超级会员免费看
AWS 中的日志记录与审计
1. AWS CloudTrail 概述
AWS CloudTrail 是一项用于记录 AWS 环境中所有 API 调用的 Web 服务。其事件日志包含以下关键信息:
- 事件源
- AWS 区域
- 错误代码
- 请求 ID
- 事件 ID
- 源 IP 地址
- 引用的资源
通过查看 CloudTrail 事件日志,可看到用户名,如 root 和 S3LambdaPutFunction。
2. AWS CloudTrail 的用例
| 用例 | 描述 |
|---|---|
| 合规辅助 | 利用所有活动的历史记录,验证特定时间段内环境是否合规。IT 审计人员可将 CloudTrail 事件日志文件作为合规性检查的辅助工具。合规审计活动的典型工作流程包括记录 AWS 资源修改日志、验证日志完整性以及审查日志以发现未授权访问。 |
| 安全分析与自动化 | IT 和安全管理员可通过分析日志文件中的用户行为和模式进行安全分析,并实现自动化响应。设置跟踪以记录用户活动,将日志导入日志管理和分析系统,实时分析用户行为以检测可疑活动,并根据分析结果自动采取措施消除安全威胁。 |
| 数据泄露检测 | 通过 CloudTrail 事件历史记录,可检测 AWS 账户中资源的未授权数据传输。基于存储在 S3 存储桶中的数据事件日志检测此类活动,一旦发现可疑活动,通知安全团队进行进一步调查和处理。 |
| 操作问题排查 | DevOps 工程师和 IT 管理员可利用 AWS CloudTrail 中的 API 调用历史记录跟踪更改并解决操作问题。该历史记录包含所有 AWS 资源(如安全组、EC2 实例、S3 存储桶等)的创建、修改和删除详细信息。通过过滤特定资源名称的 CloudTrail API 活动历史记录,可检测资源更改,确定更改后可回滚或采取纠正措施解决相关操作问题。 |
3. 满足合规性的日志记录要求
3.1 控制对日志文件的访问
AWS CloudTrail 与 AWS IAM 集成,控制对日志文件的访问。存储在 S3 存储桶中的日志文件通过存储桶策略、访问控制列表和多因素认证(MFA)进行访问控制,可防止未授权访问,并提供对日志文件的细粒度读写访问。
3.2 接收日志文件创建和配置错误的警报
当 AWS CloudTrail 将日志文件传输到 S3 存储桶或 CloudWatch Logs 时,可配置事件通知,告知用户新日志文件的生成。若日志文件生成失败,可通过 AWS 管理控制台中的 SNS 发送通知。
3.3 管理 AWS 资源和日志文件的更改
AWS CloudTrail 通过捕获所有 AWS 资源的系统更改事件,记录资源状态的所有更改(通过 AWS 管理控制台、AWS SDK、API 或 CLI 进行的 API 调用)。API 调用日志文件以加密格式存储在 S3 存储桶中,可通过启用 MFA 和使用 IAM 授予只读访问权限进一步加强安全。
3.4 日志文件的存储
许多监管合规计划和行业标准要求将日志文件存储不同的时间段,如 PCI DSS 要求存储一年,HIPPA 要求存储六年。AWS CloudTrail 与 S3 无缝集成,提供安全、持久、高可用和可扩展的存储,无需额外的管理开销。可在 S3 中设置生命周期策略,将数据转移到 Amazon Glacier 进行存档,同时保持日志数据的持久性、安全性和弹性。默认情况下,AWS CloudTrail 中的日志设置为无限期保留,可自定义保留期,从一天到十年不等。
3.5 生成自定义日志数据报告
安全专家和 IT 管理员使用 API 调用日志分析用户行为和模式。AWS CloudTrail 生成的日志数据包含超过 25 个字段,可用于深入了解 AWS 资源的系统事件。可使用这些字段为所有访问资源的用户创建全面的自定义报告。可使用日志分析工具处理 AWS CloudTrail 生成并传输到 S3 存储桶或其他指定目标的近实时日志文件。此外,AWS CloudTrail 会记录启用和禁用日志记录的事件,便于跟踪日志服务的开启和关闭状态。
4. AWS CloudTrail 最佳实践
- 启用所有区域的 CloudTrail,以跟踪未使用的区域,确保记录所有 AWS 区域的活动。
- 启用日志文件验证,确保日志文件的完整性,在安全审计和事件调查中,经过验证的日志文件非常有价值。
- 始终对静态日志进行加密,防止日志数据被未授权使用。
- 将 AWS CloudTrail 与 CloudWatch Logs 集成,配置日志数据的指标、警报、搜索和通知。
- 使用 S3 的跨区域复制功能,将所有 AWS 账户的日志集中存储在一个中心位置,以全面了解 IT 环境。
- 为存储 CloudTrail 日志文件的 S3 存储桶启用服务器访问日志记录,识别所有未授权的访问尝试。
