Memvalidasi CloudTrail integritas file log

Untuk menentukan apakah file log diubah, dihapus, atau tidak diubah setelah CloudTrail dikirimkan, Anda dapat menggunakan validasi integritas file CloudTrail log. Fitur ini dibangun menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus atau memalsukan CloudTrail file log tanpa deteksi. Anda dapat menggunakan AWS CLI untuk memvalidasi file di lokasi di mana CloudTrail mengirimkannya.

Mengapa menggunakannya?

File log yang divalidasi sangat berharga dalam penyelidikan keamanan dan forensik. Misalnya, file log yang divalidasi memungkinkan Anda untuk menegaskan secara positif bahwa file log itu sendiri tidak berubah, atau kredenal pengguna tertentu melakukan aktivitas API tertentu. Proses validasi integritas file CloudTrail log juga memungkinkan Anda mengetahui apakah file log telah dihapus atau diubah, atau menegaskan secara positif bahwa tidak ada file log yang dikirim ke akun Anda selama periode waktu tertentu.

Cara kerjanya

Saat Anda mengaktifkan validasi integritas file log, CloudTrail buat hash untuk setiap file log yang dikirimkannya. Setiap jam, CloudTrail juga membuat dan mengirimkan file yang mereferensikan file log selama satu jam terakhir dan berisi hash masing-masing. File ini disebut file digest. CloudTrail menandatangani setiap file digest menggunakan kunci pribadi dari public dan private key pair. Setelah pengiriman, Anda dapat menggunakan kunci publik untuk memvalidasi file digest. CloudTrail menggunakan pasangan kunci yang berbeda untuk masing-masing Wilayah AWS.

File digest dikirim ke bucket Amazon S3 yang sama yang terkait dengan jejak Anda sebagai file log CloudTrail Anda. Jika file log Anda dikirim dari semua Wilayah atau dari beberapa akun ke dalam satu bucket Amazon S3, CloudTrail akan mengirimkan file intisari dari Wilayah dan akun tersebut ke dalam bucket yang sama.

File digest dimasukkan ke dalam folder yang terpisah dari file log. Pemisahan file intisari dan file log ini memungkinkan Anda untuk menegakkan kebijakan keamanan terperinci dan memungkinkan solusi pemrosesan log yang ada untuk terus beroperasi tanpa modifikasi. Setiap file digest juga berisi tanda tangan digital dari file digest sebelumnya jika ada. Tanda tangan untuk file intisari saat ini ada di properti metadata objek file intisari Amazon S3. Untuk informasi selengkapnya tentang isi file digest, lihatCloudTrail struktur file digest.

Menyimpan log dan mencerna file

Anda dapat menyimpan file CloudTrail log dan mencerna file di Amazon S3 atau S3 Glacier dengan aman, tahan lama, dan murah untuk jangka waktu yang tidak terbatas. Untuk meningkatkan keamanan file digest yang disimpan di Amazon S3, Anda dapat menggunakan Amazon S3 MFA Delete.

Mengaktifkan validasi dan memvalidasi file

Untuk mengaktifkan validasi integritas file log, Anda dapat menggunakan AWS Management Console, the AWS CLI, atau CloudTrail API. Mengaktifkan validasi integritas file log memungkinkan CloudTrail untuk mengirimkan file log intisari ke bucket Amazon S3 Anda, tetapi tidak memvalidasi integritas file. Untuk informasi selengkapnya, lihat Mengaktifkan validasi integritas file log untuk CloudTrail.

Untuk memvalidasi integritas file CloudTrail log, Anda dapat menggunakan AWS CLI atau membuat solusi Anda sendiri. AWS CLI Akan memvalidasi file di lokasi di mana CloudTrail mengirimkannya. Jika Anda ingin memvalidasi log yang telah dipindahkan ke lokasi lain, baik di Amazon S3 atau di tempat lain, Anda dapat membuat alat validasi Anda sendiri.

Untuk informasi tentang memvalidasi log dengan menggunakan AWS CLI, lihatMemvalidasi integritas file CloudTrail log dengan AWS CLI. Untuk informasi tentang pengembangan implementasi kustom validasi file CloudTrail log, lihat. Implementasi kustom validasi integritas file CloudTrail log