开发者学堂课程【企业运维之弹性计算原理与实践:【视频】-《ECS 进阶概念-安全》】学习笔记(一),与课程紧密连接,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/1039/detail/15317
【视频】-《ECS 进阶概念-安全》
内容介绍:
一、云安全概述
二、平台安全实践
三、主机安全实践
四、堡垒机运维安全审计
一、云安全概述
首先进行简单的介绍本课程是由阿里云专家服务团队提供的基础的课程,主要是面向类似入门级的同学,可能之前没有接触过云计算,本课程是一个0到1的课程。帮助对云计算弹性计算有一个基础的了解,帮助对云上的运维做一些基础的了解,会在学习、生活中提供一些帮助。本节课主要讲解ECS基本的安全配置,如何保障ECS的安全。主要从几个方面来讲,第一个是主机的安全,主机的安全包括很多比如安全策略的配置、系统的漏洞、云上的安全如何防护、基础的防护这是一方面,另一方面是平台的安全除了登录ECS还需要登陆阿里云的控制台,如果控制台密码泄露或者是AK泄露,可能会导致有人恶意登录到控制台将机器重置等等,会带来一些安全隐患,这方面会进行简单的介绍。接下来是ECS内部进行调优或者是安全配置包括日常用到的运维的工具,比如上次讲到可以通过ASS客户端或者是adp的客户端进行一些远程连接,这是基本的连接,如果对连接进行审计需要如何进行,这是在最后会提到的堡垒机。大概的情况是先进行安概述情况的学习,接下来讲解平台安全的配置,后面是ECS的安全介绍。
1、云安全威胁
首先云上安全的情况,在传统的IDC厂商里可能也会遇到一些问题,比如传统的主机漏洞最简单的例子是软件不可能是100%安全的会有一些漏洞,在一定的时间可能会被发现或者暴露之后,在暴露的公网或者是服务里面可能会被利用,被利用到严重一点可能是被登陆到主机上拿到权限对整个系统的安全造成非常大的威胁,除了系统层面还有很多应用层面比如web安全威胁等可能是在应用层面暴露的一些漏洞,通常在以前的机房可能会用到硬件访问权或者针对应用层自己搭一套waf或者使用脚本进行请求的过滤做这方面的配置提升安全能力,在云上做这些事情之后会进行讲解。
DDoS是非常常见的攻击,DDoS属于网络安全威胁在主机简单进行介绍后续会进行详细的讲解,DDoS是流量攻击,主要目的是利用肉机不停地给服务器发报文,用大流量将公网的能力全部堵死使公网处理不过来,比如机器有100兆带宽但是可能会导10个G的流量,100兆的流量肯定无法处理,相当于一条路被大量的汽车堵住路处于拥堵的状态,网络是一样的也会处于拥堵状态也就无法提供服务这便是拒绝服务攻击。Web层面的威胁比如提到的web shy等攻击通常属于应用层的漏洞,要彻底解决需要应用层进行代码优化这是根本的解决方式,可以自己配置类似三方的开源的waf的东西可以特殊请求,通过请求参数或者URL中的敏感字段过滤出来可以将请求拦截相当于是自建的。在云上还有一些类似于waf的产品,waf是提供的一个服务是基于大数据的深度学习,可以自动分析识别攻击进行自动拦截,但这也算是在网络上的安全,后面会进行更多的讲解。
ECS 自身是一个虚拟机,虚拟机跑在一个物理机上可能很多个虚拟机都在一个物理机上,虚拟机之间如何做到互不干扰或者是A用户的机器无法访问B用户的东西,这些在虚拟化层面会自己进行隔离包括内存的隔离、CPU的隔离都是进行完全隔离的操作,这些是在底层进行的,所以在云上不需要担心通过虚拟化或者是底层访问到其他用户数据,是不可能的,包括快删除底层是完全隔离的不同租户是完全访问不到的。云上之前快删除也有介绍存储是有加密毯的,加密毯可以通过密钥对整个盘的数据进行加密的动作,这也是安全的一个功能即可以规避一些底层安全的问题。这便是多租户的情况都是在底层做的一些动作,了解就可以平时可能会涉及不到这方面的动作,后面会在ECS层面的安全进行一些讲解。
二、平台安全实践
1、进阶概念-SSH 密钥对