- 对存储 CloudTrail 日志数据的 S3 存储桶实施 MFA 删除保护。
- 使用 IAM 限制对存储 CloudTrail 日志的 S3 存储桶的访问,并确保只有指定用户具有 AWS CloudTrail 的写入权限。
5. AWS 中的审计服务
5.1 AWS Artifact
AWS Artifact 是一个自助服务门户,可免费访问和下载 AWS 安全和合规性报告及协议。这些报告包括来自不同地区和行业认证机构的 AWS 服务组织控制(SOC)报告、FedRAMP 合作伙伴包、ISO 27001:2013 等,可验证和确认 AWS 安全控制。可从 AWS 管理控制台访问 AWS Artifact,用于验证和确认任何地区、任何行业的安全控制,帮助识别每个审计工件的范围,如 AWS 服务或资源、区域和审计日期。还可对 AWS 资源进行内部安全评估,随着新报告发布,可持续监控和评估 AWS 环境的安全性。AWS Artifact 中还有业务关联附录和保密协议(NDA)等协议。
5.2 AWS Config
AWS Config 是一项完全托管的 AWS 服务,用于捕获 AWS 资源的配置历史记录,维护资源清单,审计和评估资源配置更改,并通过集成更改通知实现安全和治理。其工作流程如下:
graph LR
A[AWS 资源配置更改] --> B[AWS Config 记录并规范化更改]
B --> C[将更改传输到可配置的 S3 存储桶]
B --> D[Config 根据所需配置规则评估更改]
D --> E[显示配置评估结果,可按需发送通知]
AWS Config 的用例包括:
- 持续审计与合规性:持续验证和评估资源配置是否符合内部政策和合规性要求,为审计人员生成资源清单和 AWS 基础设施配置报告。
- 合规即代码:系统管理员可将最佳实践编写为 Config 规则,确保资源合规。可根据合规性要求在 AWS Lambda 中创建自定义规则,设置为定期规则或更改触发规则。AWS Config 可实现用户的自我治理和自动化评估。
- 安全分析:Config 规则可帮助安全专家检测资源配置更改引起的异常。通过持续评估,可实时检测安全漏洞,检查环境的安全态势。每个 AWS 账户默认最多可创建 50 条规则,可联系 AWS 支持提高此限制。
5.3 AWS Trusted Advisor
AWS Trusted Advisor 提供以下四个方面的建议和实时指导,以根据 AWS 最佳实践优化资源:
- 成本优化
- 性能
- 安全
- 容错
该服务实时持续分析和检查 AWS 环境,与 AWS IAM 集成,可控制对检查和类别的访问。检查状态在 AWS Trusted Advisor 仪表板中以颜色编码显示:
- 红色:建议采取行动
- 黄色:建议进行调查
- 绿色:未检测到问题
对于红色或黄色状态的检查,服务将提供警报标准、建议行动、调查内容以及资源详细信息。默认情况下,所有 AWS 客户可免费使用六项核心检查,包括五项安全检查和一项性能检查(服务限制、IAM 使用、安全组 - 无限制端口、根账户 MFA、弹性块存储公共快照和 RDS 公共快照)。可跟踪状态检查的任何更改,在仪表板中最新更改位于列表顶部。可单独刷新检查或一次性刷新所有检查,检查在未刷新 5 分钟后可再次刷新。对于企业或商业支持计划的客户,可获得 AWS Trusted Advisor 服务的全部功能,包括接收资源部署的每周更新通知,并通过 AWS 支持 API 以编程方式访问和刷新结果。
5.4 AWS Service Catalog
AWS Service Catalog 是一项 Web 服务,通过创建和管理预定义的 AWS 资源和服务模板(以目录形式),帮助组织确保合规性。这些资源和服务包括 EC2 实例、S3 存储桶、EBS 卷、ELB、数据库等,用于运行 IT 环境中的应用程序。服务目录包含预批准的资源,供用户部署,确保整个 AWS 账户的合规性和持续治理。
可通过以下方式使用 AWS Service Catalog:
1. 集中管理 IT 服务目录,控制服务的可用性、版本和配置,确保符合公司标准。
2. 员工可在项目组合中快速找到并部署完成任务所需的批准资源。
3. 更新产品版本时,自动通知用户。
4. 可按地理位置限制资源可用性,如仅允许在特定 AWS 区域和允许的 IP 范围内使用资源。
5. 与 AWS 市场集成,将从 AWS 市场购买的产品添加到产品目录中,还可对产品进行标记。
6. 在 AWS 管理控制台中提供仪表板、产品列表和已部署产品列表。
6. AWS 安全审计清单
为满足合规性和监管要求,建议定期对 AWS 账户进行安全审计。可首先使用 AWS Trusted Advisor 进行安全审计。除定期审计外,在以下情况下也应进行审计:
- 组织发生变更
- 不再使用一个或多个 AWS 服务
- 资源的软件或硬件配置发生更改
