企業信息安全與操作審計
越來越多的企業將自己的核心業務搬遷上雲,在阿里雲上部署了大量的IT基礎設施(虛擬機、數據庫等)、應用和數據,雲上IT信息系統的安全至關重要。而IT設施託管在雲上後,對IT資源的管理、查看都需要經過和依賴雲平臺,那就要求雲平臺能支持雲上IT運維的高可見性和可控性。而企業現實中就面臨著來自企業內部和外部的審計需求。
操作審計追蹤並記錄對雲上IT的管控操作日誌。從企業內部的審計需求來看,幫助企業洞察來自企業內部的違規操作、鑑別正在發生的數據非法訪問、通過分析異常行為發現非法攻擊行為、結合操作日誌覆盤已發生的故障,同時也幫助企業日常查詢和監控運維人員的操作。從企業外部的審計需求來看,使用操作審計才能讓企業達到等保2.0等法律法規的要求。
等保2.0應用安全部分安全審計中要求企業:應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要的安全事件進行審計;審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;應對審計進程進行保護,防止未經授權的中斷。
阿里雲操作審計
操作審計(ActionTrail)記錄您的阿里雲賬號的活動,包括通過阿里雲控制檯、OpenAPI、開發者工具對雲上產品和服務的訪問和使用行為。支持將操作日誌投遞到您的對象存儲(OSS)進行歸檔存儲或日誌服務(SLS)進行查詢、分析、報警和製作監控儀表盤。
操作審計支持在控制檯查詢最近90天的操作日誌,首先要根據資源的歸屬地域選擇對應地域控制檯,一般操作日誌量比較大,建議查詢時間範圍選擇儘量小,事件信息指定的儘量詳細,可以更容易找到有價值的信息。
查詢歷史事件是提供給用戶用於臨時查詢,對於任何有審計需求的用戶都應該創建跟蹤,將操作日誌投遞到自己的對象存儲或日誌服務中,長時間的保留操作日誌(等保要求至少保留6個月),進行更詳細的查詢和實時分析。
應用案例
操作審計提供的功能簡單易於理解。下面我們通過三個場景和具體示例,介紹如何應用操作審計幫助企業完善雲上的安全審計。
監控外來入侵
某互聯網公司A企業從自建IDC搬到雲上後,第一個擔心的問題就是雲上安全,服務器、數據庫會不會被入侵。A企業通過監控雲上操作日誌,可以快速的發現資源的異常情況。
首先、在操作審計控制檯創建跟蹤,監控所有地域的全部操作類型,並將操作日誌投遞到日誌服務。
操作審計在日誌服務中會自動創建兩個儀表盤(一箇中文,一個英文),統計操作日誌的整體信息,包含事件PV、UV、事件的來源分佈、事件的地域分佈和事件的類型統計。
默認生成的統計圖表是比較粗粒度的,用於觀察事件的概況。針對入侵的監控,需要更貼合實際的細粒度監控。A企業通過觀測ECS操作的地域、來源IP、userAgent變化來甄別是否受到了外部入侵。
A企業創建的入侵監控圖表如下:
• A企業統計來源IP的城市,如果來自非企業所在城市,則可能是異常情況。
__topic__: actiontrail_audit_event | SELECT count(1) as pv, city FROM (SELECT "event.sourceIpAddress" AS ip, ip_to_city("event.sourceIpAddress") as city FROM log) WHERE ip_to_domain(ip)!='intranet' GROUP BY city ORDER BY pv DESC
• A企業有固定的對外的IP網段,並且要求只能在公司執行操作,通過對IP進行監控,如果有白名單外的IP產生了操作則可能是異常情況。
__topic__: actiontrail_audit_event | SELECT count(1) as pv, "event.sourceIpAddress" as ip WHERE ip_to_domain("event.sourceIpAddress")!='intranet' and "event.sourceIpAddress" != '
Internal' GROUP BY ip ORDER BY pv DESC
• A企業有自建的雲管平臺,統一使用terraform和JAVA語言來管理阿里雲上資源。通過監控userAgent來監控外來入侵,如果出現其他userAgent那麼可能是異常情況。
__topic__: actiontrail_audit_event | SELECT "event.userAgent" as userAgent, count(1) as pv GROUP BY userAgent
• A企業在雲上使用了ECS和RDS,通過監控ECS的刪除實例操作或者RDS的刪除實例操作,來監控高危操作的情況。
