操作审计能够记录和查询用户在云上的操作事件。操作事件能够帮助企业进行日常的问题排查和安全分析,同时也是企业重要的机密数据,代表着企业云上IT管控的模型。这些事件在存储和使用过程中需要防范数据篡改和非法访问。您需要启用必要的安全防护措施和安全管理办法,以确保审计本身的完备性以及操作事件的安全性。本文为您介绍相应的安全实践建议,您可以根据对应场景进行选用。

基于跟踪的完备审计和安全分析

期望效果 解决办法 详细说明 参考文档
等保2.0要求企业将操作事件存储180天及以上,平台仅有的90天历史事件不满足要求,需获取并存储更长时间的操作事件。 创建跟踪。 操作审计支持在云平台记录您最近90天的操作事件,如果您不进行转存保留,每过去一天就会清除最早一天的记录。当您需要存储超过90天的操作事件时,必须创建跟踪。

您可以创建跟踪,将操作事件持续投递到对象存储OSS中进行长时间存储。

跟踪也支持将操作事件持续投递到日志服务SLS中进行监控和分析,但如果是单纯的归档存储诉求,更推荐您存储到对象存储OSS。

国家法规和行业标准要求记录全量操作事件。 设置跟踪的地域为全部地域,跟踪的事件类型为所有事件。 为了获取阿里云账号中所有操作事件的记录,建议您将跟踪的地域设置为全部地域,确保对所有地域的事件进行记录。当阿里云支持新的地域时,也将包含其中,无须进行其他设置。

由于合规要求,读操作和写操作都需要保留操作事件,建议您将跟踪的事件类型设置为所有事件。

  • 长时间存储操作事件(公司IT部门或安全合规部门要求,记录超过90天的云上操作事件)。
  • 对操作事件进行归档或下载(向合规部门提供近几年的操作事件)。
  • 对敏感操作进行分析和告警。
将操作事件投递到对象存储OSS或日志服务SLS。 您可以创建跟踪,将操作事件投递到对象存储OSS或日志服务SLS。
  • 对象存储OSS:帮助您低成本、长时间存储操作事件,根据需要进行下载和使用。
  • 日志服务SLS:帮助您分析操作记录,创建统计仪表盘或针对特定事件发送短信、Email和钉钉等告警通知。

操作事件的安全管理

期望效果 解决办法 详细说明 参考文档
将操作事件投递到对象存储OSS时,加密操作事件,确保云上操作事件的安全性。 采用KMS托管密钥加密。 当您创建跟踪并将操作事件投递到对象存储OSS时,默认使用OSS完全托管密钥进行加解密(SSE-OSS)。

如果您需要使用可以直接管理的加密密钥,可以使用KMS托管密钥进行加解密(SSE-KMS)。您可以进行以下操作:

  • 在OSS控制台创建开启服务端加密的存储空间,然后在操作审计控制台创建跟踪并将操作事件投递到该存储空间。
  • 在操作审计控制台创建跟踪时,选择创建新的存储空间,并开启服务端加密。
操作事件存储在OSS或SLS的期间禁止操作事件被修改或删除,以确保事件可靠性。 配置OSS的合规保留策略。 当您创建跟踪并将操作事件投递到对象存储OSS时,需要设置OSS文件的合规保留策略。例如:添加一条基于时间的合规保留策略,设置用户在保护周期内不可以修改或删除操作事件。
说明 日志服务SLS中的操作事件不可删除和修改,无需单独进行设置。
合规保留策略
严格控制操作事件的访问权限。 OSS或SLS的最小化访问授权。 当您创建跟踪并将操作事件投递到对象存储OSS或日志服务SLS时,需要授予阿里云账号(或RAM用户)访问OSS或SLS的权限,以便成功完成事件投递。而日常使用操作事件时也要将事件读权限授予相关工作人员。

建议权限配置符合最小化原则,避免不当的授权导致服务实例被删除或篡改,避免非必要人员对操作事件的访问。

严格控制审计管理员的管控权限。 合理管控操作审计管理员权限。 拥有AliyunActionTrailFullAccess权限(操作审计管理员权限)的用户,可以修改和删除跟踪。跟踪变更后将影响操作事件的投递,从而影响您对操作事件的跟踪和审计。

建议将此权限授予尽可能少的用户。