操作审计能够记录和查询用户在云上的事件。这些事件能够帮助企业进行日常的问题排查和安全分析,同时也是企业重要的机密数据,代表着企业云上IT管控的模型。在事件的存储和使用过程中需要防范数据篡改和非法访问。您需要启用必要的安全防护措施和安全管理办法,以确保审计本身的完备性以及事件的安全性。本文为您介绍相应的安全实践建议,您可以根据对应场景进行选用。
基于跟踪的完备审计和安全分析
期望效果 | 解决办法 | 详细说明 | 参考文档 |
等保2.0要求企业将事件存储180天及以上,平台仅有的90天历史事件不满足要求,需获取并存储更长时间的事件。 | 创建跟踪。 | 操作审计支持在云平台记录您最近90天的事件,如果您不进行转存保留,每过去一天就会清除最早一天的记录。当您需要存储超过90天的事件时,必须创建跟踪。 您可以创建跟踪,将事件持续投递到对象存储OSS中进行长时间存储。 跟踪也支持将事件持续投递到日志服务SLS中进行监控和分析,但如果是单纯的归档存储诉求,更推荐您存储到对象存储OSS。 | |
国家法规和行业标准要求记录全量事件。 | 设置跟踪的地域为全部地域,跟踪的事件类型为所有事件。 | 为了获取阿里云账号中所有事件的记录,建议您将跟踪的地域设置为全部地域,确保对所有地域的事件进行记录。当阿里云支持新的地域时,也将包含其中,无须进行其他设置。 由于合规要求,读操作和写操作都需要保留事件,建议您将跟踪的事件类型设置为所有事件。 | |
| 将事件投递到对象存储OSS或日志服务SLS。 | 您可以创建跟踪,将事件投递到对象存储OSS或日志服务SLS。
|
事件的安全管理
期望效果 | 解决办法 | 详细说明 | 参考文档 |
将事件投递到对象存储OSS时,加密事件,确保云上事件的安全性。 | 采用KMS托管密钥加密。 | 当您创建跟踪并将事件投递到对象存储OSS时,默认使用OSS完全托管密钥进行加解密(SSE-OSS)。 如果您需要使用可以直接管理的加密密钥,可以使用KMS托管密钥进行加解密(SSE-KMS)。您可以进行以下操作:
| |
将事件投递到日志服务SLS时,加密事件,确保云上事件的安全性。 | 采用KMS托管密钥或日志服务的服务密钥加密。 | 当您创建跟踪并将事件投递到日志服务SLS时,操作审计会自动创建一个名为 | |
事件存储在OSS或SLS的期间禁止事件被修改或删除,以确保事件可靠性。 | 配置OSS的合规保留策略。 | 当您创建跟踪并将事件投递到对象存储OSS时,需要设置OSS文件的合规保留策略。例如:添加一条基于时间的合规保留策略,设置用户在保护周期内不可以修改或删除事件。 说明 日志服务SLS中的事件不可删除和修改,无需单独进行设置。 | |
严格控制事件的访问权限。 | OSS或SLS的最小化访问授权。 | 当您创建跟踪并将事件投递到对象存储OSS或日志服务SLS时,需要授予阿里云账号(或RAM用户)访问OSS或SLS的权限,以便成功完成事件投递。而日常使用事件时也要将事件读权限授予相关工作人员。 建议权限配置符合最小化原则,避免不当的授权导致服务实例被删除或篡改,避免非必要人员对事件的访问。 | |
严格控制审计管理员的管控权限。 | 合理管控操作审计管理员权限。 | 拥有AliyunActionTrailFullAccess权限(操作审计管理员权限)的用户,可以修改和删除跟踪。跟踪变更后将影响事件的投递,从而影响您对事件的跟踪和审计。 建议将此权限授予尽可能少的用户。 |