首先ECS的基本配置-密钥对,之前演示的是密码的登录,密码登录是有暴力破解的攻击存在的,如果密码比较弱可以通过密码词典或者是通过枚举的方式不停地尝试将密码试出来,这是暴力破解的情况,如果密码足够复杂暴力破解的成功率会大大降低。另一种方式是ECS支持密钥对的形式,可以通过控制台生成,还可以通过命令行生成密钥存上去。密钥对采用RSA 2048的加密方式,通过密钥对登录安全性非常高,理论上通过暴力破解可以枚举出来,但是在复杂的算法上时间方面属于不可解密的情况,算的时间比较长是没有意义的机器可能不存在了,这是密钥对的形式。
密钥对通常是在客户端生成,可以在一台机器上生成一个公钥和一个私钥,将公钥存到服务端中,存到服务端的~/.ssh/authorized_keys配置文件中,存进去之后再用客户端使用私钥进行登录的操作,这便是免密登录,免密的原因是已经将密钥写入到了server里面,在本地登录的时候发送请求需要将公钥上传,使用私钥登录,相当于本地已经有私钥就不需要进行密码的输入因此可以免密。通常也会应用在一些场景中比如进行自动化的发布,通常会有CICD的工具流水线的工具,流水线的工具比如对代码进行构建,构建完成之后生成产物推送到远端组织上,通常会进行免密的配置,给出一个密钥,但是密钥需要做出一些限制,密钥可能会被赋予普通账号的权限防止密钥泄露之后拿到最高权限。可以赋予普通的权限有发布程序的权限就可以比如常见的jekens或者是其他的CICD工具部署完之后密钥可以登录到主机,将构建的产物发上去,发上去之后同时可以发布一系列命令完成部署动作。之前有推荐可以使用云助手,云助手是集成的方案是更好的方案,就不需要在使用刚刚讲到的方法,但是两种方法可以根据自己的需要进行选择。这便是密钥的一个过程,首先发送登录请求给server,登录用户有密钥登录配置信息,采用密码验证其实是在SSH配置中的,服务器里面可以指定服务器允许使用哪些方式进行验证,之后会演示如何去看,以及如何验证支持密钥。在服务端会返回支持密钥支持密码等多种登录方式,客户端会优先选择密钥会在本地的SSH文件中的目录下面会有公钥的文件,会自动通过公钥尝试登录。如果尝试登录成功就相当于验证通过,不会再去尝试后面的密码。如果尝试失败会弹出密码的登录框还可以支持密码,在密钥不通过的情况下。返回加密信息,客户端返回加密信息之后进行对比验证成功后允许登陆。如果验证失败则会发送支持密码登录是否选择密码登录。在服务端配置为了安全通常会将密码禁掉,一旦密钥登陆失败直接会返回登录报错,告知登陆失败,在上节课中有整理远程连接的报错里面有提到哪种情况的报错是只允许密钥的登录的情况,后面会统一进行演示。
2、进阶概念-SSH 密钥对实践
在密钥里面最通常的实践是通过密钥登录,一个公司可能会有几十上百个或者上千个业务,业务归属于不同的运维人员或者业务方进行维护,在这种情况下可以给不同的人分配不同的密钥,分配独立的管理员的账号。这种情况下只能让对应的业务只能执行某些权限,可以进行精准控制即禁止A业务的人登录B业务的机器,可以给不同的业务团队划分权限划分账号,这是最简单的应用。可以看到一个团队只负责了A业务,不会允许访问C业务只能访问A业务和B业务,将密钥加到机器里面便可以访问机器。通常在运维时会看到不会只有少量的机器可能会有上百台机器,在这种情况下管理密钥有很多种情况可以结合OOS,OOS是自动化运维编排模板,可以自动的在创建主机的时候给主机打Tag,Tag可以用来标志A业务和B业务,比如将10台机器打一个Tag作为A业务,另外10台机器打一个Tag作为B业务,在进行OOS时可以选择根据Tag执行自动的脚本,给机器分发独立的密钥。比如OOS可以设一个周期的任务定时给主机检查密钥,如果没有密钥则下发下去,这便是自动管理的场景。
3、进阶概念-数据安全
通常在安全中会遇到很多的安全隐患比较常见的有勒索病毒,可能是主机存在漏洞被利用了,攻击者可能拿到比较高的权限登录到主机内部,主机内部可能执行加密的程序,勒索数据是将关键的数据进行加密的动作,加密之后正常的业务无法使用,加密算法加密的密钥可能是自创的,想要解密出来无法实现,加密之后业务会不正常可能会留一些信息在主机内部告知需要转账多少才可以解密之类的,可能会出现类似的情况这便是勒索病毒。
