企业上云如何对SLS日志审计服务进行权限控制

本文涉及的产品
对象存储 OSS,20GB 3个月
对象存储 OSS,恶意文件检测 1000次 1年
对象存储 OSS,内容安全 1000次 1年
简介: 日志审计是信息安全审计功能的核心部分,是企业信息系统安全风险管控的重要组成部分。SLS的日志审计服务针对阿里云的多种云产品(Actiontrail、OSS、SLB、RDS、PolarDB、SAS、WAF等)提供了一站式的日志收集、存储、查询、可视化和告警能力,可用于支撑安全分析、合规审计等常见应用场景。

一、背景

日志审计简介

日志审计是信息安全审计功能的核心部分,是企业信息系统安全风险管控的重要组成部分。SLS的日志审计服务针对阿里云的多种云产品(Actiontrail、OSS、SLB、RDS、PolarDB、SAS、WAF等)提供了一站式的日志收集、存储、查询、可视化和告警能力,可用于支撑安全分析、合规审计等常见应用场景。

image.png

日志审计的特点:

  • 中心化采集
  • 跨账号:支持将多个主账号下的日志采集到一个主账号下的Project中。
  • 一键式采集:一次性配置采集策略后,即可完成跨账号自动实时发现新资源(例如新创建的RDS、SLB、OSS Bucket实例等)并实时采集日志。
  • 中心化存储:将采集到的日志存储到某个地域的中心化Project中,方便后续查询分析、可视化与告警、二次开发等。
  • 支持丰富的审计功能
  • 继承日志服务现有的所有功能,包括查询分析、加工、报表、告警、导出等功能,支持审计场景下中心化的审计等需求。
  • 生态开放对接:与开源软件、阿里云大数据产品、第三方SOC软件无缝对接,充分发挥数据价值。


日志审计服务提供了统一的管理界面,便于用户能够便捷地进行云产品日志的采集配置。该页面提供了对于多种云产品审计日志采集开关、存储方式(区域化/中心化)、TTL、是否开启威胁情报检测等功能。

image.png

企业上云后面临的权限问题

众所周知,主账号拥有该账号下所有资源的所有权,可以对该账号下对所有资源进行配置修改。企业上云后,特别是一个公司多个部门或者多个业务线进行开发的场景,如果都使用主账号操作,风险是非常高的。而RAM则为企业解决上述问题,提供了一套简单的统一分配权限、集中管控资源的安全资源控制体系。

企业上云后,面临的一些常见的权限管控问题:

  • 存在多用户协同操作,RAM用户分工不同,各司其职。
  • 云账号不想与其他RAM用户共享云账号密钥,密钥泄露风险较大。
  • RAM用户对资源的访问方式多种多样,资源泄露风险高。
  • 某些RAM用户离开组织时,需要收回其对资源的访问权限。


企业上云后,可以通过创建、管理RAM用户,并控制这些RAM用户对资源的操作权限(权限最小分配原则),从而达到权限控制的目的。而日志审计服务作为云上日志安全审计的控制中心,是云上日志合规的配置入口,安全性至关重要。同样的,我们也可以合理的利用RAM达到权限控制目的。

二、日志审计最佳实践

为了利用RAM对日志审计服务进行权限控制,首先需要明确日志审计场景下涉及的资源:

  • 中心Project:slsaudit-center-${uid}-${region}
  • 区域Project:slsaudit-region-${uid}-${region}


权限控制涉及的账号类型及权限,按权限从大到小顺序:

  • 主账号:
  • 权限:天然拥有对APP、Proejct资源所有控制权限。
  • 使用场景:不建议直接使用。
  • 拥有日志审计写权限的子账号(首次开通):
  • 权限:
  • 使用场景:可以对日志审计进行首次开通及后续配置变更。
  • 拥有日志审计写权限的子账号(非首次开通):
  • 权限:
  • 系统权限策略:AliyunRAMReadOnlyAccess/AliyunSTSAssumeRoleAccess。
  • 自定义日志审计写最小权限:需要拥有日志审计APP查看、配置权限,可以查看日志审计project下的数据。
  • 使用场景:日志审计开通后,可以对日志审计进行相关的配置变更。
  • 拥有日志审计只读权限的子账号:
  • 权限:
  • 系统权限策略:AliyunRAMReadOnlyAccess/AliyunSTSAssumeRoleAccess。
  • 自定义日志审计只读最小权限:需要拥有日志审计APP查看权限,可以查看日志审计project下的数据。
  • 使用场景:适用于一般权限的开发者。仅可查看日志审计配置,及Project中的数据。

三、RAM子账号日志审计操作的最小权限

1、自定义日志审计写最小权限

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetApp",
                "log:CreateApp"
            ],
            "Resource": [
                "acs:log:*:*:app/audit"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:Get*",
                "log:List*",
                "log:CreateJob",
                "log:UpdateJob",
                "log:CreateProject"
            ],
            "Resource": [
                "acs:log:*:*:project/slsaudit-*"
            ]
        }
    ]
}

2、自定义日志审计只读最小权限

相对于“自定义日志审计写最小权限”,去掉了"log:CreateApp" "log:CreateJob" "log:UpdateJob" "log:CreateProject"等权限。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetApp"
            ],
            "Resource": [
                "acs:log:*:*:app/audit"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:Get*",
                "log:List*"
            ],
            "Resource": [
                "acs:log:*:*:project/slsaudit-*"
            ]
        }
    ]
}

四、操作步骤

1、创建第三部分中提到的权限

例如创建名为audit_test的权限策略。

image.png

RAM访问控制

RAM访问控制/权限策路管理

理/audittest

audit_test

概微

人员管理

基本信息

用户组

策咯名称

版本号

v31

用户

audittest

策晰类型

自定义权限簧略

备注

设置

版本管理

引用记录

策略内容

SSO管理

权限管理

修改簧路内容

授权

"version":"1",

权限算路管理

"Statement":

