什么是云审计服务CTS?

日志审计模块是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分。在信息系统逐步云化的背景下,包括我国SAC/TC在内的全球各级信息、数据安全管理部门已对此发布多份标准,如:ISO IEC27000、GB/T 20945-2013、COSO、COBIT、ITIL、NISTSP800等。

云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

云审计服务的应用场景有哪些?

合规审计

云审计服务能够助力客户的业务系统通过PCI DSS、ISO 27001等常见行业硬性规范中关于审计部分的认证。

对业务上云的客户而言,关于审计方面的合规认证内容通常分为两部分:云服务商所负责的客户业务系统平台与资源的合规以及客户负责的自身业务系统的合规。

一方面,云审计服务是华为云自身合规性的组成部分之一,其几乎覆盖所有服务、所有资源的操作记录能力,以及审计日志在传输、存储、加密、容灾、防篡改等方面的安全能力,是认证中针对业务系统平台与资源合规的核心保障。另一方面,针对客户自身的业务系统的合规认证,云审计服务将在认证过程中积极响应,协助完成待满足项的解决方案设计和实现,支撑客户通过认证。

关键操作通知

云审计服务与函数工作流服务(FunctionGraph)共同提供关键操作通知功能,通知对象包括自然人及业务接口。实际应用场景举例如下:

  1. 客户可配置面向己方独立审计系统的http/https通知,将CTS收到的审计日志即时同步到客户自有的审计系统,独立审计。
  2. 客户可在FunctionGraph中,选择某类型的审计日志作为触发器(如文件上传),触发预设的工作流(如转换文件格式),从而简化业务开展、运维或规避问题和风险。


数据价值挖掘

云审计服务支持对审计日志中的数据进行挖掘,为业务健康度分析、风险分析、资源跟踪、成本分析等提供支撑,并支持开放审计数据给客户,供客户自行挖掘数据价值。

审计日志中包含时间、操作人、操作设备ip、操作详情等各类信息,目前最多包括21个字段,具有挖掘价值。

客户可通过配置http/https通知的模式,将审计日志即时同步到自有系统进行分析。CTS也正在对接云监控、云日志,提供高危操作展示、越权操作分析、资源使用分布等功能,并为业务健康度分析、成本分析提供数据支撑。

问题定位分析

云审计服务可通过配置查询条件,精确查找问题发生时的操作及其详情,降低问题发现、定位和解决的时间、人力成本。

云审计服务提供的检索维度包括事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等,且在审计日志中,包含本次操作的请求和响应的详情信息,是定位云上问题最快捷、最有效的定位手段之一。

当客户遇到云上问题时,可设置条件检索问题发生时间段内的可疑操作,将审计日志同步给处理问题的运维、客服人员。

云审计服务的主要功能有哪些?

记录审计日志:支持记录用户通过管理控制台或API接口发起的操作,以及各服务内部自触发的操作。

审计日志查询:支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。

审计日志转储:支持将审计日志周期性的转储至对象存储服务(Object Storage Service,简称OBS)下的OBS桶,转储时会按照服务维度压缩审计日志为事件文件。

事件文件加密:支持在转储过程中使用数据加密服务(Data Encryption Workshop,简称DEW)中的密钥对事件文件进行加密。

云审计服务的常见问题

OCR平台系统常见问题解答

活动规则

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

活动时间: 2020年8月12日-2020年9月11日

  • 使用IAM用户(子帐号)在CTS配置转储,操作OBS桶也必须是IAM用户么?

    不是,操作OBS桶的用户不区分IAM用户和帐号,只需要用户具备操作OBS桶的权限即可。

  • 事件列表用于记录哪些信息?

    事件列表记录了两种事件,分别为管理类事件和数据类事件。管理类事件指对云服务资源新建、配置、删除等操作的详细信息。数据类事件指针对数据的操作日志,例如上传、下载等。事件列表不记录查询操作的相关信息。

  • 云审计服务是否支持事件文件的完整性校验?

    支持。原则上进行完整性校验时必须包含以下字段:time、service_type、resource_type、trace_name、trace_rating、trace_type,其他字段由各服务自己定义。

  • 为什么查看事件窗口中的有些事件的字段为空?

    可以为空的字段有source_ip、code、request、response和message,这些字段并非云审计服务规定的必备字段:

    1. source_ip:当trace type为SystemAction时,表示本次操作由服务内部触发,此时缺失IP字段为正常情况。
    2. request/response/code:这三个字段是表示本次操作所对应的请求内容、请求结果及HTTP返回码,在有些情况下,这些字段本身为空,或不具备业务意义,产生该事件的云服务会根据实际情况选择某字段留空。
    3. message:该字段为预留字段,若其他云服务基于业务需要,需要增加额外信息时,可附加在该字段内,缺失为正常情况。
  • 为什么事件列表中的某些操作被记录了两次?

    对于异步调用事件,会产生两条事件记录,其事件名称、资源类型、资源名称等字段相同。在事件列表中,看起来是重复记录了操作(例如,Workspace的deleteDesktop事件),但实际上,这两条事件是相互关联、但内容不同的两条记录,典型的异步调用场景时间如下:

    1. 第一条事件:记录用户发起的请求;
    2. 第二条事件:记录用户请求的操作结果,通常与第一条时间记录有数分钟的延迟,记录用户请求的实际响应结果。

    两条事件需要结合在一起,才能反映用户本次操作的真实结果。

  • 关键操作通知服务支持哪些服务?

    云审计服务支持对全部的关键操作发送通知,支持的操作类型上包括创建、删除、登录和对原生OpenStack接口等操作。