这种情况在云上应对,在云上提供了基本的情况即之前讲的快照,快照可以自定义快照策略,比如每天凌晨进行快照将磁盘的数据进行保留,这是最简单的动作,保障在数据异常之后有最近的快照可以用来进行回滚,这是ECS提供的。安全产品也提供了一些功能比如安检室提供了防盗锁的功能,原理也是备份,但是备份不是使用快照的备份是使用的另外一个备份的工具,将设定好的目录需要备份的内容上传到备份服务器中。如果出现勒索病毒数据被加密也可以通过备份恢复,勒索病毒解密的可能性非常小,不要想事后做数据解密,需要事前做很多安全解密的动作包括数据备份是一方面是由安全隐患带来的,另一方面是运维人员会进行误操作,误操作的规避之后会进行讲解,可能会有一些误操作将一些关键的数据执行参数命令,网上会有一些案例比如RM-RF将根目录删除,删除之后相当于整个系统盘的东西,整个主机的东西都不存在了,如果有快照这种情况可以恢复。提前进行快照也可以将磁盘进行恢复,需要进行事前的动作,最好的安全防护是做到事前安全配置,并不是事中或者是事后进行处理,那时就已经晚了。
快照在创建之后可能会有一些担心,比如可用序结束是否快照也会结束,当然可用序结束的可能性比较小,在这种情况下快照提供了异地的复制功能。快照策略在创建快照的同时可以进行配置,快照创建完成后可以复制到另一个地域,可以进行异地的备份,这也是自动的功能。另一种情况是快照创建之后不想让快照回滚到磁盘上,因为回滚之后增量数据也会回滚覆盖掉,这种方式可以用快照创建一个新的云盘,将云盘挂载到ECS上,作为数据盘挂上去可以单独的将里面的数据拷贝出来。
没有其他机器如果是系统化镜像可以创建成镜像,如果是系统化快照可以创建成镜像,用镜像可以新开一个机器,可以将数据拷出来。比如凌晨创建的快照业务还在运行后面新增的数据回滚之后新增的增量可能会没有,所以这种方式也可以将数据拷出来,这是多种的方式,根据自己创建快照的情况创建频率,创建快照的过程中不需要担心在创建快照的时候增量的数据快照记录哪一时刻的数据,在创建快照时指令下到底层时,底层的执行快照是非常快的,从1%到100%的进度是在传OOS,只要看到底层快照进度是1%,数据就已经定格在那个时刻,后续再写的东西都是不会记录到快照里面的,而且看到进度大于1%的时候快照就已经完成,后面的步骤都是在OSS里面传输,快照是存在OSS中的,看到1%之后便可以对数据进行动作,不需要等到100%,这是常遇到的误区即是否需要等到100%之后再去进行操作,是否会影响快照,这些不需要进行担心。这便是数据安全的情况主要是快照的备份方式
4、进阶概念-RAM 访问控制
之前有介绍ECS可以设置安全组,哪个端口可以访问哪个端口不可以访问,这是ECS层的控制,平台上也会有很多控制的策略,比如之前提到的一个公司有很多个业务部门,业务部门都会有登录阿里云控制台的诉求要去管理机器比如重启等,这时需要做一些限制比如用户1的机器不允许其他用户重启或者是释放,一旦操作错误释放是无法找回的,因此在云上提供了一套完善的账号管理体系,比如有RAM子账号的管理体系,可以给不同的人创建不同的子账号,子账号有多种方式进行权限控制,比如单独绑定自定义策略或者是系统策略,系统策略是系统提供的默认的策略,比如ECS有只读权限或者是所有权限可能分为两个,自定义策略是根据业务需要自己写的策略,默认策略是只读和所有两个权限,更细化的操作比如ECS只允许存写或者是只允许用户对ECS进行重启或停止、启动等操作可以限定,其他的释放可以进行拦截不能进行释放。
