企业云上安全审计——操作审计

本文涉及的产品
对象存储 OSS,20GB 3个月
对象存储 OSS,恶意文件检测 1000次 1年
对象存储 OSS,内容安全 1000次 1年
简介: 企业信息安全与操作审计 越来越多的企业将自己的核心业务搬迁上云,在阿里云上部署了大量的IT基础设施(虚拟机、数据库等)、应用和数据,云上IT信息系统的安全至关重要。


_1


企业信息安全与操作审计


越来越多的企业将自己的核心业务搬迁上云,在阿里云上部署了大量的IT基础设施(虚拟机、数据库等)、应用和数据,云上IT信息系统的安全至关重要。而IT设施托管在云上后,对IT资源的管理、查看都需要经过和依赖云平台,那就要求云平台能支持云上IT运维的高可见性和可控性。而企业现实中就面临着来自企业内部和外部的审计需求。


操作审计追踪并记录对云上IT的管控操作日志。从企业内部的审计需求来看,帮助企业洞察来自企业内部的违规操作、鉴别正在发生的数据非法访问、通过分析异常行为发现非法攻击行为、结合操作日志复盘已发生的故障,同时也帮助企业日常查询和监控运维人员的操作。从企业外部的审计需求来看,使用操作审计才能让企业达到等保2.0等法律法规的要求。


等保2.0应用安全部分安全审计中要求企业:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要的安全事件进行审计;审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;应对审计进程进行保护,防止未经授权的中断。


阿里云操作审计


操作审计(ActionTrail)记录您的阿里云账号的活动,包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。支持将操作日志投递到您的对象存储(OSS)进行归档存储或日志服务(SLS)进行查询、分析、报警和制作监控仪表盘。


1.png


操作审计支持在控制台查询最近90天的操作日志,首先要根据资源的归属地域选择对应地域控制台,一般操作日志量比较大,建议查询时间范围选择尽量小,事件信息指定的尽量详细,可以更容易找到有价值的信息。


查询历史事件是提供给用户用于临时查询,对于任何有审计需求的用户都应该创建跟踪,将操作日志投递到自己的对象存储或日志服务中,长时间的保留操作日志(等保要求至少保留6个月),进行更详细的查询和实时分析。


应用案例


操作审计提供的功能简单易于理解。下面我们通过三个场景和具体示例,介绍如何应用操作审计帮助企业完善云上的安全审计。


监控外来入侵


某互联网公司A企业从自建IDC搬到云上后,第一个担心的问题就是云上安全,服务器、数据库会不会被入侵。A企业通过监控云上操作日志,可以快速的发现资源的异常情况。


首先、在操作审计控制台创建跟踪,监控所有地域的全部操作类型,并将操作日志投递到日志服务。


2.png
跟踪创建完成,在跟踪列表页点击日志分析,跳转到日志服务。


2-1.png


操作审计在日志服务中会自动创建两个仪表盘(一个中文,一个英文),统计操作日志的整体信息,包含事件PV、UV、事件的来源分布、事件的地域分布和事件的类型统计。


3.png


默认生成的统计图表是比较粗粒度的,用于观察事件的概况。针对入侵的监控,需要更贴合实际的细粒度监控。A企业通过观测ECS操作的地域、来源IP、userAgent变化来甄别是否受到了外部入侵。
A企业创建的入侵监控图表如下:


4.png


• A企业统计来源IP的城市,如果来自非企业所在城市,则可能是异常情况。


__topic__: actiontrail_audit_event | SELECT count(1) as pv, city FROM (SELECT "event.sourceIpAddress" AS ip, ip_to_city("event.sourceIpAddress") as city FROM log) WHERE ip_to_domain(ip)!='intranet' GROUP BY city ORDER BY pv DESC

• A企业有固定的对外的IP网段,并且要求只能在公司执行操作,通过对IP进行监控,如果有白名单外的IP产生了操作则可能是异常情况。


__topic__: actiontrail_audit_event | SELECT count(1) as pv, "event.sourceIpAddress" as ip WHERE ip_to_domain("event.sourceIpAddress")!='intranet' and "event.sourceIpAddress" != '
Internal' GROUP BY ip ORDER BY pv DESC

• A企业有自建的云管平台,统一使用terraform和JAVA语言来管理阿里云上资源。通过监控userAgent来监控外来入侵,如果出现其他userAgent那么可能是异常情况。


