网络安全视角:从地域到账号的阿里云日志审计实践

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
可观测可视化 Grafana 版,10个用户账号 1个月
Serverless 应用引擎免费试用套餐包,4320000 CU,有效期3个月
简介: 日志审计的必要性在于其能够帮助企业和组织落实法律要求,打破信息孤岛和应对安全威胁。选择 SLS 下日志审计应用,一方面是选择国家网络安全专用认证的日志分析产品,另一方面可以快速帮助大型公司统一管理多组地域、多个账号的日志数据。除了在日志服务中存储、查看和分析日志外,还可通过报表分析和告警配置,主动发现潜在的安全威胁,增强云上资产安全。

1. 为什么要进行日志审计?

日志集中审计分析是现代信息安全管理中的关键组成部分,将来自不同地域、不同账号甚至不同云产品来源的日志数据进行集中化处理和分析,能够打破“信息孤岛”,更好地检测和响应安全威胁,实现更全方面、深层次的安全洞察

1.1 法律强制规定

除此之外,企业或组织主动进行日志审计服务厂商按照相关标准提供日志分析产品也是法律的强制性要求。例如《网络安全法》第二十一条第三小节中明确规定“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月"。《网络安全法》第二十三条还要求,“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供”。2023 年 7 月 3 日,国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会等部门更新了《网络关键设备和网络安全专用产品目录》,已经将日志分析产品列入网络安全专用产品目录。

 image.png




2. 如何选择日志服务产品?

2.1 阿里云SLS 获取网络安全专用产品认证

网安法规不断完善

随着计算机信息安全的不断发展和网络安全法律法规的持续完善,网络安全专用产品认证制度已经取代了计算机信息安全销售许可证制度,日志分析产品也纳入了网络安全专用产品的范畴,其市场准入也接受网络安全法及相关技术标准的强制性监督。

 image.png




网安认证检索

阿里云简单日志服务(SLS),经由《信息安全技术 网络安全专用产品安全技术要求》(GB 42250-2022)及与之相配套的、针对日志分析产品类别的国家标准《信息安全技术 日志分析产品安全技术要求(GA/T 911-2019)标准认证和检测,可为用户提供中心化的日志存储及分析能力。SLS 下日志审计应用,提供跨地域、跨账号下日志多中心存储审计功能,可以更高效、合规地满足用户日志采集和分析需求。

下图为 SLS 在网络关键设备和网络安全专用产品安全认证和安全检测结果检索平台获取的检索结果。


image.png



2.2 日志审计能够解决的客户问题和带来的业务收益

可拓展性:能够自动化实现多种主流云产品日志的跨账户、跨区域的自动化采集,自动拓展新增账号和新增实例。

操作效率:通过简单页面配置或几行 API 代码,减少了调试时间和错误率,提高了部署速度。

高可见性: 通过单一日志审计管理界面,查看部署的采集规则,提供了对日志采集的全面可见性,便于团队之间、跨团队协作。

可维护性:降低了用户侧维护自定义工具的负担,使团队能够更专注于核心业务,避免繁琐的维护工作。

接下来,我们将开启全新的日志审计之旅,探索如何基于日志审计进行中心化日志管理及安全洞察。

3. 日志审计概览

3.1 工作原理

日志采集与发现基于采集规则展开。首先,用户在采集规则中指定需要采集的云产品名称日志类型,然后审计服务基于资源匹配模式自动发现需要采集的实例,将日志采集到默认的日志库中,最后按照用户的中心化配置多账号配置进行数据加工汇总。详细工作原理请参见文档

 image.png

3.2 功能详情

日志审计(新版)基于阿里云简单日志服务平台,除了日志查询、分析、存储、加工、投递、消费、告警、可视化等能力外,还支持以下功能:

