在自我服务公有云里跟踪“谁做了什么”有一定难度。基于谷歌云的日志审计功能,未来谷歌将会在谷歌云平台(GCP)针对 17 个服务获取日志流。
自 2016 年秋季推出后,云日志审计开始提供针对少数云端服务的支持。这些云端服务包括谷歌 App 引擎、BigQuery 及 Cloud IAM。更新之后的版本提供了针对谷歌计算引擎、谷歌容器引擎、谷歌 Cloud Dataproc、谷歌云存储及谷歌云 SQL 等服务的测试版支持。
一个来自于谷歌产品经理 Joe Corkery 的帖子描述了这个云日志审计服务以及它的两个流类型:
谷歌日志审计服务为每一个集成的产品提供了日志流。原始日志流是管理活动日志,主要包括修复服务、个人资源或者相关元数据的每一条操作动作。一些服务也会生成数据访问日志,主要包括读取元数据的每一条操作动作,以及调用 API 访问或者修改用户提供的数据管理服务。
当前,只有谷歌的 BigQuery 服务支持生成数据访问日志。谷歌承诺数据访问流将会在不久的未来覆盖更多的服务。
Stackdriver 提供了免费服务,以及升级版付费服务。针对免费服务,个人审计日志可以保存 7 天。这个服务对于付费用户将保存天数提升到 30 天。需要注意的是,一旦日志被存储在 Stackdriver,用户就不能删除或者修改它们了。
谷歌云日志审计的用户可以通过一种方式浏览日志。可以通过谷歌云控制台查看日志(见下文)。也可以通过 Stackdriver 日志查看器查看日志。使用此界面,用户可以免费使用文本搜索功能。也可以将日志文件导出到谷歌云存储用于备份,支持传至 BigQuery 进行分析或者通过 API 获取。最重要的是,谷歌已经声明允许合作厂商进行日志分析,例如 Splunk。
图片来源:博客帖子 – 谷歌云日志审计已经通过 GCP Stack 可以获取
在谷歌的博客文章里,Corkey 提到了针对日志度量的警报功能。Stackdriver 日志提供了内置的警报功能,该功能可以与审计日志流一起工作。除了使用基本的报警功能以外,Corkery 演示了如何集成谷歌的“无服务器”产品。他演示了谷歌云功能如何可以分析审计日志,以及如何应对高危防火墙的变化。
据 eWeek 描述,当前企业希望云提供商能够提供成熟的安全和审计能力:
分析师一致认为企业云服务提供商应该具备关键且必备的能力,包括日志审计、云加密、密钥管理和安全功能,例如访问控制和管理。
基础设施云的其他主要提供商也提供了类似的审计服务。AWS 提供了 CloudTrail 。CloudTrail 用于记录针对所有区域的AWS 服务的API 访问信息。微软的Azure 可以为需要审计的用户提供活动日志,并且支持使用 Operations Management Suite 进行日志分析。
参考英文原文: Google Expands Audit Logging Capability to Majority of Cloud Services
感谢刘志勇对本文的审校。
给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ , @丁晓昀),微信(微信号: InfoQChina )关注我们。
评论