本文介绍日志审计服务的应用场景、技术优势及覆盖的云产品。
日志审计服务在继承现有日志服务所有功能外,还支持多账户下实时自动化、中心化采集云产品日志并进行审计,以及支持审计所需的存储、查询及信息汇总。覆盖基础(ActionTrail、容器服务Kubernetes版)、存储(OSS、NAS)、网络(SLB、API网关)、数据库(关系型数据库RDS、云原生分布式数据库PolarDB-X)、安全(WAF、云防火墙、云安全中心)等产品以及支持自由对接其他生态产品或自有SOC中心。
背景信息
- 日志审计是法律刚性需求
无论国内外,企业落实日志审计越来越迫切。尤其中国内地于2017年实施了《网络安全法》、于2019年12月实施《网络安全等保2.0标准》。
- 日志审计是客户安全合规依赖的基础
很多企业自身有成熟的法规条例以及合规审计团队,对账号设备操作、网络行为、日志进行审计。客户可以直接消费原生各类日志,也可以使用日志审计服务提供的审计功能,构建并输出合规的审计信息。如果客户有安全中心(SOC),则可以直接消费日志审计中的日志,也可以使用阿里云安全中心消费日志。
- 日志审计是安全防护的重要一环
根据FireEye M-Trends 2018报告,企业安全防护管理能力薄弱,尤其是亚太地区。企业组织的攻击从发生到发现所需时长平均101天,而亚太地域平均需要498天。其中发现后的验证平均需要57.5天。企业需要长期、可靠、无篡改的日志记录与审计支持来持续缩短这个时间。
应用场景
- 日志服务与审计场景
日志服务作为行业领先的日志大数据解决方案,提供一站式数据采集、清洗、分析、可视化和告警功能。一直很好的支持日志服务相关场景:DevOps、运营、安全、审计。
- 典型日志审计场景
日志审计一般分成如下4层需求。
- 基础需求:大部分中小企业客户需要自动化采集存储日志。他们的主要诉求是满足《网络安全等保2.0标准》中的最低要求,并脱离手工维护。
- 高级需求:跨国企业、大企业以及部分中型企业,存在多个部门之间独立结算并且在阿里云账号的使用上各自隔离,但是在审计的时候,需要自动化、统一采集相关日志。他们的主要诉求是除上述的基础诉求外,还希望中心化采集日志并支持多个账号的简单管理。这部分企业一般拥有审计系统,因此对日志审计的需求是能够实时、简单的对接。
- 更上层的需求:拥有专门合规团队的大公司,他们需要对日志进行监控、告警和分析。一部分客户采集数据到审计系统中进行操作。另一部分客户(尤其是计划在云上搭建一套新审计系统的客户)可以使用日志服务提供的审计支持(查询、分析、告警、可视化等)进行审计操作。
- 最顶端需求:拥有专业成熟审计合规团队的大企业,一般拥有自己的安全中心或审计系统,他们的核心需求是对接数据进行统一操作。
针对以上4类客户需求,日志服务的日志审计服务都可以比较好的满足。
技术优势
- 中心化采集
- 跨账号:支持将多个主账号下的日志采集到一个主账号下的Project中。
- 一键式采集:一次性配置采集策略后,即可完成跨账号自动实时发现新资源(例如新创建的RDS、SLB、OSS Bucket实例等)并实时采集日志。
- 中心化存储:将采集到的日志存储到某个地域的中心化Project中,方便后续查询分析、可视化与告警、二次开发等。
- 支持丰富的审计功能
- 继承日志服务现有的所有功能,包括查询分析、加工、报表、告警、导出等功能,支持审计场景下中心化的审计等需求。
- 生态开放对接:与开源软件、阿里云大数据产品、第三方SOC软件无缝对接,充分发挥数据价值。
云产品覆盖及相关资源
日志审计服务支持采集基础(ActionTrail、容器服务Kubernetes版)、存储(OSS、NAS)、网络(SLB、API网关)、数据库(关系型数据库RDS、云原生分布式数据库PolarDB-X)、安全(WAF、云防火墙、云安全中心)等云产品日志,采集完成后,会自动存储到对应Logstore中,并生成对应的仪表盘,详情如下表所示。
| 云产品 | 审计相关日志 | 采集地域 | 使用前提 | 日志服务资源 |
|---|---|---|---|---|
| 操作审计 | RAM登录日志、阿里云产品的资源操作日志、通过OpenAPI的操作行为 | 所有在售地域 | 无 |
|
| 负载均衡 | HTTP或HTTPS侦听实例的7层网络日志 | 所有在售地域 | 无 |
|
| API网关 | 访问日志 | 所有在售地域 | 无 |
|
| Web应用防火墙 | 访问日志、攻击日志 | 所有在售地域 |
|
|
| 云安全中心 | 7种主机日志、4种网络日志、3种安全日志 | 所有在售地域 |
|
|
| 云防火墙 | 互联网流量日志 | 不涉及 |
|
|
| 堡垒机 | 操作命令日志 | 华东1(杭州)、华东2(上海)、华南2(河源)、西南1(成都) | V3.2版本及以上 |
|
| 对象存储 | 资源操作日志、数据操作日志、数据访问日志、计量日志、过期文件删除日志、CDN回流日志 | 所有在售地域 | 无 |
|
| 关系数据库RDS | MySQL、SQL Server、PostgreSQL审计日志 |
|
|
|
| 云原生分布式数据库PolarDB-X | 审计日志 | 华北1(青岛)、华南1(深圳)、华东2(上海)、华北2(北京)、华东1(杭州)、华北3(张家口)、西南1(成都)、中国(香港) | 无 |
|
| 文件存储 | 访问日志 | 所有在售地域 | 无 |
|
| 移动推送 | 推送回调事件 | 中国内地 | 无 |
|
| 容器服务Kubernetes版 |
|
华东2(上海)、华北2(北京)、华东1(杭州)、华南1(深圳)、华北5(呼和浩特)、华北3(张家口)、西南1(成都)、中国(香港) | 针对Kubernetes的采集,需要您先手动开通对应的日志采集功能。
说明
|
|