  • 云产品覆盖范围:覆盖阿里云多种主流云产品及其日志类型接入,例如 OSS、VPC、CLB、RDS、WAF 等。
  • 日志自动化采集:支持自动化采集用户云产品日志,包括日志的自动化写入和包括日志采集范围的自动化适配。
  • 采集规则可编排:支持三种资源选择模式对云产品资源范围进行采集设定:全部资源、实例模式过滤资源、属性模式过滤资源。
  • 数据跨区域汇总:通过数据加工功能实现日志数据的跨地域汇总,从而实现日志集中化统计分析。
  • 支持多日志中心:日志只需接入一次,即可根据规则配置,通过数据加工汇总到多个日志库目标。
  • 支持资源目录多账号功能:管理员或委派管理员可以通过配置多账号采集,将成员账号的所有日志汇总到管理员或委派管理员下。

3. VPC 流日志最佳实践

假设我们是一个全球电商团队,我们的多组业务横跨全球多个地域,例如国内如北京、上海等地域,国外如新加坡、马来西亚等地域皆部署相应的业务。这些业务的工作负载部署在对应地域下各个专属的 VPC 中。下面我们将以一个运维人员的身份视角,亲自上手日志审计下 VPC 流日志的采集和应用。

VPC 流日志能够记录进出虚拟私有云(VPC)的网络流量,采集 VPC 流日志:

  • 一方面,可以帮助用户了解内网的使用情况,帮助优化网络架构和提高性能,识别流量瓶颈、过度使用的资源或不必要的流量。
  • 另一方面,通过详细的流量记录,网络管理员可以快速定位和解决问题,及时发现和响应入侵行为或潜在的安全威胁
  • 最后,采集、存储 VPC 流日志也是国内外许多法律法规(例如网络安全法、GDPR、PCI-DSS 等)的强制要求。

下面我们将以 VPC 流日志的采集和汇总为例,介绍如何基于日志审计(新版),进行快捷、高阶的 VPC 流日志采集和功能管理。

3.1 日志接入

VPC 流日志多中心汇总

需求详情

  • 自动管理要求: 自动化开启满足相关条件的 VPC 实例的流日志,当 VPC 新增或条件变化时,自动适应。
  • 跨境合规要求: 需要将国内的 VPC 流日志采集到上海中心,将国外的 VPC 流日志采集到新加坡中心(跨界合规)。
  • 成本优化要求: 出于节省成本的考量,需要仅开启生产业务的 VPC 流日志,测试环境业务无需开启。

 image.png



操作步骤

  • 指定日志类型:本规则采集日志类型为 VPC 流日志
  • 限定采集对象:我们将分别创建两个规则,一个规则负责采集国内地域的 VPC 实例,如杭州、上海等,另一个规则负责采集国外地域的 VPC 实例,如新加坡等。同时我们通过属性模式资源标签的方式限定采集对象为生产环境(env:production)的 VPC。
  • 配置中心化目标:按照需求,需要将国内日志采集到上海中心,将国外日志采集到新加坡中心,在对应的规则中分别配置中心化目标即可。

 image.png



补充说明:除了属性模式(支持按照地域和标签进行过滤)外,日志审计还支持全选模式(即采集账号下全部云产品实例)以及实例模式(用户枚举需要采集的实例),灵活控制云产品日志采集。

VPC 流日志跨账号监控

在一个大型公司中,不同部门或项目可能需要不同账号分别进行资源和权限管理。

  • 通过多个账号,可以更好地隔离资源,确保不同团队之间不相互干扰,并且根据需要进行精细的权限管理,防止未经授权的访问。
  • 不同的账号可以用来分割和跟踪成本。这样,每个部门或项目可以清楚地了解他们使用了多少云资源,并管理和控制各自的预算。

需求详情

在前文跨地域日志多中心汇总的前提下,安全团队对我们提出了更高阶的日志采集需求:

