阿里云日志服务作为行业领先的日志大数据解决方案,一站式提供数据收集、清洗、分析、可视化和告警功能。日志审计APP提供多账户下跨多云产品审计相关日志进行实时自动化中心化采集,并提供审计需要的存储、查询、信息汇总支持。覆盖Actiontrail、OSS、SLB、RDS、DRDS、API网关等基础产品并支持自由对接到其他生态产品或自有SOC中心。
一、背景
《简化云上等保,阿里云发布日志审计服务》中详细介绍了日志审计的相关背景。总体来说有如下几点:
- 日志审计是法律刚性需求。网络安全法及等保2.0都对日志审计提出了要求,包括相关日志留存时间及日志集中收集、分析能力。
-
日志审计是客户安全合规依赖的基础。日志审计有以下集中形式:
- 客户有成熟的内部合规团队,可以直接消费原生各类日志。
- 客户也可以直接使用日志审计服务提供的审计支持,直接构建并输出合规审计信息。
- 客户有安全中心(SOC)可以直接消费日志审计中日志。
- 日志审计是安全防护的重要一环。长期、可靠、无篡改的日志记录与审计支持来持续安全问题发现解决的时间。
二、日志审计典型场景
- 基础需求:大部分中小企业客户需要自动化采集存储日志。他们的主要诉求是满足《网络安全等保2.0标准》中的最低要求,并脱离手工维护。
- 高级需求:跨国企业、大企业以及部分中型企业,存在多个部门之间独立结算并且在阿里云账号的使用上各自隔离,但是在审计的时候,需要自动化、统一采集相关日志。他们的主要诉求是除上述的基础诉求外,还希望中心化采集日志并支持多个账号的简单管理。这部分企业一般拥有审计系统,因此对日志审计的需求是能够实时、简单的对接。
- 更上层的需求:拥有专门合规团队的大公司,他们需要对日志进行监控、告警和分析。一部分客户采集数据到审计系统中进行操作。另一部分客户(尤其是计划在云上搭建一套新审计系统的客户)可以使用日志服务提供的审计支持(查询、分析、告警、可视化等)进行审计操作。
- 最顶端需求:拥有专业成熟审计合规团队的大企业,一般拥有自己的安全中心或审计系统,他们的核心需求是对接数据进行统一操作。
三、阿里云日志服务
日志服务作为行业领先的日志大数据解决方案,提供一站式数据采集、清洗、分析、可视化和告警功能。一直很好的支持日志服务相关场景:DevOps、运营、安全、审计。
1、审计服务APP
2、技术功能及优势
-
实时中心化采集
- 多云产品支持: 支持阿里云SLB、OSS、RDS等多个主流产品。
- 一键式采集:一次性配置采集策略后,即可完成跨账号自动实时发现新资源 并实时采集日志。
- 跨账号:支持将多个主账号下的日志采集到一个主账号下的Project中。
- 中心化存储:将采集到的日志存储到某个地域的中心化Project中,方便后续查询分析、可视化与告警、二次开发等。
-
支持丰富的审计功能
- 继承日志服务现有的所有功能,包括查询分析、加工、报表、告警、导出等功能,支持审计场景下中心化的审计等需求。
- 生态开放对接:与开源软件、阿里云大数据产品、第三方SOC软件无缝对接,充分发挥数据价值。
阿里云日志服务审计APP的上述优势,可以很好的满足上文提到的日志审计典型场景。
3、产品支持
日志审计服务在继承现有日志服务所有功能外,还支持多账户下实时自动化、中心化采集云产品日志并进行审计,以及支持审计所需的存储、查询及信息汇总。覆盖基础(ActionTrail)、存储(OSS、NAS)、网络(SLB、API网关)、数据库(RDS、DRDS)、安全(WAF、Cloud Firewall、云安全中心)等产品以及支持自由对接其他生态产品或自有SOC中心。
四、全局数据视图
为了丰富日志审计APP监控、告警、分析方面的能力,我们提供了日志审计全局视图及云产品的全局视图。可以方便用户查看日志的整体分布及变化趋势。
1、日志审计全局数据视图
2、云产品全局数据视图
2.1、OSS全局数据视图
2.2、RDS全局数据视图
2.3、SLB全局数据视图
五、DRDS接入
DRDS 是一款基于 MySQL 存储、采用分库分表技术进行水平扩展的分布式 OLTP 数据库服务产品,支持 RDS for MySQL 以及 POLARDB for MySQL,产品目标旨在提升数据存储容量、并发吞吐、复杂计算效率三个方面的扩展性需求。
数据库作为企业业务的数据核心,对数据库的操作行为尤其是所有SQL执行的行为进行记录并审计的日志,就显得尤为重要。分布式关系型数据库 DRDS 接入日志审计APP,不仅能够完成DRDS日志的一键采集,而且可以对 SQL 执行状况、性能指标、安全问题的实时诊断分析能力。
1、DRDS日志审计支持
- 支持一键实时采集,并自动识别新建或删除实例。
- 支持跨账号采集。
- 支持中心化日志存储。
-
丰富的SQL审计分析能力,方便用户对DRDS日志进行查询分析、加工、报表、告警、导出能力。SQL执行日志包括了对数据库进行的所有SQL操作,DRDS提供的SQL执行日志通过网络监听的方式收集,对实际执行几乎没有性能的影响,包括但不限于如下类型的SQL执行以及信息提取:
- DDL(Data Definition Language):基于SQL的对数据库结构定义的SQL,例如CREATE、ALTER
DROP、TRUNCATE、COMMENT等 - DML(Data Manipulation Language):SQL操作语句,包括SELECT、INSERT、UPDATE、DELETE等
- 其他SQL执行,包括任何其他通过SQL执行的控制,例如回滚、控制等
- 失败的SQL执行也会被记录
- 对SQL执行的时间、执行结果、影响的行数等信息的提取
- 支持多SQL的事务执行关联
- 支持对SQL提取模板、类型解析
- 支持历史执行的导入
- DDL(Data Definition Language):基于SQL的对数据库结构定义的SQL,例如CREATE、ALTER
2、DRDS报表分析
报表具体SQL分析详见 DRDS SQL审计与分析。
2.1、实时数据库访问异常排查与问题分析,事务、SQL模板类读写延时等
2.2、安全分析,重要表格、异常SQL类型、异常删除修改、危险SQL攻击等分析
2.3、运营分析,活跃数据库与表格,关键数据添加修改删除动向
