合规性审计和安全性分析 - 了解 AWS 上的 GDPR 合规性

合规性审计和安全性分析

借助 AWS CloudTrail,您可以持续监控 AWS 账户活动。捕获账户的 AWS API 调用历史记录,包括通过 AWS 管理控制台、AWS 软件开发工具包、命令行工具和更高级别的 AWS 服务执行的 API 调用。您可以识别哪些用户和账户调用了支持 CloudTrail 的服务的 AWS API、执行调用的源 IP 地址以及调用发生的时间。您可以使用 API 将 CloudTrail 集成到应用程序中,为组织自动创建跟踪,检查跟踪状态,以及控制管理员启用和禁用 CloudTrail 日志记录的方式。

CloudTrail 日志可以从多个区域多个 AWS 账户聚合到单个 Amazon S3 存储桶中。AWS 建议您将日志(尤其是 AWS CloudTrail 日志)写入指定用于日志记录(日志存档)的 AWS 账户中具有受限访问权限的 Amazon S3 存储桶。存储桶上的权限应防止日志被删除,还应使用服务器端加密和 Amazon S3 托管加密密钥(SSE-S3)或 AWS KMS 托管密钥(SSE-KMS)对日志进行静态加密。CloudTrail 日志文件完整性验证可用于确定在 CloudTrail 交付后日志文件是否被修改、删除或未进行更改。该功能是使用业界标准算法构建的:哈希采用 SHA-256,数字签名采用带 RSA 的 SHA-256。这样,从计算的角度来说,要修改、删除或伪造 CloudTrail 日志文件而不被检测到会很困难。您可以使用 AWS Command Line Interface(AWS CLI)在 CloudTrail 交付文件的位置验证这些文件。

可以出于审计目的或为故障排除活动分析在 Amazon S3 存储桶中聚合的 CloudTrail 日志。日志集中化后,您可以与安全信息和事件管理(SIEM)解决方案集成,或者使用 Amazon AthenaCloudTrail Insights 等 AWS 服务分析日志,还可以使用 Amazon QuickSight 控制面板将其可视化。将 CloudTrail 日志集中化后,您还可以使用同一个日志存档账户集中管理来自其他来源(如 CloudWatch Logs 和 AWS 负载均衡器)的日志。

AWS architecture diagram showing user interaction with various AWS 服务 and resources.

图 2 – 使用 AWS CloudTrail 进行合规性审计和安全分析的示例架构

AWS CloudTrail 日志还可以触发预配置的 Amazon CloudWatch 事件。您可以使用这些事件来通知用户或系统发生了某个事件或需要执行修复操作。例如,如果您要监控 Amazon EC2 实例中的活动,您可以创建 CloudWatch 事件规则。如果 Amazon EC2 实例中发生特定活动,并将事件捕获到日志中,该规则将触发 AWS Lambda 函数,该函数会向管理员发送一封关于该事件的通知电子邮件。(参阅图 3。) 电子邮件中包含事件发生时间、执行操作的用户、Amazon EC2 详细信息等详细信息。下图显示了事件通知的架构。

AWS CloudTrail logs triggering CloudWatch events, leading to Lambda function and SNS notification.

图 3 – AWS CloudTrail 事件通知示例