  • RD跨账号汇总需求:安全团队基于 RD 资源目录进行多级账号和资源关系管理,需要将不同团队的日志自动化采集到统一的目标库中。
  • 账号粒度筛选需求:具备对账号的筛选能力,例如仅采集线上业务相关的账号下的 VPC 流日志,无需采集不相干业务团队下的 VPC 流日志。

 image.png


操作步骤

在日志审计应用中,因为日志审计已经完成了 RD 资源目录下可信服务的打通,只需简化为一个多账号配置,开启采集规则下的多账号配置,只需要选择采集的日志账号,点击确定即可将选中账号下的 VPC 流日志采集到相应日志库中。

 image.png



补充说明:除了支持自定义选择需要采集的账号之外,日志审计还支持采集全部成员账号下的指定云产品日志,如果资源目录下有账号新增或变更,将会自动进行相应的规则创建或更改,从而完成组织账号体系下的日志采集与采集规则的自适应。

3.2 网络安全洞察

用户可以直接在日志审计界面查看 VPC 的流量统计或策略统计信息,也可以自定义查询分析制作专属报表。

内置统计

日志审计内置一些基本统计分析报表,用户可以通过这些报表获取基本的 VPC 使用详情。

流量概览

 image.png



策略概览

 image.png



自定义分析

用户也可以针对具体的业务场景和挖掘需求,自定义统计分析 VPC 流日志,下面是几个自定义分析的示例。

流入流量来源统计

例如,可以通过流入流量的源和目标地址分布,对 VPC 内部的流量流向获取大致了解,从而可以进一步帮助我们分析哪些业务资源对带宽的占用较多,从而优化资源配置。

(log-status : OK and version : 1)  and direction: 'in' | select concat('src: ', srcaddr) as src, concat('dst: ' , dstaddr) as dst, sum(bytes) as total_bytes group by src, dst order by total_bytes desc limit 10

image.png





流量来源地理分布

例如,当检测到大量流量流向与正常业务活动无关的国家时,可能表明有未授权的数据传输。通过流量流向的地理分布分析,可以帮助我们确定潜在的威胁源或目标。


(log-status : OK and version : 1 and action: Accept) and direction: "out" | select ip_to_country(srcaddr) as country, count(*) as accept_actions where ip_to_country(srcaddr)!='保留地址' group by country order by accept_actions desc limit 20


 image.png



流量异常变化趋势

例如,正常业务的流量在相对的时间范围内,往往具有固定的波动模式,假设我们发现某些业务流量突然发生了异常增高,或者某些相似特征的连接请求激增,则有可能表示该 VPC 下的机器或业务遭受了 DDoS 攻击,通过及时发现流量异常,可以帮助我们及时应对潜在威胁,避免网络安全损失。


(log-status : OK and version : 1 and action: ACCEPT) and direction: "in" and dstaddr: "172.16.0.8" | select __time__ - __time__ % 300 as t, srcaddr as ip_addr, count(bytes) as flows where ip_to_domain(srcaddr)='internet' group by t, ip_addr order by t,flows limit 1000000

image.png


3.3 告警响应

非预期的端口扫描

下面是一个短时间内来自未经授权的IP地址大量请求目标IP的多个端口的告警例子,例如 5 分钟内快速地请求 50 个以上不同的目标端口(如22、23、80、443、3389等)以识别开放的服务,这些请求在短时间内集中发生,可能表明自动化扫描工具的使用,暗示攻击者可能试图发现网络中的开放端口,寻找潜在的攻击向量,因此我们构建端口扫描威胁告警,可以配置如下告警查询语句。

1
(log-status : OK and version : 1) and direction: "in"|select * from (select dstaddr,srcaddr, count(dstport) as dst_port_nums from log where (srcaddr not like '100.127.%' and srcaddr not like '100.100.2.%')  group by  dstaddr,srcaddr  order by dst_port_nums desc) where dst_port_nums >50  limit 10


