现治理问题及时修复。

●云安全中心的安全告警中,对可疑身份调用敏感API、AccessKey异常调用、异常的ECS资源遍历行为、黑客工具利用AK等异常调用行为有告警通知,关注告警及时发现风险。


>>>欢迎点击查看阿里云凭证管理与安全最佳实践专题页

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
7月前
|
弹性计算 安全 API
访问控制(RAM)|凭证安全管理与最佳实践
本文分享将为您介绍从访问云资源的人员/程序身份两种身份类型,介绍云上凭证的认证方式、安全风险及凭证管理的最佳实践。
102840 7
|
6月前
|
弹性计算 安全 Shell
阿里云ECS安全加固:从访问控制到数据保护的全方位策略
【6月更文挑战第29天】阿里云ECS安全聚焦访问控制、系统加固及数据保护。安全组限定IP和端口访问,密钥对增强SSH登录安全;定期更新补丁,使用防病毒工具;数据备份与加密确保数据安全。多维度策略保障业务安全。
174 15
|
6月前
|
敏捷开发 Web App开发 测试技术
阿里云云效产品使用问题之钉钉绑定主帐号和RAM 有什么区别么
云效作为一款全面覆盖研发全生命周期管理的云端效能平台,致力于帮助企业实现高效协同、敏捷研发和持续交付。本合集收集整理了用户在使用云效过程中遇到的常见问题,问题涉及项目创建与管理、需求规划与迭代、代码托管与版本控制、自动化测试、持续集成与发布等方面。
|
6月前
|
文字识别 API
印刷文字识别产品使用合集之如何创建RAM用户和阿里云账号的访问密钥
印刷文字识别产品,通常称为OCR(Optical Character Recognition)技术,是一种将图像中的印刷或手写文字转换为机器编码文本的过程。这项技术广泛应用于多个行业和场景中,显著提升文档处理、信息提取和数据录入的效率。以下是印刷文字识别产品的一些典型使用合集。
|
7月前
|
弹性计算 运维 安全
访问控制(RAM)|云上程序使用临时凭证的最佳实践
STS临时访问凭证是阿里云提供的一种临时访问权限管理服务,通过STS获取可以自定义时效和访问权限的临时身份凭证,减少长期访问密钥(AccessKey)泄露的风险。本文将为您介绍产品原理,以及具体的使用步骤。
151403 5
|
7月前
|
弹性计算 安全 API
访问控制(RAM)|云上安全使用AccessKey的最佳实践
集中管控AK/SK的生命周期,可以极大降低AK/SK管理和使用成本,同时通过加密和轮转的方式,保证AK/SK的安全使用,本次分享为您介绍产品原理,以及具体的使用步骤。
102525 5
|
7月前
|
弹性计算 安全 Shell
【阿里云弹性计算】阿里云ECS安全加固:从访问控制到数据保护的全方位策略
【5月更文挑战第22天】本文详述了阿里云ECS的安全加固策略,包括访问控制(如安全组设置和密钥对管理)、系统安全加固(如安全补丁更新和防病毒措施)以及数据保护(如数据备份、恢复和加密)。通过这些措施,用户可增强ECS安全性,保障业务安全稳定运行。
153 0
|
7月前
|
数据库 数据安全/隐私保护
在阿里云中,访问控制(Resource Access Management,简称RAM)是权限管理系统,主要用于控制账号在阿里云中
在阿里云中,访问控制(Resource Access Management,简称RAM)是权限管理系统,主要用于控制账号在阿里云中
681 3
|
7月前
|
缓存 BI
咨询下,阿里云云效ram账号绑定钉钉账号后,手机端看项目,是空的,怎么解决?
咨询下,阿里云云效ram账号绑定钉钉账号后,手机端看项目,是空的,怎么解决?
110 2
阿里云RAM角色和自定义角色
阿里云RAM角色和自定义角色
147 1