IaaS PaaS SaaS 中数据事件的可问责性 怎么样

数据事件的可审计性、可追溯性和可问责性

通过对数据类型以及处理和保存这些数据的策略的深入了解，云安全专家可以识别、收 集和分析实际的数据事件，以便对其开展有价值的利用。开放式Web应用程序安全项目(Open Web Application Security Project, OWASP)为识别、标记和收集与应用程序和安全相关的数据 事件（无论是在云端还是在传统数据中心）提供了一套完善且全面的定义和准则。

事件源定义

哪些事件是重要的，哪些事件是可用的？这取决于所采用的特定云服务模型。
laaS事件源(EventSource)
在IaaS环境中，云客户可对任何云服务模型的系统和基础架构日志拥有最大的访问权和 可见性。因为云客户可以完全控制其整个环境，包括操作系统和网络功能，所以几乎所有的 日志和数据事件都应该公开并可用于捕获。然而， 一些超出云客户典型权限的日志也可能具 有很高的价值，云服务提供商和云客户之间的合同和SLA条款中应明确说明对日志的访问 权。日志包括虚拟机管理程序日志、DNS日志、门户日志、云客户视图范围之外的网络边界 日志以及云客户用于发放和管理其服务和计费记录的管理和自助服务门户的日志。
PaaS事件源
PaaS环境无法提供或公开与IaaS环境相同级别的云客户对基础架构和系统日志的访 问权限，但在应用程序级别可获得与IaaS环境相同级别的日志和事件细节。大多数情况 下，应用程序公开的事件基于所使用的技术和平台的标准日志记录和应用程序开发人员 提供的特定日志组合。事件类型 :

• 输入验证失败（例如，协议冲突、不可接受的编码方式、无效的参数名称和数值）- 输出验证失败（例如，数据库记录集不匹配和数据编码无效）- 身份验证的成功与失败
• 授权（访问控制）失败
• 会话管理失败（例如，Cookie会话标识值修改）- 应用程序错误和系统事件（例如，语法和运行时错误、连接问题、性能问题、第三方 服务错误消息、文件系统错误、文件上载病毒检测和配置更改）
• 应用程序和相关系统的启动和关闭以及日志初始化（启动、停止或暂停）
• 使用高风险功能（例如，连接网络、添加或删除用户、变更权限、分配用户标记、添 加或删除标记、使用系统管理权限、应用程序管理员访问、具有管理权限的用户的所 有操作、访间支付卡持卡人数据，使用数据加密密钥、更改密钥、创建和删除系统级 对象、导入和导出数据，提交用户生成的内容）
• 法规要求和其他选项（例如，移动电话功能许可、使用条款、条款和条件、个人数据 使用许可和接收营销信件的许可）同样的模型还会延伸到其他事件，这些事件可能是可用的或必要的，并且可能对应用程 序或安全团队有价值：- 排序失败- 过度使用
• 数据变化
• 欺诈和其他犯罪活动
• 可疑、不可接受的行为或意外行为
• 修改配置参数
• 应用程序代码文件和／或内存变化
  SaaS事件源
  考虑到SaaS环境的本质，以及云服务提供商负责整个云基础架构和应用程序，云客户可 用的日志数据量通常是最小的，而且受到高度限制。对日志数据的任何访问，无论是以原始 格式还是通过云服务提供商工具，都需要在云服务提供商和云客户之间的合同和SLA要求中 明确说明。通常，云服务提供商明确地限定在云客户需要的范围内提供的日志数据，并根据 其应用程序使用情况定制。SaaS环境中云客户最重要的日志通常是应用程序日志(:Neb、应用 程序和数据库）、利用率日志、访问日志和计费记录等。

身份属性要求

OWASP还提供了以下功能强大且详细的模型用于捕获和记录事件属性
时间

• 日志日期和时间（国际格式）
• 事件日期和时间，事件时间戳可能与日志记录时间不同（例如，服务器日志记录，其 中客户端应用程序托管在仅定期或间歇在线的远程设备上）
• 交互识别码(Identifier)
• 地点(Where):
• 应用程序识别码（例如，名称和版本）
• 应用程序地址（例如，集群／主机名或服务器IPv4或IPv6地址和端口号、工作站身份 识别或本地设备识别码）
• 服务（如名称和协议）

地理定位

• 窗口／窗体／页面（例如，Web应用程序或对话框名称的入口点URL和HTTP方法）- 代码位置（如脚本名或模块名）。 谁(Who,人类或机器用户)
  -源地址（例如，用户的设备／机器识别码、用户的IP地址、小区1RF塔ID或移动电话 号码）。
  -用户身份（例如用户数据库表的主键值、用户名或许可证号） 事情(What)
• 事件类型
• 事件的严重程度
• 安全相关事件标志
• 说明
• HTTP状态代码（仅限Web应用程序），用户返回状态代码（通常为200或301)
• 请求HTTP头或HTIP用户代理（仅限Web应用程序）
• 使用者类型分类（例如，公共用户、认证用户、CMS用户、搜索引擎、授权渗透测试 设备或正常运行时间监测器）。
• 事件检测的分析置信度（例如，低、中、高或数值）。- 用户看到和／或应用程序采取的响应
• 内部分类（如责任和合规参考）。