当查询结果有数据时,即触发告警。

 image.png



流量异常波动告警

正常业务的流量在相对的时间范围内,往往具有固定的波动模式,每一个异常的流量波动背后可能隐喻着存在的潜在的威胁事件,下面是一个具体的 VPC 流量异常告警案例,其具体统计为:如果当前5分钟 VPC 流量,高于7天5分钟日志流量的最高值的 1.25倍,或低于 7 天5 分钟日志流量的最低值的 0.75 倍, 则发出告警。那么可以配置如下查询语句:

(log-status : OK and version : 1) and direction: "in" | WITH
latest_5_min AS (
SELECT
count(bytes) AS latest_sum
FROM
        log
WHERE
        __time__ > to_unixtime(current_timestamp) - 300 and __time__ < to_unixtime(current_timestamp)
),
previous_time_buckets AS (
SELECT
count(bytes) AS cnt,
        __time__ - __time__ % 300 AS t
FROM
        log
WHERE
        __time__ < to_unixtime(current_timestamp) - 300 and __time__ > to_unixtime(current_timestamp) - 7 * 24 * 3600
    GROUP BY
        t
),
agg_previous_5_min AS (
SELECT
        max(cnt) * 1.25 AS max_previous_threshold,
        min(cnt) * 0.75 AS min_previous_threshold
FROM
        previous_time_buckets
)
SELECT
    latest_sum,
    max_previous_threshold,
    min_previous_threshold
FROM
    latest_5_min,
    agg_previous_5_min



其中告警触发条件为 latest_sum > max_previous_threshold || latest_sum < min_previous_threshold,然后配置具体的告警通知策略即可及时将流量异常通知到对应负责人中。

 image.png



4. 总结

日志审计的必要性在于其能够帮助企业和组织落实法律要求,打破信息孤岛和应对安全威胁。选择 SLS 下日志审计应用,一方面是选择国家网络安全专用认证的日志分析产品,另一方面可以快速帮助大型公司统一管理多组地域、多个账号的日志数据。除了在日志服务中存储、查看和分析日志外,还可通过报表分析和告警配置,主动发现潜在的安全威胁,增强云上资产安全。