+1000

RAM角色管理

"EFFECT":"AILOW"

"Action":[

OAuth应用管理(公测中)

Log:GetApp"

"Log:CreateApp"

8Ga

"Resource":[

"acs:Log:*:*:app/audit"

S一

HEFFECT":"AILOW"

2、按照第二部分的权限列表,对子账号进行授权

image.png

3、登陆子账号进行审计操作

五、通过权限否定控制

本文第三部分提到的“RAM子账号日志审计操作的最小权限”,主要是正向出发,尽可能地限制子账号权限。但是某些场景下,子账号希望拥有SLS较大的权限,但是需要把日志审计APP配置权限排除在外,这时候就需要使用RAM的权限否定功能。详细的权限配置如下:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "log:CreateApp"
      ],
      "Resource": [
        "acs:log:*:*:app/audit"
      ]
    },
    {
      "Effect": "Deny",
      "Action": [
        "log:CreateJob",
        "log:UpdateJob",
        "log:CreateProject"
      ],
      "Resource": [
        "acs:log:*:*:project/slsaudit-*"
      ]
    }
  ]
}

例如,授予了子账号AliyunLogFullAccess权限,子账号会拥有全部的SLS权限。但是想收回审计APP配置权限时,可以添加自定义否定策略。

image.png


相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
15天前
|
XML 安全 Java
【日志框架整合】Slf4j、Log4j、Log4j2、Logback配置模板
本文介绍了Java日志框架的基本概念和使用方法,重点讨论了SLF4J、Log4j、Logback和Log4j2之间的关系及其性能对比。SLF4J作为一个日志抽象层,允许开发者使用统一的日志接口,而Log4j、Logback和Log4j2则是具体的日志实现框架。Log4j2在性能上优于Logback,推荐在新项目中使用。文章还详细说明了如何在Spring Boot项目中配置Log4j2和Logback,以及如何使用Lombok简化日志记录。最后,提供了一些日志配置的最佳实践,包括滚动日志、统一日志格式和提高日志性能的方法。
128 30
【日志框架整合】Slf4j、Log4j、Log4j2、Logback配置模板
|
1月前
|
XML JSON Java
Logback 与 log4j2 性能对比:谁才是日志框架的性能王者?
【10月更文挑战第5天】在Java开发中,日志框架是不可或缺的工具,它们帮助我们记录系统运行时的信息、警告和错误,对于开发人员来说至关重要。在众多日志框架中,Logback和log4j2以其卓越的性能和丰富的功能脱颖而出,成为开发者们的首选。本文将深入探讨Logback与log4j2在性能方面的对比,通过详细的分析和实例,帮助大家理解两者之间的性能差异,以便在实际项目中做出更明智的选择。
232 3
|
1月前
|
Web App开发 存储 监控
iLogtail 开源两周年:UC 工程师分享日志查询服务建设实践案例
本文为 iLogtail 开源两周年的实践案例分享,讨论了 iLogtail 作为日志采集工具的优势,包括它在性能上超越 Filebeat 的能力,并通过一系列优化解决了在生产环境中替换 Filebeat 和 Logstash 时遇到的挑战。
|
1月前
|
存储 缓存 关系型数据库
MySQL事务日志-Redo Log工作原理分析
事务的隔离性和原子性分别通过锁和事务日志实现,而持久性则依赖于事务日志中的`Redo Log`。在MySQL中,`Redo Log`确保已提交事务的数据能持久保存,即使系统崩溃也能通过重做日志恢复数据。其工作原理是记录数据在内存中的更改,待事务提交时写入磁盘。此外,`Redo Log`采用简单的物理日志格式和高效的顺序IO,确保快速提交。通过不同的落盘策略,可在性能和安全性之间做出权衡。
1637 14
|
1月前
|
开发工具 git
git显示开发日志+WinSW——将.exe文件注册为服务的一个工具+图床PicGo+kubeconfig 多个集群配置 如何切换
git显示开发日志+WinSW——将.exe文件注册为服务的一个工具+图床PicGo+kubeconfig 多个集群配置 如何切换
39 1
|
1月前
|
Python
log日志学习
【10月更文挑战第9天】 python处理log打印模块log的使用和介绍
34 0
|
1月前
|
数据可视化
Tensorboard可视化学习笔记(一):如何可视化通过网页查看log日志
关于如何使用TensorBoard进行数据可视化的教程,包括TensorBoard的安装、配置环境变量、将数据写入TensorBoard、启动TensorBoard以及如何通过网页查看日志文件。
200 0
|
1月前
|
存储 分布式计算 NoSQL
大数据-136 - ClickHouse 集群 表引擎详解1 - 日志、Log、Memory、Merge
大数据-136 - ClickHouse 集群 表引擎详解1 - 日志、Log、Memory、Merge
42 0
|
1月前
|
缓存 Linux 编译器
【C++】CentOS环境搭建-安装log4cplus日志组件包及报错解决方案
通过上述步骤,您应该能够在CentOS环境中成功安装并使用log4cplus日志组件。面对任何安装或使用过程中出现的问题,仔细检查错误信息,对照提供的解决方案进行调整,通常都能找到合适的解决之道。log4cplus的强大功能将为您的项目提供灵活、高效的日志管理方案,助力软件开发与维护。
54 0
|
2月前
|
Java
日志框架log4j打印异常堆栈信息携带traceId,方便接口异常排查
日常项目运行日志,异常栈打印是不带traceId,导致排查问题查找异常栈很麻烦。

相关产品

  • 日志服务