简介:日志审计是信息安全审计性能的外围局部,是企业信息系统平安危险管控的重要组成部分。SLS 的日志审计服务针对阿里云的多种云产品(Actiontrail、OSS、SLB、RDS、PolarDB、SAS、WAF 等)提供了一站式的日志收集、存储、查问、可视化和告警能力,可用于撑持平安剖析、合规审计等常见利用场景。
一、背景
日志审计简介
日志审计是信息安全审计性能的外围局部,是企业信息系统平安危险管控的重要组成部分。SLS 的日志审计服务针对阿里云的多种云产品(Actiontrail、OSS、SLB、RDS、PolarDB、SAS、WAF 等)提供了一站式的日志收集、存储、查问、可视化和告警能力,可用于撑持平安剖析、合规审计等常见利用场景。
日志审计的特点:
• 中心化采集
• 跨账号:反对将多个主账号下的日志采集到一个主账号下的 Project 中。
• 一键式采集:一次性配置采集策略后,即可实现跨账号主动实时发现新资源(例如新创建的 RDS、SLB、OSS Bucket 实例等)并实时采集日志。
• 中心化存储:将采集到的日志存储到某个地区的中心化 Project 中,不便后续查问剖析、可视化与告警、二次开发等。
• 反对丰盛的审计性能
• 继承日志服务现有的所有性能,包含查问剖析、加工、报表、告警、导出等性能,反对审计场景下中心化的审计等需要。
• 生态凋谢对接:与开源软件、阿里云大数据产品、第三方 SOC 软件无缝对接,充分发挥数据价值。
日志审计服务提供了对立的治理界面,便于用户可能便捷地进行云产品日志的采集配置。该页面提供了对于多种云产品审计日志采集开关、存储形式(区域化 / 中心化)、TTL、是否开启威逼情报检测等性能。
企业上云后面临的权限问题
家喻户晓,主账号领有该账号下所有资源的所有权,能够对该账号下对所有资源进行配置批改。企业上云后,特地是一个公司多个部门或者多个业务线进行开发的场景,如果都应用主账号操作,危险是十分高的。而 RAM 则为企业解决上述问题,提供了一套简略的统一分配权限、集中管控资源的平安资源管制体系。
企业上云后,面临的一些常见的权限管控问题:
• 存在多用户协同操作,RAM 用户分工不同,各司其职。
• 云账号不想与其余 RAM 用户共享云账号密钥,密钥泄露危险较大。
• RAM 用户对资源的拜访形式多种多样,资源泄露危险高。
• 某些 RAM 用户来到组织时,须要发出其对资源的拜访权限。
企业上云后,能够通过创立、治理 RAM 用户,并管制这些 RAM 用户对资源的操作权限(权限最小分配原则),从而达到权限管制的目标。而日志审计服务作为云上日志平安审计的控制中心,是云上日志合规的配置入口,安全性至关重要。同样的,咱们也能够正当的利用 RAM 达到权限管制目标。
二、日志审计最佳实际
为了利用 RAM 对日志审计服务进行权限管制,首先须要明确日志审计场景下波及的资源:
• 日志审计 APP,https://sls.console.aliyun.co…
• 存储审计日志的 Project 下的资源,包含了 Project、Logstore、索引、报表、数据加工工作等。Project 分为两类:
• 核心 Project:slsaudit-center-${uid}-${region}
• 区域 Project:slsaudit-region-${uid}-${region}
权限管制波及的账号类型及权限,按权限从大到小程序:
• 主账号:
• 权限:人造领有对 APP、Proejct 资源所有管制权限。
• 应用场景:不倡议间接应用。
• 领有日志审计写权限的子账号(首次开明):
• 权限:
• 零碎权限策略:AliyunRAMFullAccess/AliyunSTSAssumeRoleAccess,用于主动创立审计须要的内置角色 sls-audit-service-dispatch、sls-audit-service-monitor。
• 自定义日志审计写最小权限:须要领有日志审计 APP 的查看、配置权限,能够查看日志审计 project 下的数据。
• 应用场景:能够对日志审计进行首次开明及后续配置变更。
• 领有日志审计写权限的子账号(非首次开明):
• 权限:
• 零碎权限策略:AliyunRAMReadOnlyAccess/AliyunSTSAssumeRoleAccess。
• 自定义日志审计写最小权限:须要领有日志审计 APP 的查看、配置权限,能够查看日志审计 project 下的数据。
• 应用场景:日志审计开明后,能够对日志审计进行相干的配置变更。
• 领有日志审计只读权限的子账号:
• 权限:
• 零碎权限策略:AliyunRAMReadOnlyAccess/AliyunSTSAssumeRoleAccess。
• 自定义日志审计只读最小权限:须要领有日志审计 APP 的查看权限,能够查看日志审计 project 下的数据。
• 应用场景:实用于个别权限的开发者。仅可查看日志审计配置,及 Project 中的数据。
三、RAM 子账号日志审计操作的最小权限
1、自定义日志审计写最小权限
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:GetApp",
"log:CreateApp"
],
"Resource": ["acs:log:*:*:app/audit"]
},
{
"Effect": "Allow",
"Action": [
"log:Get*",
"log:List*",
"log:CreateJob",
"log:UpdateJob",
"log:CreateProject"
],
"Resource": ["acs:log:*:*:project/slsaudit-*"]
}
]
}
2、自定义日志审计只读最小权限
绝对于“自定义日志审计写最小权限”,去掉了 ”log:CreateApp” “log:CreateJob” “log:UpdateJob” “log:CreateProject” 等权限。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": ["log:GetApp"],
"Resource": ["acs:log:*:*:app/audit"]
},
{
"Effect": "Allow",
"Action": [
"log:Get*",
"log:List*"
],
"Resource": ["acs:log:*:*:project/slsaudit-*"]
}
]
}
四、操作步骤
1、创立第三局部中提到的权限
例如创立名为 audit_test 的权限策略。
2、依照第二局部的权限列表,对子账号进行受权
3、登陆子账号进行审计操作
五、通过权限否定管制
本文第三局部提到的“RAM 子账号日志审计操作的最小权限”,次要是正向登程,尽可能地限度子账号权限。然而某些场景下,子账号心愿领有 SLS 较大的权限,然而须要把日志审计 APP 配置权限排除在外,这时候就须要应用 RAM 的权限否定性能。具体的权限配置如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": ["log:CreateApp"],
"Resource": ["acs:log:*:*:app/audit"]
},
{
"Effect": "Deny",
"Action": [
"log:CreateJob",
"log:UpdateJob",
"log:CreateProject"
],
"Resource": ["acs:log:*:*:project/slsaudit-*"]
}
]
}
例如,授予了子账号 AliyunLogFullAccess 权限,子账号会领有全副的 SLS 权限。然而想发出审计 APP 配置权限时,能够增加自定义否定策略。
原文链接
本文为阿里云原创内容,未经容许不得转载。