相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
1月前
|
存储 监控 安全
网络安全视角:从地域到账号的阿里云日志审计实践
日志审计的必要性在于其能够帮助企业和组织落实法律要求,打破信息孤岛和应对安全威胁。选择 SLS 下日志审计应用,一方面是选择国家网络安全专用认证的日志分析产品,另一方面可以快速帮助大型公司统一管理多组地域、多个账号的日志数据。除了在日志服务中存储、查看和分析日志外,还可通过报表分析和告警配置,主动发现潜在的安全威胁,增强云上资产安全。
140 10
|
28天前
|
边缘计算 容灾 网络性能优化
算力流动的基石:边缘网络产品技术升级与实践探索
本文介绍了边缘网络产品技术的升级与实践探索,由阿里云专家分享。内容涵盖三大方面:1) 云编一体的混合组网方案,通过边缘节点实现广泛覆盖和高效连接;2) 基于边缘基础设施特点构建一网多态的边缘网络平台,提供多种业务形态的统一技术支持;3) 以软硬一体的边缘网关技术实现多类型业务网络平面统一,确保不同网络间的互联互通。边缘网络已实现全球覆盖、差异化连接及云边互联,支持即开即用和云网一体,满足各行业需求。
|
25天前
|
人工智能 网络协议 数据中心
阿里云基础设施网络2024年创新总结
本文将盘点阿里云基础设施网络团队2024年在AI时代可预期网络的技术突破、学术成果、开源生态共建与重要会议技术布道等,与业界同仁一同探讨和展望AI时代的网络技术发展热点和趋势。
阿里云基础设施网络2024年创新总结
|
19天前
|
运维 监控 网络协议
面对全球化的泼天流量,出海企业如何观测多地域网络质量?
网络监控与分析在保证网络可靠性、优化用户体验和提升运营效率方面发挥着不可或缺的作用,对于出海企业应对复杂的网络环境和满足用户需求具有重要意义,为出海企业顺利承接泼天流量保驾护航。
|
1月前
|
Web App开发 监控 网络协议
网络分析与监控:阿里云拨测方案解密
阿里云网络拨测业务提供了全球、多种协议、多种网络态势的用户网络性能和用户体验监控场景的全面可观测方案。该文章从拨测场景下,介绍了用户如何快速的构建一套全球用户视角的服务可用性大盘,为客户的业务保驾护航。
|
29天前
|
负载均衡 芯片 异构计算
NSDI'24 | 阿里云飞天洛神云网络论文解读——《LuoShen》揭秘新型融合网关 洛神云网关
NSDI‘24于4月16-18日在美国圣塔克拉拉市举办,阿里云飞天洛神云网络首次中稿NSDI,两篇论文入选。其中《LuoShen: A Hyper-Converged Programmable Gateway for Multi-Tenant Multi-Service Edge Clouds》提出超融合网关LuoShen,基于Tofino、FPGA和CPU的新型硬件形态,将公有云VPC设施部署到边缘机柜中,实现小型化、低成本和高性能。该方案使成本降低75%,空间占用减少87%,并提供1.2Tbps吞吐量,展示了强大的技术竞争力。
|
29天前
|
SQL Cloud Native API
NSDI'24 | 阿里云飞天洛神云网络论文解读——《Poseidon》揭秘新型超高性能云网络控制器
NSDI‘24于4月16-18日在美国加州圣塔克拉拉市举办,汇聚全球网络系统领域的专家。阿里云飞天洛神云网络的两篇论文入选,标志着其创新能力获广泛认可。其中,《Poseidon: A Consolidated Virtual Network Controller that Manages Millions of Tenants via Config Tree》介绍了波塞冬平台,该平台通过统一控制器架构、高性能配置计算引擎等技术,实现了对超大规模租户和设备的高效管理,显著提升了云网络性能与弹性。实验结果显示,波塞冬在启用EIP时的完成时间比Top 5厂商分别快1.8至55倍和2.6至4.8倍。
|
1月前
|
负载均衡 容灾 Cloud Native
云原生应用网关进阶:阿里云网络ALB Ingress 全能增强
在过去半年,ALB Ingress Controller推出了多项高级特性,包括支持AScript自定义脚本、慢启动、连接优雅中断等功能,增强了产品的灵活性和用户体验。此外,还推出了ingress2Albconfig工具,方便用户从Nginx Ingress迁移到ALB Ingress,以及通过Webhook服务实现更智能的配置校验,减少错误配置带来的影响。在容灾部署方面,支持了多集群网关,提高了系统的高可用性和容灾能力。这些改进旨在为用户提供更强大、更安全的云原生网关解决方案。
550 20
|
2月前
|
运维 供应链 安全
阿里云先知安全沙龙(武汉站) - 网络空间安全中的红蓝对抗实践
网络空间安全中的红蓝对抗场景通过模拟真实的攻防演练,帮助国家关键基础设施单位提升安全水平。具体案例包括快递单位、航空公司、一线城市及智能汽车品牌等,在演练中发现潜在攻击路径,有效识别和防范风险,确保系统稳定运行。演练涵盖情报收集、无差别攻击、针对性打击、稳固据点、横向渗透和控制目标等关键步骤,全面提升防护能力。
|
1月前
|
存储 监控 安全
网络设备日志记录
网络设备日志记录是追踪设备事件(如错误、警告、信息活动)的过程,帮助IT管理员进行故障排除和违规后分析。日志详细记录用户活动,涵盖登录、帐户创建及数据访问等。为优化日志记录,需启用日志功能、管理记录内容、区分常规与异常活动,并使用专用工具进行事件关联和分析。集中式日志记录解决方案可收集并统一管理来自多种设备和应用的日志,提供简化搜索、安全存储、主动监控和更好的事件可见性,增强网络安全。常用工具如EventLog Analyzer能灵活收集、存储和分析日志,确保高效管理。