本文介绍日志审计服务的应用场景、技术优势、覆盖的云产品及使用限制。

日志审计服务在继承现有日志服务所有功能外,还支持多账户下实时自动化、中心化采集云产品日志并进行审计,以及支持审计所需的存储、查询及信息汇总。覆盖基础(ActionTrail)、存储(OSS、NAS)、网络(SLB、API网关)、数据库(RDS、DRDS)、安全(WAF、Cloud Firewall、云安全中心)等产品以及支持自由对接其他生态产品或自有SOC中心。日志审计-005

背景信息

  • 日志审计是法律刚性需求
    无论国内外,企业落实日志审计越来越迫切。尤其中国内地于2017年实施了《网络安全法》、即将于2020年12月实施《网络安全等保2.0标准》。日志审计-001
  • 日志审计是客户安全合规依赖的基础
    很多企业自身有成熟的法规条例以及合规审计团队,对账号设备操作、网络行为、日志进行审计。客户可以直接消费原生各类日志,也可以使用日志审计服务提供的审计功能,构建并输出合规的审计信息。如果客户有安全中心(SOC),则可以直接消费日志审计中的日志,也可以使用阿里云安全中心消费日志。日志审计-002
  • 日志审计是安全防护的重要一环

    根据FileEye M-Trends 2018报告,企业安全防护管理能力薄弱,尤其是亚太地区。企业组织的攻击从发生到发现所需时长平均101天,而亚太地域平均需要498天。其中发现后的验证平均需要58天。企业需要长期、可靠、无篡改的日志记录与审计支持来持续缩短这个时间。

应用场景

  • 日志服务与审计场景
    日志服务作为行业领先的日志大数据解决方案,提供一站式数据采集、清洗、分析、可视化和告警功能。一直很好的支持日志服务相关场景:DevOps、运营、安全、审计。日志审计-003
  • 典型日志审计场景
    日志审计一般分成如下4层需求。日志审计-004
    • 基础需求:大部分中小企业客户需要自动化采集存储日志。他们的主要诉求是满足《网络安全等保2.0标准》中的最低要求,并脱离手工维护。
    • 高级需求:跨国企业、大企业以及部分中型企业,存在多个部门之间独立结算并且在阿里云账号的使用上各自隔离,但是在审计的时候,需要自动化、统一采集相关日志。他们的主要诉求是除上述的基础诉求外,还希望中心化采集日志并支持多个账号的简单管理。这部分企业一般拥有审计系统,因此对日志审计的需求是能够实时、简单的对接。
    • 更上层的需求:拥有专门合规团队的大公司,他们需要对日志进行监控、告警和分析。一部分客户采集数据到审计系统中进行操作。另一部分客户(尤其是计划在云上搭建一套新审计系统的客户)可以使用日志服务提供的审计支持(查询、分析、告警、可视化等)进行审计操作。
    • 最顶端需求:拥有专业成熟审计合规团队的大企业,一般拥有自己的安全中心或审计系统,他们的核心需求是对接数据进行统一操作。

    针对以上4类客户需求,日志服务的日志审计服务都可以比较好的满足。

技术优势

  • 中心化采集
    • 跨账号:支持将多个主账号下的日志采集到一个主账号下的Project中。
    • 一键式采集:一次性配置采集策略后,即可完成跨账号自动实时发现新资源(例如新创建的RDS、SLB、OSS Bucket实例等)并实时采集日志。
    • 中心化存储:将采集到的日志存储到某个地域的中心化Project中,方便后续查询分析、可视化与告警、二次开发等。
  • 支持丰富的审计功能
    • 继承日志服务现有的所有功能,包括查询分析、加工、报表、告警、导出等功能,支持审计场景下中心化的审计等需求。
    • 生态开放对接:与开源软件、阿里云大数据产品、第三方SOC软件无缝对接,充分发挥数据价值。