这是精细化到接口的层面,ECS会提供一些openAPI策略的接口,控制台在管理ECS时也调用openAPI,设计好策略之后可以精细到每一个接口,像重启、创建、释放都是单独的接口,所以可以精细化到接口层面进行限制即允许做什么动作,这是一方面即单独给用户增加策略。也可以创建用户组比如一个业务团的同学可以创建成一个组,可以在组内授予策略即系统策略和自定义策略,可以将策略关联到用户组,当需要时可以将一批用户加到一个组中,一批用户都会有管理的权限,这是批量管理的方式。策略不仅是针对接口层面的限制,有的用户的IP也可以进行一些限制,比如用户是固定的IP登录阿里云控制台也可以针对IP地址设限制即哪些IP允许子账号登录哪些IP不允许登陆,这些都可以在自定义策略中写,策略之后会统一进行演示。RAM不仅支持ECS像SIB或者是RDS、OSS都可以通过子账号进行权限管理,子账号的目的是将权限最小化。最开始时阿里云是一个主账号,主账号有所有的管理权限,子账号可以分配只能访问ECS的产品或者是账号只能用于OOS的连接进行权限最小化的控制,即使有一些东西不小心泄露或者是其他业务的控制范围可以控制在最小化的范围,AK需要进行比较保险的管理不要通过AK泄露,通常泄露会出现在因为AK是在代码中的,可能会在公开的仓库提交公开的项目,不小心没有将AK隐藏掉放到了号上面,因为公开的项目所有人都可以访问到,看到像是AK就会打开尝试一下,发现可用就会很危险。当然也有很多安全措施针对AK泄露也会和gethp打通,如果在gethp上提交了敏感的AK信息是可以扫描获取到的,在后面的中心会给出告诫提醒比如AK可能被提交到了哪个仓库里面,可能会给告点信息。
RAM的特点是可以集中管理可以画权限权限策略或者是权限组之类的去做统一的访问管理,除了权限的控制之外划分的很细一方面是为了精细化的管理权限,另一方面是进行集中审计的过程,哪些账号做了什么操作其实在审计的时候默认90天的操作日志,即在控制台点了什么或者是重启了什么机器,在接口上进行了什么动作都是可以有审计日志。将权限划到最小化之后可以最快的找到账号是分给谁的,通常给一个人分配不同的账号公共账号无法说清账号是谁做的,这也是为了进行审计的功能。
可以有 STS 临时授权的方式控制任意云产品的访问,临时授权即AK是一直有效的但停用或换AK成本较高,STS是可以先调接口生成临时授权的AK,AK可能会在10分钟之后失效,可以设置有效期,拿到token之后,可以拿token去做一些事情,但是token过一段时间会失效,需要重新获取新的token,拿到这种情况可以最小化的避免AK泄露,泄露了可能10分钟便会失效。ECS和RAM的策略非常紧密,ECS前面提到了云数据在ECS内部可以通过免AK的方式访问接口,免AK可以将RAM的角色授予ECS,ECS可以通过云数据拿到临时的token,在ECS中拿到token可以调接口,用临时的token访问接口相当于实现了免密的管理,STS也有失效的时间,获取之后每次都要获取最新的STS,这是比较高级的应用ECS中,通常用AK会用的比较多,这种通过免密的方式也可以防止AK的泄露,这便是操作审计。
需要提醒子账号只有资源管理的权限,没有资源的所属权限,资源都是属于主账号的,账号下的ECS、RDS或者其他的云资源全都属于主账号,不属于任何子账号,这些在后面的使用可能会用到比如需要给ECS进行重启或者其他的动作,可能提取了KS但是需要授权,授权的时候子账号没有授权的权限,因为子账号不是资源的所属账号,所以不允许子账号直接授权进行操作。通常需要主账号给子账号进行授权,告知子账号可以对ECS进行授权申请,所以才会允许提交授权,在进行KS的时候会遇到客户ECS无法启动,可能是系统内部问题或者是其他的,需要提供权限进行授权允许进行重启,这便叫做授权,普通的子账号没有授权的权限,需要主账号先给一个授权,因为主账号是资源所有的。
三、主机安全实践
1、RAM 权限管理
之前有提到权限管理自定义策略和系统策略以及可以控制user和角色对云产品的权限,之前也有提到STS的token即先给账号绑定一个角色,在使用STS token的时候,角色中可能会关联很多权限,即用角色申请STS token之后STS token会拥有角色里面赋予的权限,这是申请的临时访问令牌可以看一下流程其实是用户的管理,创建一批用户,统一给到赋予权限是一个实体身份对应可能是一个员工或者是业务系统的调用。
