简介: 日志审计是信息安全审计功能的核心部分,是企业信息系统安全风险管控的重要组成部分。SLS的日志审计服务针对阿里云的多种云产品(Actiontrail、OSS、SLB、RDS、PolarDB、SAS、WAF等)提供了一站式的日志收集、存储、查询、可视化和告警能力,可用于支撑安全分析、合规审计等常见应用场景。

一、背景

日志审计简介

日志审计是信息安全审计功能的核心部分,是企业信息系统安全风险管控的重要组成部分。SLS的日志审计服务针对阿里云的多种云产品(Actiontrail、OSS、SLB、RDS、PolarDB、SAS、WAF等)提供了一站式的日志收集、存储、查询、可视化和告警能力,可用于支撑安全分析、合规审计等常见应用场景。

日志审计的特点:

  • 中心化采集

    • 跨账号:支持将多个主账号下的日志采集到一个主账号下的Project中。
    • 一键式采集:一次性配置采集策略后,即可完成跨账号自动实时发现新资源(例如新创建的RDS、SLB、OSS Bucket实例等)并实时采集日志。
    • 中心化存储:将采集到的日志存储到某个地域的中心化Project中,方便后续查询分析、可视化与告警、二次开发等。
  • 支持丰富的审计功能

    • 继承日志服务现有的所有功能,包括查询分析、加工、报表、告警、导出等功能,支持审计场景下中心化的审计等需求。
    • 生态开放对接:与开源软件、阿里云大数据产品、第三方SOC软件无缝对接,充分发挥数据价值。

日志审计服务提供了统一的管理界面,便于用户能够便捷地进行云产品日志的采集配置。该页面提供了对于多种云产品审计日志采集开关、存储方式(区域化/中心化)、TTL、是否开启威胁情报检测等功能。

企业上云后面临的权限问题

众所周知,主账号拥有该账号下所有资源的所有权,可以对该账号下对所有资源进行配置修改。企业上云后,特别是一个公司多个部门或者多个业务线进行开发的场景,如果都使用主账号操作,风险是非常高的。而RAM则为企业解决上述问题,提供了一套简单的统一分配权限、集中管控资源的安全资源控制体系。

企业上云后,面临的一些常见的权限管控问题:

  • 存在多用户协同操作,RAM用户分工不同,各司其职。
  • 云账号不想与其他RAM用户共享云账号密钥,密钥泄露风险较大。
  • RAM用户对资源的访问方式多种多样,资源泄露风险高。
  • 某些RAM用户离开组织时,需要收回其对资源的访问权限。

企业上云后,可以通过创建、管理RAM用户,并控制这些RAM用户对资源的操作权限(权限最小分配原则),从而达到权限控制的目的。而日志审计服务作为云上日志安全审计的控制中心,是云上日志合规的配置入口,安全性至关重要。同样的,我们也可以合理的利用RAM达到权限控制目的。

二、日志审计最佳实践

为了利用RAM对日志审计服务进行权限控制,首先需要明确日志审计场景下涉及的资源:

  • 日志审计APP,https://sls.console.aliyun.com/lognext/app/audit/audit_global_config可以查看。
  • 存储审计日志的Project下的资源,包括了Project、Logstore、索引、报表、数据加工任务等。Project分为两类:
    • 中心Project:slsaudit-center-${uid}-${region}
    • 区域Project:slsaudit-region-${uid}-${region}

权限控制涉及的账号类型及权限,按权限从大到小顺序:

