简介:日志审计是信息安全审计功能的核心部分,是企业信息系统安全风险管控的重要组成部分。SLS的日志审计服务针对阿里云的多种云产品(Actiontrail、OSS、SLB、RDS、PolarDB、SAS、WAF等)提供了一站式的日志收集、存储、查询、可视化和告警能力,可用于支撑安全分析、合规审计等常见应用场景。
日志审计简介
日志审计是信息安全审计功能的核心部分,是企业信息系统安全风险管控的重要组成部分。SLS的日志审计服务针对阿里云的多种云产品(Actiontrail、OSS、SLB、RDS、PolarDB、SAS、WAF等)提供了一站式的日志收集、存储、查询、可视化和告警能力,可用于支撑安全分析、合规审计等常见应用场景。
日志审计的特点:
? 中心化采集
? 跨账号:支持将多个主账号下的日志采集到一个主账号下的Project中。
? 一键式采集:一次性配置采集策略后,即可完成跨账号自动实时发现新资源(例如新创建的RDS、SLB、OSS Bucket实例等)并实时采集日志。
? 中心化存储:将采集到的日志存储到某个地域的中心化Project中,方便后续查询分析、可视化与告警、二次开发等。
? 支持丰富的审计功能
? 继承日志服务现有的所有功能,包括查询分析、加工、报表、告警、导出等功能,支持审计场景下中心化的审计等需求。
? 生态开放对接:与开源软件、阿里云大数据产品、第三方SOC软件无缝对接,充分发挥数据价值。
日志审计服务提供了统一的管理界面,便于用户能够便捷地进行云产品日志的采集配置。该页面提供了对于多种云产品审计日志采集开关、存储方式(区域化/中心化)、TTL、是否开启威胁情报检测等功能。
企业上云后面临的权限问题
众所周知,主账号拥有该账号下所有资源的所有权,可以对该账号下对所有资源进行配置修改。企业上云后,特别是一个公司多个部门或者多个业务线进行开发的场景,如果都使用主账号操作,风险是非常高的。而RAM则为企业解决上述问题,提供了一套简单的统一分配权限、集中管控资源的安全资源控制体系。
企业上云后,面临的一些常见的权限管控问题:
? 存在多用户协同操作,RAM用户分工不同,各司其职。
? 云账号不想与其他RAM用户共享云账号密钥,密钥泄露风险较大。
? RAM用户对资源的访问方式多种多样,资源泄露风险高。
? 某些RAM用户离开组织时,需要收回其对资源的访问权限。
企业上云后,可以通过创建、管理RAM用户,并控制这些RAM用户对资源的操作权限(权限最小分配原则),从而达到权限控制的目的。而日志审计服务作为云上日志安全审计的控制中心,是云上日志合规的配置入口,安全性至关重要。同样的,我们也可以合理的利用RAM达到权限控制目的。
为了利用RAM对日志审计服务进行权限控制,首先需要明确日志审计场景下涉及的资源:
? 日志审计APP,https://sls.console.aliyun.co...
? 存储审计日志的Project下的资源,包括了Project、Logstore、索引、报表、数据加工任务等。Project分为两类:
? 中心Project:slsaudit-center-${uid}-${region}
? 区域Project:slsaudit-region-${uid}-${region}
权限控制涉及的账号类型及权限,按权限从大到小顺序:
? 主账号:
? 权限:天然拥有对APP、Proejct资源所有控制权限。
? 使用场景:不建议直接使用。
? 拥有日志审计写权限的子账号(首次开通):
? 权限:
? 系统权限策略:AliyunRAMFullAccess/AliyunSTSAssumeRoleAccess,用于自动创建审计需要的内置角色sls-audit-service-dispatch、sls-audit-service-monitor。
? 自定义日志审计写最小权限:需要拥有日志审计APP的查看、配置权限,可以查看日志审计project下的数据。
? 使用场景:可以对日志审计进行首次开通及后续配置变更。
? 拥有日志审计写权限的子账号(非首次开通):
? 权限:
? 系统权限策略:AliyunRAMReadOnlyAccess/AliyunSTSAssumeRoleAccess。
? 自定义日志审计写最小权限:需要拥有日志审计APP的查看、配置权限,可以查看日志审计project下的数据。
? 使用场景:日志审计开通后,可以对日志审计进行相关的配置变更。
? 拥有日志审计只读权限的子账号:
? 权限:
? 系统权限策略:AliyunRAMReadOnlyAccess/AliyunSTSAssumeRoleAccess。
? 自定义日志审计只读最小权限:需要拥有日志审计APP的查看权限,可以查看日志审计project下的数据。
? 使用场景:适用于一般权限的开发者。仅可查看日志审计配置,及Project中的数据。
1、自定义日志审计写最小权限
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:GetApp",
"log:CreateApp"
],
"Resource": [
"acs:log:*:*:app/audit"
]
},
{
"Effect": "Allow",
"Action": [
"log:Get*",
"log:List*",
"log:CreateJob",
"log:UpdateJob",
"log:CreateProject"
],
"Resource": [
"acs:log:*:*:project/slsaudit-*"
]
}
]
}2、自定义日志审计只读最小权限
相对于“自定义日志审计写最小权限”,去掉了"log:CreateApp" "log:CreateJob" "log:UpdateJob" "log:CreateProject"等权限。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:GetApp"
],
"Resource": [
"acs:log:*:*:app/audit"
]
},
{
"Effect": "Allow",
"Action": [
"log:Get*",
"log:List*"
],
"Resource": [
"acs:log:*:*:project/slsaudit-*"
]
}
]
}1、创建第三部分中提到的权限
例如创建名为audit_test的权限策略。
2、按照第二部分的权限列表,对子账号进行授权
3、登陆子账号进行审计操作
本文第三部分提到的“RAM子账号日志审计操作的最小权限”,主要是正向出发,尽可能地限制子账号权限。但是某些场景下,子账号希望拥有SLS较大的权限,但是需要把日志审计APP配置权限排除在外,这时候就需要使用RAM的权限否定功能。详细的权限配置如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"log:CreateApp"
],
"Resource": [
"acs:log:*:*:app/audit"
]
},
{
"Effect": "Deny",
"Action": [
"log:CreateJob",
"log:UpdateJob",
"log:CreateProject"
],
"Resource": [
"acs:log:*:*:project/slsaudit-*"
]
}
]
}例如,授予了子账号AliyunLogFullAccess权限,子账号会拥有全部的SLS权限。但是想收回审计APP配置权限时,可以添加自定义否定策略。
原文链接
本文为阿里云原创内容,未经允许不得转载。
我们在做网页的时候,为了更好,会添加一下自己喜欢的音乐,今天给大家带来这样...
Dreamweaver设计网页的时候,同一页面下有多个子页面时,就要使用框架结构来布局...
本方法是通过CSS3滤镜 filter 中的 drop-shadow 将png图片的非透明部分生成任意...
如题:高度已知,左右栏宽度300px,中间自适应: 弹性盒子本身就是并排的,我们...
对于系统运维、维护或开发人员来说,能很好、清楚的了解系统各方面资源的使用情...
在Dreamweaver为网页添加背景音乐播放器,是丰富页面活动的重要内容。本篇教程将...
这些天在尝试使用RTSP协议(Real Time Streaming Protocol,实时流传输协议)来完...
css的动画部分是会被js阻塞的,不过transform的动画则不会受影响。 下面举一个ma...
在vue组件的style标签内部有如下一段使用背景图片的css代码 background-image: u...
本文用图文并茂的方式介绍了容器、镜像的区别和 Docker 每个命令后面的技术细节...
