混合云平台产品操作日志审计解决方案
方案介绍
混合云产品操作日志审计解决方案,是集合混合云平台内多个审计日志场景,满足用户对所有产品的界面类用户操作能日志审计的综合方案。
使用场景
本实践适用于企业版V3.12及其以上版本。
本实践场景适用于用户登录Apsara Uni-manager运营控制台,用户侧产品的增删改查类日志,格式化写入审计平台。用于用户操作分析,归纳管理甚至制约用户不当行为。
产品范围:大数据开发治理平台DataWorks、大数据计算MaxCompute、云数据库RDS、实时计算Blink、机器学习PAI、开源大数据平台E-MapReduce、消息队列MQ、专有网络VPC、云服务器ECS、容器服务Kubernetes 、对象存储OSS、负载均衡SLB、文件存储NAS、异地容灾ASR-DR、Apsara Uni-manager运营控制台。
注意事项:本实践方案适合联合研发场景,需要评估、限制日志数据量和请求量;需要基于天基管理部署,提供配置给云盾合进版本,通过升级云盾版本获取审计日志格式的数据;本方案是入侵产品版本的方案。
方案概述
本实践方案是用户进入混合云管理平台,判断当前用户角色,对应审计角色在审计日志模块查看对应权限的操作记录,达到审计用户的目的。
方案详细步骤及验证
操作日志写入简单日志服务,云盾从简单日志服务抽取审计内容。
云产品接入审计日志。
已经接入天基运维控制台的产品登录天基平台,单击运维>服务运维,进入服务模版,写入产品日志收集配置固化,如图:
整理接入的XML文件,提供给云盾产品申请接入,升级云盾配置。
<auditlog> <id>pai-dms</id> <name>Pai Operation Logs</name> <type>USER</type> <cloudTypes> <cloudType>ApsaraStack</cloudType> <cloudType>ApsaraStackInsight</cloudType> </cloudTypes> <!-- sls配置,包括:project、logStore、topic、filter --> <sls> <project>tjm-yundun-security-auditlog</project> <logStore>auditlog</logStore> <topic>pai</topic> </sls> <!--日志结构化--> <entity> <property name="topic" field="__topic__" type="String" description=""/> <property name="time" field="time" type="Date" pattern="yyyy-MM-dd HH:mm:ss"/> <property name="userId" field="userId" type="String"/> <property name="action" field="action" type="String"/> <property name="result" field="result" type="String"/> </entity> <!--分类--> <categories> <category id="select" name="Select" description="Select Operation"/> <category id="create" name="Create" description="Create Operation"/> <category id="update" name="Update" description="Update Operation"/> <category id="delete" name="Delete" description="Delete Operation"/> </categories> <!--标准字段映射--> <mapping> <access_time property="time"/> <initiatior property="userId" description="Account"/> <outcome property="result"/> <action property="action"/> </mapping> <!--审计规则--> <rules> <!--规则1:高危删除--> <rule id="highrisk_delete_action" name="Delete (High Risk)" level="HIGH" category="delete" alert="true" description="Delete Operation (High Risk)"> <matcher property="action" operator="LIKE" value="delete"/> </rule> <!--规则2:用户修改实验--> <rule id="user_update" name="User Update Request" level="MEDIUM" alert="false" description="User Update Request"> <matcher logic="OR"> <matcher property="action" operator="LIKE" value="updateExperiment" /> <matcher property="action" operator="LIKE" value="updateParam" /> </matcher> </rule> <!--规则3:用户创建实验--> <rule id="user_create" name="User Create Request" level="LOW" alert="false" description="User Create Request"> <matcher property="action" operator="LIKE" value="createDocumentNode" /> </rule> <!--规则4:用户下载--> <rule id="user_download" name="User Download Request" level="MEDIUM" alert="false" description="User Download Request"> <matcher logic="OR"> <matcher property="action" operator="LIKE" value="queryPmmlOssPath" /> <matcher property="action" operator="LIKE" value="exportExperiment" /> </matcher> </rule> </rules> </auditlog>
单产品界面审计日志验证。
使用组织管理员账号登录Apsara Uni-manager运营控制台(ASCM),然后在页面顶部的菜单栏中,单击产品>大数据>机器学习PAI,跳转进入PAI管理界面。
在PAI管理界面中单击新建实验进行创建实验,并通过Apsara Uni-manager运营控制台跳转登录在简单日志服务portal中查看到对应时间日志。
创建实验的action日志记录如下:
PAI管理界面中修改实验,同理在简单日志服务portal中查看到日志。
修改实验的action日志记录如下:
管理界面中用户下载,单击导出实验下载模型,同理在简单日志服务portal中查看日志。
导出实验的日志如下:
管理界面中单击删除,删除实验模型,同理在简单日志服务portal中查看到日志。
删除实验的日志如下:
混合云管理平台界面登录审计日志验证。
使用安全审计员用户登录Apsara Uni-manager运营控制台后,在安全的全局平台安全列,通过安全审计页面,可查看其他用户原始日志。
单击安全审计,跳转进入安全中心;单击原始日志,并选择审计类型为用户操作,通过时间和不同的审计对象切换来查看审计。
审计到Apsara Uni-manager运营控制台高危操作后,翻页查看具体操作CreateVswitch日志:
审计策略设置。
在审计主页的策略设置栏新增规则,比如定义Apsara Uni-manager运营控制台的admin用户操作ECS实例创建等操作为高危操作,可以审计。
审计查询。
在安全审计栏,通过审计查询的审计类型设置为:用户操作,审计对象选择:ascm用户操作日志,查看全局风险日志,审计到有高风险操作;
查看具体的操作情况为:admin操作的高风险事件,具体的实事件是admin账号删除了ECS实例;
通过以上方案,用户对产品的增删改查日志都落入存储系统。
通过格式化数据在云盾的审计系统中统一策略监管。用户可以根据自定义的审计逻辑对不同用户作对应的操作审计,使整体系统的安全性得到保障。
- 本页导读