__topic__: actiontrail_audit_event | SELECT serviceName, eventName, userName,count(1) as pv FROM (SELECT "event.eventName" as eventName, "event.serviceName" as serviceName, "event.userIdentity.userName" as userName FROM log) WHERE (serviceName = 'Ecs' and eventName = 'DeleteInstances') OR (serviceName = 'Rds' and eventName = 'DeleteDBInstance') GROUP BY serviceName, eventName, userName
• A企業某次發現AK洩露,黑客使用此AK在雲上進行了大量違法操作。A企業使用操作審計查詢此AK操作記錄,瞭解黑客入侵範圍和破壞細節,快速恢復業務,並且作為證據進行起訴追責。
__topic__: actiontrail_audit_event and event.userIdentity.accessKeyId: 123
內部違規監控和取證
某傳統企業B將業務搬到了阿里雲上。在雲上創建一套子賬號體系,分發給不同職能部門進行使用,因為各個部門都有阿里雲子賬號,B企業比較擔心內部員工違規操作,使用訪問控制(RAM)做了權限隔離,制定了運維操作規範,也使用操作審計創建跟蹤,建立監控來保障業務平穩運行。
首先,在操作審計控制檯創建跟蹤,監控所有地域的全部操作類型,並將操作日誌投遞到日誌服務。
內部監控圖表如下:
• B企業要求運維不可以在業務高峰期間進行機器重啟等高危運維操作,B企業針對此操作規範建立統計,統計在9:00~16:00業務高峰時間段的ECS重啟操作,監控運維的違規操作。
__topic__: actiontrail_audit_event and event.eventName: RebootInstance | SELECT user, time FROM (SELECT date_format(__time__, '%Y-%m-%d %H:%i:%S') AS time ,cast(date_format(__time__, '%H') as bigint) AS hour, "event.userIdentity.userName" as user FROM log) WHERE hour > 9 AND hour < 16
• B企業不允許開發直接創建資源,需要走公司內部的審批流程後,由運維進行資源的創建。B企業針對子賬號的創建操作建立統計和監控,監控非運維的越權和違規操作。
__topic__: actiontrail_audit_event | SELECT count(*) AS count, user FROM (SELECT "event.eventName" AS event, "event.userIdentity.userName" AS user FROM log) WHERE event LIKE 'Create%' GROUP BY user
• B企業運維人員因為發洩個人私慾刪除了公司數據庫和服務器,導致企業服務停機半天,造成大量損失。B企業使用操作審計投遞的SLS中查詢導出相關子賬號的操作記錄,作為證據維護企業合法權益。
__topic__: actiontrail_audit_event and event.userIdentity.accessKeyId : xxx
消費操作日誌
金融企業C有自建的審計監控平臺,需要將操作審計與線下的審計監控平臺建立連接。C企業通過在操作審計中創建跟蹤,將雲上操作事件投遞到日誌服務中,然後消費日誌服務中的日誌,來做自建審計平臺的數據存儲和事件觸發。
流程如下:
操作審計投遞到日誌服務的日誌,可以通過多種方式實時消費,完成審計和監控需求。
最佳實踐
操作審計推薦用戶創建跟蹤將賬號的操作記錄同時保存到對象存儲(OSS)和日誌服務(SLS)中。
對象存儲(OSS)的存儲價格相對便宜,可以作為歸檔存儲。建議存儲至少6個月的操作日誌。並開啟OSS bucket的合規保留策略,設置與存儲日期一致的過期時間,過期時間之前,任何用戶都無法刪除Object和策略。如果有加密需要,也可以開啟OSS服務端加密服務。
日誌服務存儲的操作記錄用於數據消費和分析。可以根據需要選擇存儲時間,如一個月。使用日誌服務在線查詢操作日誌、製作監控儀表盤,方便快捷識別賬號風險。如果企業有自建的合規審計平臺,可以通過日誌服務的實時消費能力,將數據導入企業的合規審計平臺,統一分析管理。
總結
阿里雲致力於以在線公共服務的方式,提供安全、可靠的計算和數據處理能力,讓計算和人工智能成為普惠科技。操作審計致力於打造可信賴、可依靠、透明化的阿里雲,讓雲上操作擁有可監控、可審計、可追溯的能力。操作審計除了記錄阿里雲賬號的活動之外,還推出了平臺操作日誌,對用戶透出了阿里雲內部運維事件,讓阿里雲更加透明化。操作審計也在不斷提升產品覆蓋度,讓更多的產品可以被審計。為了企業雲上安全審計操作審計在行動,快來創建跟蹤吧。