Знакомство с командой Audit Trails в Yandex Cloud

Есть вопросы?

Все вопросы про сервис Audit Trails можно задать по почте:

[email protected] — Игорь Мельниченко (руководитель Audit Services).

[email protected] — Евгений Сидоров (руководитель Cloud Security).

Сервисы аудита

Безопасную систему невозможно построить без развитой функциональности аудита и постоянного контроля состояния безопасности системы. При переносе on-prem-систем в облако появляется дополнительный слой абстракции в виде описания виртуальной инфраструктуры в ресурсной модели облака. Например, облачная организация, в которой есть ряд пользователей, а также облачные cloud, в которых располагаются ресурсы, например, виртуальные машины. На этом слое абстракции могут происходить разные события (пример — serverless-функция стала публичной), а также возникает необходимость контролировать состояние ресурсов (пример — виртуальная машина доступна из интернета), так как это непосредственно влияет на уровень безопасности. Команда Audit Services занимается такой проблематикой в Yandex Cloud и предоставляет пользователям ряд возможностей для контроля их облачной инфраструктуры.

👣 Сервис Audit Trails

Сервис Audit Trails собирает различные события, происходящие с ресурсами пользователя в Yandex Cloud и передаёт их пользователю в виде объектов в Object Storage (наш аналог AWS S3), набора логов в сервисе Cloud Logging или же стрима в Yandex Data Streams (аналог AWS Kinesis Streams).

Вот несколько примеров таких событий:

• Старт или остановка виртуальной машины;
• Создание нового бакета в s3;
• Добавление нового пользователя или изменение прав существующих пользователей;

<aside> 💡 В информационной безопасности выделяют ААА (три А) - Authentication - аутентификация, Authorization - авторизация и Accounting - аудит. Сервис Audit Trails решает проблему Accounting в Yandex Cloud.

</aside>

Это помогает пользователю в нескольких сценариях:

• Расследование инцидентов информационной безопасности — по логам Audit Trails можно понять, что происходило с ресурсами и откуда вообще пошла вредоносная активность;
• Мониторинг безопасности ресурсов в облаке — например, можно настроить триггер на появление события о том, что какой-то s3 бакет стал доступен публично, или же появился пользователь с повышенными привилегиями;
• Понимание событий, произошедших с инфраструктурой в облаке, и расследование IT-инцидентов — например, виртуальная машина сделала старт-стоп из-за сбоя в работе железного хоста (хост резко отключился и автоматика не смогла мигрировать виртуальную машину, а запустила ее на новом железном хосте).

<aside> 💡 Ближайшим аналогом сервиса Audit Trails в Yandex Cloud является сервис Cloud Trail в AWS.

</aside>