- 检测到可疑活动
需审计的 AWS 安全控制包括:
- 治理
- 网络配置与管理
- 资产配置与管理
- 逻辑访问控制
- 数据加密
- 安全日志记录与监控
- 安全事件响应
- 灾难恢复
- 继承控制
此外,还有一些其他指南可帮助审计 AWS 资源和使用情况,如 AWS 安全审计指南、AWS 使用审计介绍、网络安全倡议审计指南等。
AWS 中的日志记录与审计(续)
7. 综合分析 AWS 审计与日志服务
将 AWS 提供的这些审计和日志服务结合起来,可以构建一个全面、高效的安全与合规体系。下面通过表格的形式来对比这些服务的特点和适用场景:
| 服务名称 | 主要功能 | 适用场景 | 优势 |
| ---- | ---- | ---- | ---- |
| AWS CloudTrail | 记录所有 API 调用,提供事件日志 | 合规审计、安全分析、数据泄露检测、操作问题排查 | 集成 IAM 控制访问,日志存储灵活,可生成自定义报告 |
| AWS Artifact | 提供安全和合规性报告及协议下载 | 验证和确认安全控制,进行内部安全评估 | 免费访问,涵盖多种认证报告 |
| AWS Config | 捕获资源配置历史,评估配置更改 | 持续审计与合规性、合规即代码、安全分析 | 工作流程自动化,可自定义规则 |
| AWS Trusted Advisor | 提供资源优化建议 | 成本优化、性能提升、安全保障、容错增强 | 实时分析,彩色状态提示,部分核心检查免费 |
| AWS Service Catalog | 创建和管理预定义资源模板 | 确保组织资源部署的合规性 | 集中管理,方便员工使用,可限制资源范围 |
8. 操作示例:利用 AWS 服务进行安全审计
下面以一个具体的操作示例,展示如何利用上述 AWS 服务进行安全审计。假设我们要对一个 AWS 账户进行全面的安全审计,以确保其符合公司的安全策略和行业合规要求。
8.1 前期准备
- 确保 AWS 账户具有足够的权限来使用 CloudTrail、AWS Artifact、AWS Config、AWS Trusted Advisor 和 AWS Service Catalog 等服务。
- 配置好 S3 存储桶,用于存储 CloudTrail 和 AWS Config 的日志文件。
8.2 开启日志记录与监控
-
AWS CloudTrail
:
- 登录 AWS 管理控制台,导航到 CloudTrail 服务页面。
- 点击“创建跟踪”,按照向导设置跟踪的范围(所有区域或特定区域)、存储位置(S3 存储桶)等参数。
- 启用日志文件验证和事件通知功能,确保能够及时获取日志信息和异常情况。
-
AWS Config
:
- 进入 AWS Config 服务页面,点击“开始使用”。
- 选择要记录的资源类型,配置存储位置和规则集。
- 定义所需的配置规则,如资源加密要求、安全组设置等。
8.3 进行安全评估
-
AWS Artifact
:
- 访问 AWS Artifact 门户,下载所需的安全和合规性报告,如 SOC 报告、ISO 27001 报告等。
- 仔细审查报告内容,确认 AWS 环境是否符合相关标准。
-
AWS Trusted Advisor
:
- 打开 AWS Trusted Advisor 仪表板,查看各项检查的状态。
- 对于红色或黄色状态的检查,按照建议的行动进行处理,如关闭不必要的端口、启用 MFA 等。
8.4 确保资源合规部署
-
AWS Service Catalog
:
- 创建项目组合和产品模板,将符合安全策略和合规要求的资源配置封装在模板中。
- 为员工分配访问权限,让他们只能从服务目录中选择和部署预批准的资源。
- 定期更新产品模板,确保资源始终符合最新的安全和合规标准。
9. 总结与建议
通过合理使用 AWS 提供的日志记录和审计服务,可以有效地保障 AWS 环境的安全和合规性。以下是一些总结和建议:
-
持续监控
:定期查看 CloudTrail 的事件日志、AWS Config 的配置评估结果和 AWS Trusted Advisor 的检查状态,及时发现和处理潜在的安全风险。
-
自动化响应
:利用 AWS Lambda 等服务,根据日志和监控数据设置自动化的响应机制,如自动阻止异常 IP 地址、自动修复配置错误等。
-
培训与教育
:对 AWS 账户的使用者进行安全和合规方面的培训,提高他们的安全意识和操作技能,确保他们能够正确使用 AWS 服务。
-
定期审计
:按照安全审计清单和相关指南,定期对 AWS 账户进行全面的审计,不断优化安全策略和配置。
通过以上的措施和操作,能够构建一个更加安全、合规、高效的 AWS 云环境。
扫一扫
1088
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
