操作审计能够记录和查询用户在云上的事件。这些事件能够帮助企业进行日常的问题排查和安全分析,同时也是企业重要的机密数据,代表着企业云上IT管控的模型。在事件的存储和使用过程中需要防范数据篡改和非法访问。您需要启用必要的安全防护措施和安全管理办法,以确保审计本身的完备性以及事件的安全性。本文为您介绍相应的安全实践建议,您可以根据对应场景进行选用。
基于跟踪的完备审计和安全分析
|
期望效果 |
解决办法 |
详细说明 |
参考文档 |
|
等保2.0要求企业将事件存储180天及以上,平台仅有的90天历史事件不满足要求,需获取并存储更长时间的事件。 |
创建跟踪。 |
操作审计支持在云平台记录您最近90天的事件,如果您不进行转存保留,每过去一天就会清除最早一天的记录。当您需要存储超过90天的事件时,必须创建跟踪。 您可以创建跟踪,将事件持续投递到对象存储OSS中进行长时间存储。 跟踪也支持将事件持续投递到日志服务SLS中进行监控和分析,但如果是单纯的归档存储诉求,更推荐您存储到对象存储OSS。 |
|
|
国家法规和行业标准要求记录全量事件。 |
设置跟踪的地域为全部地域,跟踪的事件类型为所有事件。 |
为了获取阿里云账号中所有事件的记录,建议您将跟踪的地域设置为全部地域,确保对所有地域的事件进行记录。当阿里云支持新的地域时,也将包含其中,无须进行其他设置。 由于合规要求,读操作和写操作都需要保留事件,建议您将跟踪的事件类型设置为所有事件。 |
|
|
将事件投递到对象存储OSS或日志服务SLS。 |
您可以创建跟踪,将事件投递到对象存储OSS或日志服务SLS。
|
事件的安全管理
|
期望效果 |
解决办法 |
详细说明 |
参考文档 |
|
将事件投递到对象存储OSS时,加密事件,确保云上事件的安全性。 |
采用KMS托管密钥加密。 |
当您创建跟踪并将事件投递到对象存储OSS时,默认使用OSS完全托管密钥进行加解密(SSE-OSS)。 如果您需要使用可以直接管理的加密密钥,可以使用KMS托管密钥进行加解密(SSE-KMS)。您可以进行以下操作:
|
|
|
将事件投递到日志服务SLS时,加密事件,确保云上事件的安全性。 |
采用KMS托管密钥或日志服务的服务密钥加密。 |
当您创建跟踪并将事件投递到日志服务SLS时,操作审计会自动创建一个名为 |
|
|
事件存储在OSS或SLS的期间禁止事件被修改或删除,以确保事件可靠性。 |
配置OSS的合规保留策略。 |
当您创建跟踪并将事件投递到对象存储OSS时,需要设置OSS文件的合规保留策略。例如:添加一条基于时间的合规保留策略,设置用户在保护周期内不可以修改或删除事件。 说明
日志服务SLS中的日志数据不支持逐条修改或删除,日志一旦写入即为不可变记录。 修改Logstore的数据保留时间是SLS中删除审计日志的唯一途径。建议限制SLS相关权限为 |
|
|
严格控制事件的访问权限。 |
OSS或SLS的最小化访问授权。 |
当您创建跟踪并将事件投递到对象存储OSS或日志服务SLS时,需要授予阿里云账号(或RAM用户)访问OSS或SLS的权限,以便成功完成事件投递。而日常使用事件时也要将事件读权限授予相关工作人员。 建议权限配置符合最小化原则,避免不当的授权导致服务实例被删除或篡改,避免非必要人员对事件的访问。 |
|
|
严格控制审计管理员的管控权限。 |
合理管控操作审计管理员权限。 |
拥有AliyunActionTrailFullAccess权限(操作审计管理员权限)的用户,可以修改和删除跟踪。跟踪变更后将影响事件的投递,从而影响您对事件的跟踪和审计。 建议将此权限授予尽可能少的用户。 |