阿里云配置审计(英文名称:Config,产品地址:https://www.aliyun.com/product/config ,以下简称为:Config),是一款面向资源的审计服务类产品。它可以主动发现用户资源,持续监控并记录资源配置变更,能够提供有效的资源管控服务。并基于“合规即代码”的理念,将资源审计逻辑实现放置于阿里云函数计算运行环境之上,使得持续性的合规审计、安全评估分析成为可能。
1. 存在意义
在互联网环境监管整体趋严的背景下,伴随着《网络安全法》的出台,提出了“等保2.0”这个概念,在这个概念的框架下有很多内容发生了变化:等级保护内容大扩展,等级保护内容大不同,以及标准体系的大升级。传统等级保护关注传统信息系统领域,在2.0时代从横向和纵向都进行扩展。在传统的等级保护上规定动作,定级、备案、建设整改、等级测评,监督检查计基础上,“等保2.0”把风险评估、安全检测、通报预警,事件调查等等方面的工作都纳入到等级保护的范围之内。尤其在云服务商方面,规定明确要求“安全合规”,并且云计算平台为其承载的业务应用系统提供相应等级的安全保护能力。
Config提供了持续的合规审计功能,基于自动化的手段帮助企业用户完善资源合规审计制度,确保“等级2.0”具体实施计划的快速落地,并能够极大的降低用户的人工审计成本。整体而言,Config作为链接企业用户“物”和“法”的桥梁,在金融,企业、政府机关、事业单位都将会有较为广泛的应用前景。
2. 主要功能
Config产品提供了资源主动发现,持续监控和持续审计,“合规即代码”,资源快照投递等几大核心功能。
2.1 资源发现
Config能够主动发现用户的资源创建行为,将Region化的资源进行统一整合,并基于资源的配置快照建立一个完整用户资源配置库,供查询、搜索、调用,具备被集成的能力。同时Config采用了非Region化的部署形式,统一Region接口查询无需进行多Region轮询,减少遍历多Region的IO开销,用户体验更加友好,在资源集中化查询,配置属性检索等方面具有很好的应用场景。
2.2 持续监控
Config持续捕获并记录用户对资源配置所做的变更行为,形成资源配置和合规变更两大基线时间轴,贯穿整个用户资源从创建到销毁的完整生命周期。用户可随时进行资源盘点,查看资源配置变更历史记录等操作,提高用户资源的管控效率。
2.3 持续审计
Config可持续审计和评估用户的资源配置是否符合安全性,合规性要求。并可以从资源,规则,全局三个维度给出合规报告。从资源维度上,可以明确资源配置违反哪些审计规则,快速定位问题;从规则维度上,用户可快速识别不合规的资源,逐一整改;以全局视角可以获取整体合规性统计分析,便于用户整体工作评估,全局统筹安排。
2.4 合规即代码
Config规则审计逻辑运行于阿里云函数计算(Function Compute),除了预定义的审计规则(又称托管规则),用户可基于函数计算运行环境用自己熟悉的语言编写合规审计代码,定义资源配置内部最佳实践和指南。Config基于此自动评估用户资源配置和资源更改,从而确保整个基础设施实现持续合规性和自主监管。
2.5 快照投递
Config可将资源配置以完整快照的形式周期性投递至用户指定的OSS存储桶中,方便用户进行数据分析,进行三方审计等后续操作。后续将引入MNS(中文名称:阿里云消息服务)消息通知功能,将配置更改事件流式传输到MNS,实时通知,方便用户全面掌控资源变化。
3. 工作原理
Config产品的技术实现主要包含资源,合规两类层面。从资源层面持续收集资源配置数据,供给合规层面进行持续的合规审计。主要工作原理如下图所示:
下面简要的介绍两个层面的工作内容:
在资源层面:通过记录用户的资源操作行为,识别出资源的创建、更新或删除等操作行为。基于 阿里云实时计算/Blink 实时处理引擎在一个特定窗口期内进行资源的分组,合并,去重等操作,并基于此对相关云产品发起Describe或List API请求,获取并记录资源的配置数据,建立完整的用户资源配置库,并保持持续更新。
在合规层面:通过审计规则(ConfigRue)提供具体的合规审计实现。审计规则与函数计算中具体的执行函数相关联,执行具体的审计逻辑。审计规则由底层Config Trgger触发,具备两种触发机制:资源配置变更和周期性执行。两种触发机制可以有效的相互补充,能够覆盖目前大部分的审计需求。最后评估结果由Config提供的Open API服务Config Service接收审计结果。
4. 应用场景
4.1 资源管控
Config在内部维护了一个完整的用户资源配置库,同时基于用户创建、更新或删除资源操作保持对用户资源配置库的持续更新,在对时效性要求不高的场景下,用户可以基于此进行统一的资源查询,从而减少对云产品的describe请求数量,降低云产品的压力。阿里云跨Region的资源查询被诟病已久,Config提供的统一资源管控提供了一种解法。
4.2 合规审计
Config一方面提供了丰富的托管审计规则,提供基础的审计功能,开箱即用,可以满足绝大部分用户需求。另外用户可以开发自定义的规则,完善内部最佳实践和指南。
Config持续评估用户的资源是否符合内部策略要求和监管标准,并通过资源配置时间轴,合规时间轴等功能全面全面了解合规情况,全方位护航企业/行业用户“等保2.0”实施策略的快速落地。
4.3 安全分析
Config持续监控用户资源是否具有潜在的安全弱点,同时在发生安全问题后,也可以快速排查问题,封堵漏洞。可作为“阿里云云安全中心(态势感知)”的有效补充,帮助安全团队更加及时的采取应对措施。
4.4 问题排查
Config可展示资源之间的关系,以便评估某个资源的更改会对其他资源造成什么影响。使用Config用户可以查询资源的最近配置更改,从而快速排查运行问题。
5. 面向未来
Config已在路上,面向未来,我们有更多期待:
5.1 更多的资源接入
更丰富的资源接入意味着更广泛的审计范围。目前Config已经覆盖阿里云12款主流云产品,共计31个资源类型,未来将持续接入更多的云产品和资源类型,争取阿里云所有产品线的全面覆盖。
5.2 更丰富的审计规则
审计规则基于函数计算实现,使得Config具备的极大的灵活性和一致性,可以有效的发展审计规则的生态建设。我们希望提供一个开放性的规则市场,能够吸引更多的云产品加入丰富审计规则,建立一个较为完整的审计生态,让合规审计的概念深入人心。
5.3 跨账号资源聚合
阿里云目前尚未有Organization相关概念的存在,针对部分企业用户存在多账号的场景下,提供多账号资源合规审计的综合视图,可以直接让用户在单个账号中查看整个企业其他各个账号下资源列表、合规状态等信息,无需分账号单独查看。
5.4 自动修正“不合规”
Config未来将会具备自动修正/AutoMation的能力。通过与 弹性计算-运维编排服务/OOS 结合,可以让Config在发现“不合规”的资源配置是,无需人工介入,可自动根据预先设置的修正配置,执行修正流程,快速消灭“不合规”。
在云计算时代,如何有效的管理,审计,安全评估云计算资源是每一个企业用户都面临的挑战,希望Config能够解决用户的一些痛点,能够成为资源管控和合规审计的利器!