__topic__: actiontrail_audit_event | SELECT "event.userAgent" as userAgent, count(1) as pv GROUP BY userAgent

• A企业在云上使用了ECS和RDS,通过监控ECS的删除实例操作或者RDS的删除实例操作,来监控高危操作的情况。


__topic__: actiontrail_audit_event | SELECT serviceName, eventName, userName,count(1) as pv FROM (SELECT  "event.eventName" as eventName, "event.serviceName" as serviceName, "event.userIdentity.userName" as userName FROM log) WHERE (serviceName = 'Ecs' and eventName = 'DeleteInstances') OR (serviceName = 'Rds' and eventName = 'DeleteDBInstance') GROUP BY serviceName, eventName, userName

• A企业某次发现AK泄露,黑客使用此AK在云上进行了大量违法操作。A企业使用操作审计查询此AK操作记录,了解黑客入侵范围和破坏细节,快速恢复业务,并且作为证据进行起诉追责。


__topic__: actiontrail_audit_event and event.userIdentity.accessKeyId: 123

内部违规监控和取证


某传统企业B将业务搬到了阿里云上。在云上创建一套子账号体系,分发给不同职能部门进行使用,因为各个部门都有阿里云子账号,B企业比较担心内部员工违规操作,使用访问控制(RAM)做了权限隔离,制定了运维操作规范,也使用操作审计创建跟踪,建立监控来保障业务平稳运行。


首先,在操作审计控制台创建跟踪,监控所有地域的全部操作类型,并将操作日志投递到日志服务。
内部监控图表如下:


5.png


• B企业要求运维不可以在业务高峰期间进行机器重启等高危运维操作,B企业针对此操作规范建立统计,统计在9:00~16:00业务高峰时间段的ECS重启操作,监控运维的违规操作。


__topic__: actiontrail_audit_event and event.eventName: RebootInstance | SELECT user, time FROM (SELECT date_format(__time__, '%Y-%m-%d %H:%i:%S') AS time ,cast(date_format(__time__, '%H') as bigint) AS hour, "event.userIdentity.userName" as user FROM log)  WHERE hour > 9 AND hour < 16

• B企业不允许开发直接创建资源,需要走公司内部的审批流程后,由运维进行资源的创建。B企业针对子账号的创建操作建立统计和监控,监控非运维的越权和违规操作。


__topic__: actiontrail_audit_event | SELECT count(*) AS count, user FROM (SELECT "event.eventName" AS event, "event.userIdentity.userName" AS user FROM log)  WHERE event LIKE 'Create%' GROUP BY user

• B企业运维人员因为发泄个人私欲删除了公司数据库和服务器,导致企业服务停机半天,造成大量损失。B企业使用操作审计投递的SLS中查询导出相关子账号的操作记录,作为证据维护企业合法权益。


__topic__: actiontrail_audit_event and event.userIdentity.accessKeyId : xxx

消费操作日志


金融企业C有自建的审计监控平台,需要将操作审计与线下的审计监控平台建立连接。C企业通过在操作审计中创建跟踪,将云上操作事件投递到日志服务中,然后消费日志服务中的日志,来做自建审计平台的数据存储和事件触发。


6.png


流程如下:


7.png


操作审计投递到日志服务的日志,可以通过多种方式实时消费,完成审计和监控需求。


最佳实践


操作审计推荐用户创建跟踪将账号的操作记录同时保存到对象存储(OSS)和日志服务(SLS)中。


对象存储(OSS)的存储价格相对便宜,可以作为归档存储。建议存储至少6个月的操作日志。并开启OSS bucket的合规保留策略,设置与存储日期一致的过期时间,过期时间之前,任何用户都无法删除Object和策略。如果有加密需要,也可以开启OSS服务端加密服务。


日志服务存储的操作记录用于数据消费和分析。可以根据需要选择存储时间,如一个月。使用日志服务在线查询操作日志、制作监控仪表盘,方便快捷识别账号风险。如果企业有自建的合规审计平台,可以通过日志服务的实时消费能力,将数据导入企业的合规审计平台,统一分析管理。


总结


阿里云致力于以在线公共服务的方式,提供安全、可靠的计算和数据处理能力,让计算和人工智能成为普惠科技。操作审计致力于打造可信赖、可依靠、透明化的阿里云,让云上操作拥有可监控、可审计、可追溯的能力。操作审计除了记录阿里云账号的活动之外,还推出了平台操作日志,对用户透出了阿里云内部运维事件,让阿里云更加透明化。操作审计也在不断提升产品覆盖度,让更多的产品可以被审计。为了企业云上安全审计操作审计在行动,快来创建跟踪吧


