日常使用的云资源中,如果由于客户API对外设计不合理、AK/SK暴露等原因,可能导致资源出现被盗刷的情况并导致资损,本文梳理针对短信服务的防盗刷的能力,以及配套的安全管理策略。
短信计费模式:
可参考https://help.aliyun.com/document_detail/44340.html
当前“国际/港澳台短信服务按照短信提交状态计费。发送后,即便运营商回执为“失败”,仍然收费。这是根据国际/港澳台运营商对短信发送都是按照“发送即收费”的规则而设定的。”
所以常见的盗刷可能发生在国际短信,并向高价值地域发送。
盗刷止血方案
删除短信模板,参考文档链接https://help.aliyun.com/document_detail/441412.html
当短信模板被删除后,就无法发送短信,采用该方案止血后,即使需要快速恢复业务,只需要申请新的短信模板,一般1小时内可以审核通过
禁用账号
参考链接 禁用RAM用户的AccessKey https://help.aliyun.com/document_detail/116806.html
防盗刷建议
设置短信发送频率和频率限制白名单
https://help.aliyun.com/document_detail/108293.html
设置短信发送总量预警
https://help.aliyun.com/document_detail/108289.html
开启验证码防盗刷监控
https://help.aliyun.com/document_detail/109102.html
以上是针对国内短信业务。
针对国际/港澳台短信业务,目前支持阈值设置和路由管理
其他防护手段
为RAM账号创建IP白名单权限策略https://help.aliyun.com/document_detail/189689.htm
针对账单的欠费或者快速消耗设置预警
设置可用额度预警 https://help.aliyun.com/document_detail/103027.html
注意:文档中有注明上述告警“提醒时间设置每日19:00:00-09:00:00内的短信会延迟发送。”
AK和账密防泄漏最佳实践 https://help.aliyun.com/document_detail/116328.html
