Validando a integridade CloudTrail do arquivo de log

Para determinar se um arquivo de log foi modificado, excluído ou inalterado após a CloudTrail entrega, você pode usar a validação de integridade do arquivo de CloudTrail log. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Isso torna computacionalmente inviável modificar, excluir ou CloudTrail falsificar arquivos de log sem detecção. Você pode usar o AWS CLI para validar os arquivos no local em que CloudTrail foram entregues.

Por que usá-la?

Os arquivos de log validados são valiosíssimos para segurança e investigações forenses. Por exemplo, um arquivo de log validado permite que você declare positivamente que o arquivo de log não foi alterado ou que determinadas credenciais de usuário realizaram atividades específicas de API. O processo de validação da integridade do arquivo de CloudTrail log também permite que você saiba se um arquivo de log foi excluído ou alterado, ou afirme positivamente que nenhum arquivo de log foi entregue à sua conta durante um determinado período de tempo.

Como funciona

Quando você ativa a validação da integridade do arquivo de log, CloudTrail cria um hash para cada arquivo de log que ele entrega. A cada hora, CloudTrail também cria e entrega um arquivo que faz referência aos arquivos de log da última hora e contém um hash de cada um. Esse arquivo é chamado de arquivo de resumo. CloudTrail assina cada arquivo de resumo usando a chave privada de um par de chaves pública e privada. Após a entrega, você pode usar a chave pública para validar o arquivo de resumo. CloudTrail usa pares de chaves diferentes para cada um Região da AWS.

Os arquivos de resumo são entregues no mesmo bucket do Amazon S3 associado à sua trilha que seus arquivos de log CloudTrail . Se seus arquivos de log forem entregues de todas as regiões ou de várias contas em um único bucket do Amazon S3, CloudTrail entregará os arquivos de resumo dessas regiões e contas no mesmo bucket.

Os arquivos de resumo são colocados em uma pasta separada dos arquivos de log. Essa separação de arquivos de resumo e de log permite que você aplique as políticas de segurança granulares e que as soluções de processamento de log existentes continuem a operar sem modificação. Cada arquivo de resumo também contém a assinatura digital do arquivo de resumo anterior, se existir. A assinatura do arquivo de resumo atual está nas propriedades de metadados do objeto do Amazon S3 do arquivo de resumo. Para obter mais informações sobre o conteúdo do arquivo de resumo, consulte CloudTrail estrutura do arquivo digest.

Armazenar arquivos de log e de compilação

Você pode armazenar os arquivos de CloudTrail log e os arquivos de resumo no Amazon S3 ou no S3 Glacier de forma segura, durável e econômica por um período indefinido. Para aumentar a segurança do arquivos de resumo armazenados no Amazon S3, você pode usar o Amazon S3 MFA Delete.

Habilitar a validação e validar arquivos

Para habilitar a validação da integridade do arquivo de log AWS Management Console, você pode usar a CloudTrail API AWS CLI, the ou. Habilitar CloudTrail a validação da integridade do arquivo de log permite entregar arquivos de log de resumo para seu bucket do Amazon S3, mas não valida a integridade dos arquivos. Para ter mais informações, consulte Habilitando a validação da integridade do arquivo de log para CloudTrail.

Para validar a integridade dos arquivos de CloudTrail log, você pode usar o AWS CLI ou criar sua própria solução. Eles AWS CLI validarão os arquivos no local em que CloudTrail foram entregues. Se você desejar validar logs que foram movidos para outro local, como o Amazon S3 ou outro local, poderá criar suas próprias ferramentas de validação.

Para obter informações sobre como validar registros usando o AWS CLI, consulteValidando a integridade do arquivo de CloudTrail log com o AWS CLI. Para obter informações sobre o desenvolvimento de implementações personalizadas de validação de arquivos de CloudTrail log, consulteImplementações personalizadas da validação da integridade do arquivo de CloudTrail log.