すべてのプロダクト
Search

このプロダクト

    ActionTrail:監査のためのイベントのセキュリティを保証する

    ドキュメントセンター

    ActionTrail:監査のためのイベントのセキュリティを保証する

    最終更新日:Jan 21, 2025

    ActionTrailは、Alibaba Cloudリソースで実行された操作をクエリ対象のイベントとして記録します。 これらのイベントに基づいて、問題をトラブルシューティングし、企業のセキュリティ分析を実行できます。 さらに、イベントは、企業がクラウドでITリソースを管理する方法を反映するため、企業の重要な機密データです。 セキュリティ上の理由から、これらのイベントを保存および使用するときに、データのテンパリングや不正アクセスから保護する必要があります。 監査の完全性とイベントのセキュリティを確保するには、必要なセキュリティ保護対策と規制を採用する必要があります。 このトピックでは、セキュリティ保護対策と規制のいくつかのプラクティスについて説明します。 ビジネス要件に基づいて採用できます。

    証跡に基づく完全な監査とセキュリティ分析

    期待される結果ソリューション説明関連トピック
    イベントは、より長い期間保持することができる。 ActionTrailコンソールは、過去90日間に生成されたイベントのみを記録できます。 ただし、MLPS (Multi-Level Protection Scheme) 2.0では、企業が過去180日間またはそれ以前に生成されたイベントを保持する必要があります。 トレイルを作成します。 ActionTrailは、ActionTrailコンソールで過去90日間に生成されたイベントを記録します。 指定されたストレージサービスにイベントを配信しない場合、イベントは時間の経過とともに最も早い日から消去されます。 イベントを90日以上保持する必要がある場合は、トレイルを作成する必要があります。

    長期保存のためにイベントをObject Storage Service (OSS) に配信するトレイルを作成できます。

    トレイルを作成して、モニタリングと分析のためにイベントをLog Serviceに配信することもできます。 イベントのアーカイブと保存のみが必要な場合は、OSSにイベントを配信するトレイルを作成することを推奨します。

    すべての地域からのイベントは、国内規制および業界標準の要件を満たすために記録されます。 すべてのリージョンからすべてのタイプのイベントを配信するトレイルを作成します。 Alibaba Cloudアカウントのすべてのイベントを取得するには、ActionTrailコンソールでトレイルを作成することを推奨します。 このようにして、すべての地域のイベントを記録できます。 Alibaba Cloudの新しいリージョンが利用可能になると、トレイルはこれらのリージョンからイベントを自動的に配信します。 設定を変更する必要はありません。

    コンプライアンス要件を満たすには、読み取りイベントと書き込みイベントの両方を記録する必要があります。 トレイルを作成するときは、Event TypeパラメーターをAll Eventsに設定することを推奨します。

    • イベントは、企業のIT部門またはセキュリティコンプライアンス部門の要件を満たすために、より長い期間保持することができます。 例えば、90日前に生成されたイベントを記録することができる。
    • イベントはアーカイブまたはダウンロードできます。 例えば、近年生成されたイベントをセキュリティコンプライアンス部門に提供することができる。
    • 機密イベントを分析し、イベントのアラートルールを設定できます。
    		OSSまたはLog Serviceにイベントを配信します。 トレイルを作成して、イベントをOSSまたはLog Serviceに配信できます。
    • OSSは、費用対効果の高い方法でイベントを長期間保持するのに役立ちます。 ビジネス要件に基づいて使用するイベントをダウンロードできます。
    • Log Serviceはイベントの分析に役立ちます。 このサービスを使用すると、イベントクエリを容易にするダッシュボードを作成でき、設定に基づいて特定の種類のイベントのアラート通知を電子メール、またはDingTalkで送信できます。

    イベントのセキュリティ保護規制

    期待される結果ソリューション説明関連トピック
    イベントはOSSに配信されるときに暗号化されます。 これにより、イベントのセキュリティが確保されます。 Implement server-side encryption by using KMS-managed keys (SSE-KMS). デフォルトでは、イベントをOSSに配信するトレイルを作成する場合、OSS管理キー (SSE-OSS) を使用したサーバー側の暗号化が実装されます。

    直接管理できる暗号化キーを使用する必要がある場合は、SSE-KMSを実装できます。 次の操作を実行できます。

    • OSSコンソールに移動し、サーバー側の暗号化が有効になっているOSSバケットを作成します。 次に、ActionTrailコンソールに移動し、バケットにイベントを配信するトレイルを作成します。
    • ActionTrailコンソールでトレイルを作成するときに、OSSバケットを作成し、バケットのサーバー側暗号化を有効にします。
    イベントは、Log Serviceに配信されるときに暗号化されます。 これにより、イベントのセキュリティが確保されます。 KMS管理キーまたはLog serviceのサービスキーを使用して、宛先Logstoreを暗号化します。 イベントをLog Storeに配信するトレイルを作成すると、ActionTrailはactiontrail_<trail name> の形式でという名前のLogstoreを自動的に作成します。 データ暗号化
    イベントがOSSまたはLog Serviceに保存されている場合、イベントを変更または削除することはできません。 これにより、イベントの信頼性が保証されます。 コンプライアンス要件を満たすようにOSSオブジェクトの保持ポリシーを設定します。 OSSにイベントを配信するトレイルを作成する場合は、OSSオブジェクトの保持ポリシーを設定する必要があります。 たとえば、時間ベースの保持ポリシーを作成する場合、ユーザーがイベントを変更または削除できない保護期間を設定できます。
    説明 Log Serviceに保存されているイベントは削除または変更できません。 これらのイベントに対して保持ポリシーを設定する必要はありません。
    		保持ポリシー
    イベントのアクセス権限は厳密に管理されています。 最小権限の原則に基づいて、OSSまたはLog Serviceにアクセス権限を付与します。 Alibaba CloudアカウントまたはRAMユーザーを使用してOSSまたはLog Serviceにイベントを配信するトレイルを作成する前に、アカウントまたはRAMユーザーにOSSまたはLog Serviceにアクセスする権限があることを確認してください。 さらに、関連する従業員にイベントの読み取り権限を付与する必要があります。

    最小特権の原則に基づいて権限を付与することを推奨します。 これにより、不適切な認証や権限のない従業員によるサービスインスタンスの削除や改ざんが防止されます。

    ActionTrail管理者の権限は厳密に管理されます。 ActionTrail管理者の権限を必要な従業員に適切に付与します。 AliyunActionTrailFullAccessポリシーがRAMユーザーにアタッチされると、RAMユーザーにActionTrail管理者の権限が付与され、トレイルを変更または削除できます。 トレイルが変更または削除された場合、イベントの配信、追跡、および監査はすべて影響を受けます。

    したがって、必要なRAMユーザーにのみこのポリシーをアタッチすることをお勧めします。