相关文章
|
弹性计算 监控 安全
云上资源操作审计和配置审计
本方案是面向云上资源的操作审计和配置审计,提供的最佳实践。适用于企业型客户。通过最佳实践帮助客户在本场景下更好的使用阿里云,涉及到配置审计、操作审计、函数计算、SLS、OSS等服务的实践操作。
云上资源操作审计和配置审计
|
6月前
|
SQL 弹性计算 监控
构建多账号云环境的解决方案|多账号云上操作日志统一审计
操作审计(ActionTrail)是阿里云提供的云账号资源操作记录的查询和投递服务,可用于安全分析、资源变更追踪以及合规性审计等场景。企业在阿里云采用多账号的资源结构时,如何满对跨账号跨地域的云上操作日志进行统一归集留存和分析,是企业上云管云过程的必备环节。此次分享为您介绍如何使用操作审计产品进行中心化的审计,提升云上多账号操作的可控可见性,及时发现问题、响应问题,规避潜在风险。
350 0
|
6月前
|
存储 分布式计算 监控
操作审计最佳实践:将阿里云操作日志持续投递到您的 SLS/OSS
操作审计(ActionTrail)帮助您监控并记录阿里云账号的活动,包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为,记录为操作日志。 操作审计支持所有阿里云账号的免开通服务,默认为所有账号记录并存储近 90 天的日志。但在实际应用中,受法律法规和企业审计标准的要求,...
395 0
|
弹性计算 运维 监控
在 SLS 中分析ActionTrail跟踪投递日志
操作审计(ActionTrail)是阿里云提供的云账号资源操作记录的查询和投递服务,可用于安全分析、资源变更追踪以及合规性审计等场景。阿里云客户在操作审计控制台可以查看近90天的操作日志,但在实际应用中,需要普遍分析基于全Region并且90天以上的操作事件,用于一些复杂的聚合查询分析。
在 SLS 中分析ActionTrail跟踪投递日志
|
SQL 弹性计算 监控
操作审计日志分析实战一:使用 SQL 分析投递到 OSS 中的操作审计日志
操作审计(ActionTrail)是阿里云提供的云账号资源操作记录的查询和投递服务,可用于安全分析、资源变更追踪以及合规性审计等场景。 我们推荐您创建跟踪将操作日志投递到日志服务(SLS)和对象存储(OSS)中:在 SLS 中短期存储日志,用于查询分析、配置监控报警;在更低成本的 OSS 中存储更长周期的历史日志。 当您有需求查询分析历史操作日志时,您可能会苦恼于如何对 OSS 中存储的这些历史操作日志进行高效的查询和分析。本文章将引导您通过简单的配置,借助 DLA(数据湖分析)产品,实现通过 SQL 来查询和分析投递到 OSS Bucket 中的操作审计日志。
操作审计日志分析实战一:使用 SQL 分析投递到 OSS 中的操作审计日志
|
存储 监控 对象存储
操作审计最佳实践-跨账号日志收集
此文档为您介绍,当您有多个阿里云账号需要统一审计时,如何将多个账号的操作日志收集到一个账号的对象存储(OSS)或日志服务(SLS)中。
操作审计最佳实践-跨账号日志收集
|
新零售 存储 监控
阿里云操作审计 - 日志安全分析(一)
阿里云操作审计ActionTrail审计日志已经与日志服务打通,提供准实时的审计分析、开箱机用的报表功能。本文介绍背景、配置和功能概览。
4805 0
|
云安全 安全 云计算
云安全的应用与合规性:构建安全可靠的云应用和满足合规性要求
本篇深入探讨了在云环境中构建安全可靠的应用和满足合规性要求的重要性。我们首先介绍了安全的软件开发生命周期(SDLC),强调了在需求分析、设计、编码、测试、部署和运维阶段嵌入安全性的关键步骤。示例代码展示了如何在每个阶段融入安全实践。
364 1
云安全的应用与合规性:构建安全可靠的云应用和满足合规性要求
|
运维 监控 安全
网络安全设备-认识运维安全管理与审计系统(堡垒机)
运维安全管理与审计系统(俗称 “堡垒机”):是采用新一代智能运维技术框架,基于认证、授权、访问、审计的管理流程设计理念,实现对企事业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计;通过集中化运维管控、运维过程实时监管、运维访问合规性控制、运维过程图形化审计等功能,为企事业IT中心运维构建一套事前预防、事中监控、事后审计完善的安全管理体系。
997 0