保障审计的安全性

操作审计能够记录和查询用户在云上的事件。这些事件能够帮助企业进行日常的问题排查和安全分析,同时也是企业重要的机密数据,代表着企业云上IT管控的模型。在事件的存储和使用过程中需要防范数据篡改和非法访问。您需要启用必要的安全防护措施和安全管理办法,以确保审计本身的完备性以及事件的安全性。本文为您介绍相应的安全实践建议,您可以根据对应场景进行选用。

基于跟踪的完备审计和安全分析

期望效果

解决办法

详细说明

参考文档

等保2.0要求企业将事件存储180天及以上,平台仅有的90天历史事件不满足要求,需获取并存储更长时间的事件。

创建跟踪。

操作审计支持在云平台记录您最近90天的事件,如果您不进行转存保留,每过去一天就会清除最早一天的记录。当您需要存储超过90天的事件时,必须创建跟踪。

您可以创建跟踪,将事件持续投递到对象存储OSS中进行长时间存储。

跟踪也支持将事件持续投递到日志服务SLS中进行监控和分析,但如果是单纯的归档存储诉求,更推荐您存储到对象存储OSS。

国家法规和行业标准要求记录全量事件。

设置跟踪的地域为全部地域,跟踪的事件类型为所有事件。

为了获取阿里云账号中所有事件的记录,建议您将跟踪的地域设置为全部地域,确保对所有地域的事件进行记录。当阿里云支持新的地域时,也将包含其中,无须进行其他设置。

由于合规要求,读操作和写操作都需要保留事件,建议您将跟踪的事件类型设置为所有事件。

  • 长时间存储事件(公司IT部门或安全合规部门要求,记录超过90天的云上事件)。

  • 对事件进行归档或下载(向合规部门提供近几年的事件)。

  • 对敏感操作进行分析和告警。

将事件投递到对象存储OSS或日志服务SLS。

您可以创建跟踪,将事件投递到对象存储OSS或日志服务SLS。

  • 对象存储OSS:帮助您低成本、长时间存储事件,根据需要进行下载和使用。

  • 日志服务SLS:帮助您分析操作记录,创建统计仪表盘或针对特定事件发送短信、Email和钉钉等告警通知。

事件的安全管理

期望效果

解决办法

详细说明

参考文档

将事件投递到对象存储OSS时,加密事件,确保云上事件的安全性。

采用KMS托管密钥加密。

当您创建跟踪并将事件投递到对象存储OSS时,默认使用OSS完全托管密钥进行加解密(SSE-OSS)。

如果您需要使用可以直接管理的加密密钥,可以使用KMS托管密钥进行加解密(SSE-KMS)。您可以进行以下操作:

  • 在OSS控制台创建开启服务端加密的存储空间,然后在操作审计控制台创建跟踪并将事件投递到该存储空间。

  • 在操作审计控制台创建跟踪时,选择创建新的存储空间,并开启服务端加密。

服务器端加密

将事件投递到日志服务SLS时,加密事件,确保云上事件的安全性。

采用KMS托管密钥或日志服务的服务密钥加密。

当您创建跟踪并将事件投递到日志服务SLS时,操作审计会自动创建一个名为actiontrail_<跟踪名称>的日志库(Logstore)。您可以使用KMS托管密钥或日志服务的服务密钥为Logstore进行加密设置,从而加密事件。

数据加密

事件存储在OSS或SLS的期间禁止事件被修改或删除,以确保事件可靠性。

配置OSS的合规保留策略。

当您创建跟踪并将事件投递到对象存储OSS时,需要设置OSS文件的合规保留策略。例如:添加一条基于时间的合规保留策略,设置用户在保护周期内不可以修改或删除事件。

说明

日志服务SLS中的事件不可删除和修改,无需单独进行设置。

保留策略

严格控制事件的访问权限。

OSS或SLS的最小化访问授权。

当您创建跟踪并将事件投递到对象存储OSS或日志服务SLS时,需要授予阿里云账号(或RAM用户)访问OSS或SLS的权限,以便成功完成事件投递。而日常使用事件时也要将事件读权限授予相关工作人员。

建议权限配置符合最小化原则,避免不当的授权导致服务实例被删除或篡改,避免非必要人员对事件的访问。

严格控制审计管理员的管控权限。

合理管控操作审计管理员权限。

拥有AliyunActionTrailFullAccess权限(操作审计管理员权限)的用户,可以修改和删除跟踪。跟踪变更后将影响事件的投递,从而影响您对事件的跟踪和审计。

建议将此权限授予尽可能少的用户。