  • 主账号:
    • 权限:天然拥有对APP、Proejct资源所有控制权限。
    • 使用场景:不建议直接使用。
  • 拥有日志审计写权限的子账号(首次开通):
    • 权限:
      • 系统权限策略:AliyunRAMFullAccess/AliyunSTSAssumeRoleAccess,用于自动创建审计需要的内置角色sls-audit-service-dispatch、sls-audit-service-monitor。
      • 自定义日志审计写最小权限:需要拥有日志审计APP的查看、配置权限,可以查看日志审计project下的数据。
    • 使用场景:可以对日志审计进行首次开通及后续配置变更。
  • 拥有日志审计写权限的子账号(非首次开通):
    • 权限:
      • 系统权限策略:AliyunRAMReadOnlyAccess/AliyunSTSAssumeRoleAccess。
      • 自定义日志审计写最小权限:需要拥有日志审计APP的查看、配置权限,可以查看日志审计project下的数据。
    • 使用场景:日志审计开通后,可以对日志审计进行相关的配置变更。
  • 拥有日志审计只读权限的子账号:
    • 权限:
      • 系统权限策略:AliyunRAMReadOnlyAccess/AliyunSTSAssumeRoleAccess。
      • 自定义日志审计只读最小权限:需要拥有日志审计APP的查看权限,可以查看日志审计project下的数据。
    • 使用场景:适用于一般权限的开发者。仅可查看日志审计配置,及Project中的数据。

三、RAM子账号日志审计操作的最小权限

1、自定义日志审计写最小权限

{"Version": "1","Statement": [{"Effect": "Allow","Action": ["log:GetApp","log:CreateApp"],"Resource": ["acs:log:*:*:app/audit"]},{"Effect": "Allow","Action": ["log:Get*","log:List*","log:CreateJob","log:UpdateJob","log:CreateProject"],"Resource": ["acs:log:*:*:project/slsaudit-*"]}]
}

2、自定义日志审计只读最小权限

相对于“自定义日志审计写最小权限”,去掉了"log:CreateApp" "log:CreateJob" "log:UpdateJob" "log:CreateProject"等权限。

{"Version": "1","Statement": [{"Effect": "Allow","Action": ["log:GetApp"],"Resource": ["acs:log:*:*:app/audit"]},{"Effect": "Allow","Action": ["log:Get*","log:List*"],"Resource": ["acs:log:*:*:project/slsaudit-*"]}]
}

四、操作步骤

1、创建第三部分中提到的权限

例如创建名为audit_test的权限策略。

2、按照第二部分的权限列表,对子账号进行授权

3、登陆子账号进行审计操作

五、通过权限否定控制

本文第三部分提到的“RAM子账号日志审计操作的最小权限”,主要是正向出发,尽可能地限制子账号权限。但是某些场景下,子账号希望拥有SLS较大的权限,但是需要把日志审计APP配置权限排除在外,这时候就需要使用RAM的权限否定功能。详细的权限配置如下:

{"Version": "1","Statement": [{"Effect": "Deny","Action": ["log:CreateApp"],"Resource": ["acs:log:*:*:app/audit"]},{"Effect": "Deny","Action": ["log:CreateJob","log:UpdateJob","log:CreateProject"],"Resource": ["acs:log:*:*:project/slsaudit-*"]}]
}

例如,授予了子账号AliyunLogFullAccess权限,子账号会拥有全部的SLS权限。但是想收回审计APP配置权限时,可以添加自定义否定策略。

原文链接

本文为阿里云原创内容,未经允许不得转载。

企业上云如何对SLS日志审计服务进行权限控制相关推荐

  1. 企业上云规划与云原生环境设计

    作者:张羽辰(同昭)    阿里云技术服务平台团队 企业在开始使用云之前,必须要在云上建立一个安全.合规.灵活的 Landing Zone,其中随着云原生的流行,在传统的Landing Zone设计中 ...

  2. SLS日志审计:最新技术总结

    本文概述了过去一年 SLS 日志审计的技术发展. SLS 日志审计介绍 什么是日志审计 日志审计服务是阿里云日志服务 SLS 平台下的一款应用,它在继承了日志服务 SLS 的全部功能以外,还有强大的多 ...

  3. IT管理制胜关键,“企业上云”

    随着企业 IT 基础设施慢慢转移到互联网上,企业云网络的普及率不断的增长,基于企业 IT 管理一站式上云的解决方案,已成为企业管理者满足其业务战略的需求.云服务为企业提供了巨大的优势和工作量转移: I ...

  4. 腾讯安全发布新一代云防火墙,筑牢企业上云第一道安全防线

    12月22日,腾讯安全举行了2021腾讯新一代云防火墙线上发布会,正式对外公布了云防火墙产品新功能. 腾讯新一代云防火墙在实现SaaS部署.即开即用的基础上,集成了云原生应用程序的灵活性.扩展性.弹性 ...