云产品覆盖及相关资源

日志审计服务支持采集基础(ActionTrail)、存储(OSS、NAS)、网络(SLB、API网关)、数据库(RDS、DRDS)、安全(WAF、Cloud Firewall、云安全中心)等云产品日志,采集完成后,会自动存储到对应Logstore中,并生成对应的仪表盘,详情如下表所示。
云产品 审计相关日志 采集地域 使用前提 Logstore名称 仪表盘名称
操作审计 IAM或RAM登录日志、阿里云产品的资源操作日志、通过OpenAPI的操作行为 所有在售地域 actiontrail_log
  • ActionTrail审计中心
  • ActionTrail核心配置中心
  • ActionTrail登录中心
负载均衡 HTTP或HTTPS侦听实例的7层网络日志 所有在售地域 slb_log
  • SLB审计中心
  • SLB访问中心
  • SLB全局数据
API网关 访问日志 所有在售地域 apigateway_log API网关审计中心
Web应用防火墙 访问日志、攻击日志 所有在售地域
  • 高级版本及以上
  • 需在WAF中购买日志实时分析模块
waf_log
  • WAF审计中心
  • WAF安全中心
  • WAF访问中心
云安全中心 14类日志: 主机7类、网络- DNS/ Web/Session、基线/告警/漏洞日志、对ECS资源的主机内或网络层的操作日志 所有在售地域
  • 企业版本及以上
  • 在SAS控制台已开通通过日志审计功能收集日志功能
sas_log
  • 主机
    • 账户快照
    • 进程快照
    • 网络连接中心
  • 网络
    • 网络会话
    • DNS中心
  • 安全
    • Web访问漏洞中心
    • 基线中心
    • 安全告警中心
云防火墙 互联网流量日志 所有在售地域
  • 高级版本及以上
  • 在云防火墙控制台中已购买日志分析模块
cloudfirewall_log 云防火墙审计中心
堡垒机 操作命令日志 华东1(杭州)、华东2(上海)、华南2(河源)、西南1(成都) V3.2版本及以上 baston_log
对象存储 资源操作日志、数据操作日志、数据访问日志、计量日志、过期文件删除日志、CDN回流日志 所有在售地域 oss_log
  • OSS审计中心
  • OSS访问中心
  • OSS运维中心
  • OSS性能中心
  • OSS全局数据
关系数据库 MySQL、Microsoft SQL Server、PostgreSQL审计日志
  • 中国:华北1(青岛)、华北2(北京)、华北5(呼和浩特)、华东1(杭州)、华东2(上海)、华南1(深圳)、中国(香港)
  • 海外:新加坡、马来西亚(吉隆坡)、 印度尼西亚(雅加达)、德国(法兰克福)、澳大利亚(悉尼)、 印度(孟买)、日本(东京)
  • MySQL:不支持基础版
  • PostgreSQL、Microsoft SQL Server:无限制
  • 均需开启SQL洞察/审计(无需手动开启,会自动完成)。
rds_log
  • RDS审计中心
  • RDS审计安全中心
  • RDS审计性能中心
  • RDS全局数据
分布式关系型数据库 审计日志 华北1(青岛)、华南1(深圳)、华东2(上海)、华北2(北京)、华东1(杭州)、张家口、中国(香港) 目前不支持共享实例。 drds_log
  • DRDS运营中心
  • DRDS安全中心
  • DRDS性能中心
文件存储 访问日志 所有在售地域 nas_log
  • NAS概览
  • NAS审计中心
  • NAS运维中心
移动推送 推送回调事件 中国内地 cps_log
  • Android回执中心
  • iOS回执中心

使用限制

  • 存储方式与地域限制
    • 中心化存储
      从各个主账号的各个地域采集到的日志,会存储到中心主账号下的一个中心化Project中,目前中心化存储可供选择的地域如下所示。
      • 中国:华北2(北京)、华北5(呼和浩特)、华东1(杭州)、华东2(上海)、华南1(深圳)
      • 海外:新加坡
    • 区域化存储

      对于SLB、OSS、DRDS的访问日志,日志审计服务支持将各个主账号采集到的日志存储到中心主账号下的各个与SLB、OSS、DRDS实例处于相同地域的日志服务Project中(例如:杭州的OSS访问日志,存储到杭州的日志服务Project中)。

    • 同步到中心

      对于SLB、OSS、DRDS的区域化存储,支持将各个地域的Logstore同步到一个中心化的Logstore中,以便做中心化查询、分析、告警、可视化、二次开发等。

      同步机制依赖日志服务数据加工,支持的地域:支持除华北1(青岛)、华南2(河源)外的的所有地域。

  • 资源限制
    • 中心主账号下对应的中心化Project只有一个,名为slsaudit-center-{中心化账号的ID}-{配置的区域},例如:slsaudit-center-1234567890-cn-beijing。无法通过控制台删除中心化Project,只能通过命令行、API删除。
    • 对于SLB、OSS、DRDS,可以有多个区域化Project,名为slsaudit-region-{中心化账号的ID}-{各个采集区域},例如:slsaudit-region-1234567890-cn-beijing。无法通过控制台删除区域化Project,只能通过命令行、API删除。
    • 配置云产品日志采集后,日志审计服务会创建专属Logstore,具备日志服务Logstore所有的功能,除以下操作限制。
      • 保护数据不被篡改,您无法自行写入数据,修改或删除索引。
      • 只能通过日志审计服务的配置页面或接口修改存储周期、删除Logstore。
      • 对于SLB、OSS、DRDS,如果开启了同步到中心功能,在对应的区域化Project中,会生成数据加工任务。
        • 数据加工任务名为Internal Job: SLS Audit Service Data Sync for OSS Access或Internal Job: SLS Audit Service Data Sync for SLB。
        • 您只能通过日志审计服务的配置页面或接口关闭该数据加工任务。
        • 开启了同步到中心功能的区域化Logstore会变成同步专属的Logstore,您无法进行任何操作,如果需要查询等操作时,可以直接在中心化Logstore中操作。

费用说明

  • 日志服务

    中心主账号需要开通日志服务与日志审计服务App,从其他主账号采集日志到中心主账号下。除特定云产品日志依赖外,其他主账号默认无需开通日志服务,也不会在其账号的日志服务下产生特定费用。目前日志审计服务免费,其涉及的数据存储、读写流量等按量付费,详情请参见计费方式

    支持免费额度,支持用已购买的资源包抵扣相应的费用。

  • 云产品
    开通日志审计服务与对应云产品的日志采集后,在云产品侧可能会产生额外的费用,如下所示。
    云产品 额外费用
    Web应用防火墙(WAF) 在Web应用防火墙控制台上购买日志实时分析模块,费用详情请参见计费方式
    云安全中心 (SAS) 在云安全中心控制台开通通过日志审计功能收集日志功能,费用详情请参见计费模式
    云防火墙(Coud Firewall) 在云防火墙控制台上购买日志分析模块,费用详情请参见日志分析计费方式
    关系数据库(RDS) 开启RDS审计采集后,会自动开启符合条件的RDS实例的SQL洞察(SQL审计)功能,费用详情请参见价格、收费项与计费方式