数据事件日志

一旦由管理人员、安全人员和应用程序团队确定并定义属性和事件类型的类别，则流程 的下一步就是收集和验证实际的事件数据和日志记录功能。O W ASP 为事件收集提供了如下 框架 :

• 对来自其他信任区域的事件数据执行输入验证，以确保其格式正确（如果输入验证失 败，请考虑发出警告，而不是执行日志记录）。
• 对所有事件数据执行清除操作，以防止日志注入攻击，例如，回车符(CR)、换行符(LF) 和分隔符字符，还可选择删除敏感数据。
• 正确编码输出（记录）格式的数据。
• 如果写入数据库，请阅读、理解和使用SQL注入备忘单
• 确保日志记录流程／系统中的故障不会阻止应用程序以其他方式运行，或不允许信息 泄露。
• 确保所有服务器和设备的时间同步
  当然，数据收集的一个组成部分（特别在涉及归档和记录保存的法规要求时）是验证数据 和数据事件是否以预期的方式收集，以及是否有完整的数据集。

数据事件的存储和分析

对于为任何系统或应用程序所创建和收集的大量日志，需要一种方法或技术来编目并使 事件可搜索和可报告。如果没有一个适当的系统来综合和处理事件数据，那么收集到的大量 数据基本上就没有任何有用或有意义的用途，也无法满足审计和监管要求。
用于此类运营的主要技术称为安全和信息事件管理(Security and Information Event Management, SIEM)系统。SIEM系统从环境中的几乎任何源收集日志并编制索引，这些索 引使这些源可搜索并可向组织及其用户报告。业界著名的SIEM解决方案的示例有Splunk、 HPE ArcSight和LogRthym。根据SIEM解决方案的不同，SIEM系统可安装在数据中心或云 环境中并由客户维护，也可作为供应商的SaaS云实现运行，并将日志数据从环境和应用程序 转发给SIEM系统。
许多组织以各种方式使用SIEM解决方案，实现各种功能和目标，包括以下内容
聚合
关联
告警
报告
合规
仪表盘
聚合与关联
SIEM解决方案将来自各种源的数据聚合到单个索引系统中。这带来了明显好处即能 从单个位置搜索数据，而不必登录到每台服务器。在大型应用程序部署中，环境中可能有几 十台或数百台服务器，因此只有一个搜索位置，研发人员或安全人员就可采用比重复登录不 同服务器更快速的方式执行搜索。SIEM解决方案还倾向于提供比操作系统内置的本机工具 集更强大的搜索工具，而且这些工具通常使用的语法与知名搜索引擎更一致，而不是使用命 令行或内置工具集。
除了将日志数据聚合到单个位置外，不仅应用程序数据建立了索引并可用，而且来自整 个环境的数据也可用。这通常包括操作系统数据、网络数据、安全扫描和入侵系统数据、DNS 数据以及身份验证和授权系统数据。由于所有这些数据都在一个位置，它就成为在整个环境 中关联事件和数据的一个非常强大的工具。例如，如果有可疑的恶意IP 地址向应用程序发送 数据，则安全团队不仅可从应用程序级别查看这些日志条目，而且可查看来自网络和入侵系 统的、与同一IP地址相关的任何日志；无论这些日志是实时的还是历史数据，在 SIE M 解决 方案中都是如此。这使安全团队能立即高效地搜索数据，如果在单个服务器和设备级别执行 搜索，则所需时间将大大延长，而且很可能涉及负责每项技术的所有不同团队的大量员工。 这有一个额外好处：允许安全团队访问整个环境中的日志数据。而不必让安全团队访问实际 的服务器和设备，从而保证了职责分离。一旦日志发送到SIEM解决方案，还将提供一种防 止恶意攻击的保护措施，即能更改受损主机上的日志，因为这些日志本来已经从外部发送到 系统。
告警
通过在SIEM解决方案中索引所有日志数据，可以对可搜索和定义的任何类型的事件发 出告警。告警的类型可以包括搜索特定的错误代码、监视特定的IP地址或用户，甚至可以监 视应用程序中的缓慢响应时间或错误率。告警功能通常在任何时候都待续运行，快速捕获事 件并向接收告警的人员报告。
云安全专家需要了解和监剧的一件事是SIE M 解决方案中使用告警的数量和复杂性。 由于告警或多或少以 “实时 (L ive )" 方式运行，因此添 加到系统中的任何其他告警将 始终消耗一定数量的资源，具体取决于系统监测和告警的日志数据的复杂性和数量。 云安全专家需要确保系统的大小适当以处理告警的负载，满足其他报告和搜索需求， 还需要考虑系统本身的索引开销。
报告和合规
SIEM解决方案帮助组织很容易地建立多种报告，这些报告既可用于内部目的，也可用 于法规目的。报告可以是从使用情况报告到用户登录、错误和配置更改报告的任何内容。报 告还可作为汇总日志数据以供长期留存的一种方式，而不必在适当的地方留存原始日志文件， 不需要留存原始日志文件所需的存储量。在法规方面，许多监管机构要求定期检查登录失败、 用户账户创建和修改以及配置更改等日志。拥有SIEM解决方案提供一种从整个应用程序环 境中捕获报告的简单而有效的方法， 一旦编写报告语法，更改报告的频率或运行临时报告就 非常简单了。
仪表盘
仪表盘通常是单个屏幕，向用户显示各种报告和告警。这允许用户通过一个屏幕，就能 即时查看各种项目，而不必在多个位置单击应用程序来查找信息。对于研发人员和安全专家 而言，使用仪表盘也是一种简单有效的方法，可管理系统及其各个方面的实时视图 同时隐 藏底层机制和细节。通过在一个SIE M 解决方案中编写各种告警和报告，大多数系统都提供 了一个易于使用（通常还可以拖放）的功能来构建仪表盘。许多公司还在已经构建的报告和告 警的基础上提供自定义方案，使其更适合仪表盘，或者以直观的方式限制或排序数据。
留存和合规
通过在SIEM解决方案中聚合日志，许多组织选择使用其SIEM解决方案来实现长期日 志留存和合规。许多组织在实施了SIEM解决方案后，在服务器上实施了相当激进的日志轮 换和清理机制，然后将SIEM解决方案当作一个用于日志留存和合规的存储库。SIEM 解决 方案中有多个数据层，从最活跃和最可搜索的层，到设计用于更廉价的存储并根据较低的访 问发生率和可用性需求为长期留存开展优化的层。使用SIEM解决方案开展长期留存，使组 织能够专注于单一的解决方案，并且不必从组织控制的大量系统中执行日志留存和备份。