  5. 企业上云后,如何安全管控云管理后台?

    随着数字经济的深入发展,云计算作为数字化发展的基座,企业上云浪潮也在不断持续增高.根据中国信通院数据,2021 年,我国云计算整体市场规模达 3,229 亿元,同比增长54.4%,预计未来几年将持续高 ...

  6. 云原生架构演进与企业上云

    点击上方蓝色字体,选择"设为星标" 优质文章,及时送达 过去的一段时间和一些架构师 / 技术负责人聊天,云原生和企业上云是最近一段架构演进的一个常见话题,那么小公司到大型公司在上云 ...

  7. 企业上云,如何做好服务器的安全?

    作者 | 阿文 责编 | maozz 出品 | CSDN(ID:CSDNnews) 随着虚拟化技术的蓬勃发展,近几年云计算产业规模不断壮大,各行业的数据量激增,通过云计算挖掘数据价值,以及企业IT基础 ...

  8. 阿里云安全掌门人肖力:企业上云,如何保证安全?| 问底中国 IT 技术演进

    受访者 | 肖力 采访者 | 伍杏玲 出品 | CSDN(ID:CSDNnews) 近日,国家互联网应急中心发布<2019 年上半年我国互联网网络安全态势>,报告显示在 2019 年上半年 ...

  9. 上云 企业 过程_企业上云有什么好处?该怎么上云?附操作步骤

    "工业互联网"作为新基建的细分领域之一,不仅被市场广泛关注,更在高层中被着重点名.先有国务院常务会议指出,发展数字经济新业态,依托工业互联网促进传统产业加快上线上云.后有工业和信息 ...

最新文章

  1. 数据结构(队列实现篇)
  2. java 多线程下载器_Java多线程的下载器(1)
  3. Python 字符串与列表去重
  4. 三分钟了解 Python3 的异步 Web 框架 FastAPI
  5. OpenCV属性页配置问题~
  6. mysql 5.7 源码编译安装_mysql-5.7.*源码编译安装
  7. qml入门学习(七):单独文件自定义组件
  8. 大家为什么去国企后都不想跳槽了?
  9. 【操作系统/OS笔记01】课程概要、什么是操作系统
  10. PowerShell在SharePoint 2010自动化部署中的应用(1)--代码获取
  11. Linux 安装 RMVB,rm,ape文件 解码器
  12. 自适应滤波器5-最小二乘法(LSM)
  13. freeswitch 改用mysql_freeswitch和Mysql
  14. coreldraw橙子怎么画_cdr怎么画一杯橙汁?CorelDRAW简单绘制的一杯满满的橙汁教程...
  15. vue3如何去掉控制台的warn信息
  16. java 获取视频第一帧 | Java工具类
  17. 9月8日,直播抽奖:涂鸦智能带您掘金千亿美金智能市场
  18. 网格化运维标书_运维网格化管理.ppt
  19. Calibre for Mac v5.20.0 中文版 电子书阅读管理工具
  20. CC00047.bdpositions——|Hadoop实时数仓.V27|——|项目.v27|需求三:数据处理增量统计广告.V1|——|需求分析|

热门文章

  1. 华为可以看游戏时长吗_怎么测试华为手机玩游戏的帧率情况
  2. php new static 效率,PHP中new static()与new self()的比较
  3. 湖南大学计算机网络实验,湖南大学《计算机网络》实验报告
  4. ftm模块linux驱动,飞思卡尔k系列_ftm模块详解.doc
  5. java 编译宏_java – 制作一个“宏”命令来运行程序
  6. python更新包列表出错_解决pycharm无法获取安装包文件列表
  7. python正则表达式生成器_Python学习之路-装饰器生成器正则表达式
  8. java 中导出word后压缩文件_Java批量导出word压缩后的zip文件案例
  9. django models索引_sql – 为什么Django显式地在唯一字段上创建索引
  10. map insert异常失败_处理dubbo反序列化失败的坑