像RAM角色的身份是一个虚拟的身份没有实体的用户,在实际使用的时候需要有实体的用户去扮演角色,实体的用户像之前提到的子账号每一个子账号都到申请临时的token去扮演角色执行相关的操作,这个操作在操作审计中可以审计到,审计中可能会看到是哪个用户扮演了什么角色临时的token是什么样的都是可以审计到的。即放一个角色一个用户想要申请这个角色,拿到权限之后会分到一个临时token,在调用阿里的API进行管理,大概是这样的角色情况,角色用的比较多因为角色比较灵活一些可以免密登录免AK的管理等,安全性会高一些,临时的token不需要害怕账号泄露,因为临时的token会进行过期的刷新。可能有的客户会自己有一套业务的系统,可能需要和和本地的ADB或者是其他的账号管理体系,可能需要做一些对接认证或者是本地有一套运维系统简单的说客户端本地有一套运维系统,运维系统可能需要管理云上的资源,在管理的时候运维系统并不是阿里云的子账号,第一个可以通过角色扮演让运维系统中有一些用户可以管理ECS,可以颁发临时 token。可以直接使用云上的资源,这也是RAM的一些基础应用。
2、RAM 自定义策略
首先自定义策略的基本格式,基本格式是一个json,大概表示的框架是版本号、授权语句,授权语句中可以写多条授权、禁止,Action即API对应的操作名称,资源即对象要操作哪个ECS或者是允许操作哪台RDS填写对应的事时间ID,条件可以是IP地址,只允许这个IP地址过来的请求进行访问,大概的框架便是这样,使用JSON的方式编写,之后会统一进行演示。
提供了图形化去做创建规则,图形化可以在控制台里面比如脚本剩下的是可视化,可视化比较简单可以选ECS也可以选RDS,可以自己选择很多产品,操作中对应的选进行什么操作,效果是选择允许或者拒绝,也可以指定资源或者是全部资源,全部资源对应的是“Action”:“Allow”是用*进行表示的所有的ECS。除了这种限制还可以指定regern资源,指定哪一个都可以进行限制,后面是添加的IP的限制acs:Sourcelp ipAddress 1.1.1.1都是可以在控制台上面可视化完成。
3、DDoS 基础防护
DDoS在云上提供了基础的防护能力,这是大流量攻击,这种攻击只能靠带宽硬抗,将流量全部清洗过来将识别到的正常流量放行过来,将流量全部转换掉,大概是这样的过程。Ecs最大提供5G的防护,最大的理解ECS有很多规格或者是地域防护的水位,因为如果靠大流量攻击进行防护就是使用流量硬抗,带宽需要运营商购买,运营商购买如此大的带宽成本非常高,这便是为什么最大是5G。还需要看地域的水位、ECS的规格统一的是动态的算法,可以自己在云端的控制台查看,这是基础的防护。超过基础的防护假设是5个G但是攻击来了10个G无法防护,之前提到有个黑洞将ECS的流量引到黑洞里面,相当于ECS所有的公网流量都是不可访问的,如果要防护只能使用高防的产品或者是将业务迁到其他机器上,迁到其他机器上也会有风险,比如业务是域名将域名到新的ECS,攻击的流量可能通过域名过来,新的ECS很快又会打入到黑洞。当然还有一种情况是攻击不是持续的,攻击方发起如此大的流量也是需要成本的,有的攻击会抓住一些特点云厂商检测到流量攻击大于阈值会加入黑洞,会一直盯住状态,先打一下损失的大流量攻击进黑洞,进黑洞之后可能需要很多个小时才能解封,在此期间可能不会发起攻击就等IP通过之后再进行操作,这样会节约成本。将域名解析到新的ECS可以使用甚至可以用很久,掉线之后可能又会被攻击,可能会有这样的攻击方存在。最好的防护除了基础防护如果经常被攻击建议结合高防的产品。通常在传统的IDC层面会加一层防火墙也是进行流量清洗,相当于有DDoS流防护集群,将流量引到集群中做可疑流量的清洗,清洗完成之后将正常流量放行到ECS,这便是在云盾做的事情。高防的成本比较高,高防的价格会比较高因此不提供实验,看一下相关的基础防护就可以。
4、基础安全服务
除了 DDoS 的防护,云上还包括了主机安全防护,主机安全是云安全中心,云安全中心的前身是安骑士,提供的是在买ECS的时候会有一个选项是否要选择安全加固,如果勾选了安全加固在创建ECS的时候会自动将安骑士的客户端安装到系统中,客户端会在机器类进行定期的安全扫描,进行一些可疑命令的执行,可能会在hok里面迁入hok的函数,在link中进行一些检测比如打开浏览器文件,文件有什么异常都是在内核中进行的,通常执行文件可能要调用excuq的函数,可能在函数中会加一些代码检测到在执行可疑文件,可疑文件会和云上进行匹配,比如有一些安全社区会收集大量的安全数据,比如文件的MD5文件,当值是匹配的时候会认为文件是一个可疑文件,会进行拦截。
或者是之前遇到的挖矿的东西,挖矿是一样的在入侵到机器内部之后会执行挖矿的程序即帮助进行扩散,挖矿最明显的动作是服务器变卡顿可能看到CPU被打满,在PS可能通过了藏过的秘密可能无法查看到可疑进程,高级一些可能会将内核函数篡改调,比如在PS中看不到进程以及在top里面看不到CPU使用率,这些更高级的是在内核中做的,这些在安骑士中是可以检测到的,在安骑士中内核的调用站的行为上在内核层面抓一些异常行为,一些隐藏动作都是可以监测到的,篡改系统调用是可以分析出来的,这是比较高级的。通常挖矿的病毒可能比较简单,可能只是将CPU占用起来做一个简单的守护进程,可能进行定时检查,检查进程异常不存在,重新拿起来,或者是在精细类在植入一个守护进程即定期检查挖矿进程是否存在,如果不在会进行拉起,这时就形成了一个环,环中可能有一个进程守护另一边有crown tab,这便是可疑进程之间是环环相扣的,检测不在时相互进行拉起。
通常将主机Q掉之后CPU可能会短暂恢复正常,过段时间计算又被拉起,这是因为里面有其他的可疑进程。在清理不掉的情况下最好的办法是重装系统比较快一点,如果业务允许或者有时间进行分析也可以慢慢查找,查看进程启用的调用电路,安检室中会显示异常进程的调用链,调用链是附近城市谁发起调用的,或者是crown tab的安检室里面有攻击的分析,之间会有什么样的链路以及关系都会进行分析。根本原因是系统存在一些漏洞被利用才会有可乘之机,因此根本原因要从业务系统或者是软件层面查看存在的漏洞。在安骑士中会进行定期的扫描,可以看到待处理漏洞有多少个,这些会周期进行扫描告知机器里存在哪些漏洞,可能会包括ECS里面的漏洞比如Windows需要更新的补丁,一定要注意要在事前将漏洞修复掉,事后是审计排查的动作,事后再进行一些恢复可能非常困难,这是主机安全的层面。
5、操作审计
接下来学习操作审计,操作审计之前也多次提到,操作审计的目的是追踪所有的账号下所有的产品在控制台上做的操作或者API执行的操作,将操作日志记下来谁做了什么动作,通过API或者控制台或者是SDK&CLI工具或者其他的服务角色调用云上资源比如要操作ECS重启都会在审计里面记录下来,默认进行90天的日志保存,在90天之内通过控制台查询日志。如果对审计有一些比较高的要求可能会做一些等保的合规的能够保留6个月的日志,这些都是可以的。审计功能也提供了一些日志比如可以对日志做一个跟踪可以投递到OSS或者是SLS里面进行持久的存储,对存储时间没有限制,后面两种会收一些存储的费用,日志不特别大默认提供90天,超过90天之后需要自己保存到其他地方。基于成本考虑可以定期存储到OSS下载到本地或者清除掉,根据自己的诉求而定。有一个操作误区比如登录到服务器操作为什么无法看到,操作审计是平台层面的一个审计,是对云上资源通过API通过控制台做操作时的一些审计工作,SSH 是不经过平台的一些接口或工具连接,是通过主机直接登陆的协议登录的不在审计中。如果对操作机器进行审计可能需要结合主机内部的云日志上的工具进行一些审计或者是后面的堡垒机进行审计。平台运维是一样的不管是谁委托只要通过API通过控制台都会在操作审计中展现,通常会有读写事件、数据事件或者平台运维的事件。这便是操作审计。