持续优化

为成功地实现任何事件收集和分析，必须随着时间的推移对其不断优化和调整。应用程 序和系统处于不断变化和不稳定的状态，如果没有一个灵活且响应迅速的程序，事件将开始 丢失，从而导致不准确的报告和安全持续监测，并可能无法满足监管合规要求。 日志和事件收集最重要的方面是审计日志记录。该分析将查找已经发生的可能预示威胁 和漏洞的事件，从而为组织提供采取纠正措施的能力。在可能出现破坏的情况下，组织可以 立即开始调查，以确定破坏的程度，然后开始缓解和补救流程。

为使组织的审计日志记录长期成功运行，需要建立系统和流程，以确保探查到新的事件 类型。应用程序处于持续的变化状态，随着时间的推移，附加的功能和更新将引入新类型的 事件和日志记录。如果一个静态程序无法检测到新的事件类型，系统就会面临攻击和危害， 并且无论在攻击发生之前还是之后都无法检测到。结合理解和检测新事件的能力，需要更新 规则以查找这些新事件。任何日志记录和告警方案中的规则都需要根据所属系统或应用程序 的当前运行状态不断调整和更新。对于任何应用程序变更，尤其是任何主要的平台或设计变 更，这应该是发布和变更管理流程中不可或缺的一部分。这种持续不断的规则调整也减少了 误报和告警。如果没有正确地排除误报，在最好的情况下，这意味着安全和运营团队浪费时 间去追查一些虚无缭细、毫无头绪的问题；在最坏的情况下，工作人员将忽略告警并错过合 法的告警。
云安全专家还需要意识到法规要求的变化，无论是法律监管来源还是行业认证和规范的 变化。这通常涉及由于技术的变化、新的威胁和新的立法而改变的指导方针，并且通常涉及 对系统或应用程序中事件数据的审计和收集的更改。这些要求可以是安全数据销毁要求的更 改，也可以是数据探查和留存策略的更改。大多数情况下，将赋予组织一个特定的时间框架， 在这个时间段内必须实施变更以保持合规。这是云安全专家需要确保与管理层和研发人员讨 论的内容以便在内部合理安排时间将必要的更改纳入其设计生命周期中，并满足法规变更 要求的时间表。

证据保管链和抗抵赖性

证据保管链 的核心是文档化的数据和证据的持有及保存，从数据和证 据的创建到保存或记入正式记录为止，通常用于法院程序中。对于任何证据而言，证据保管 链都是非常重要的；没有证据保管链，证据的有效性和完整性都无法得到确认，因此证据通 常不会由法庭采纳。证据保管链记录包括从数据创建到处置或最终形式的全面历史，涉及所 有操作、所有权变更、更改、物理位置、格式、存储技术和访问的记录。
在传统数据中心托管模式中，维护适当的证据保管链通常很简单，因为公司或组织将完 全控制其资源、服务器、存储系统和备份系统。然而在云环境中，由于大多数云（特别是大型 公有云）将数据和托管资源分散到大量资源池中，证据保管链的维护可能要复杂得多。大多 数情况下，通过云服务提供商和云客户之间的合同和SLA来最大限度地确保这一流程的合 规性，合同和SLA条款要求云服务提供商尽力维护证据保管链，确保所有数据点都是已知 的，并在必要时予以保存。许多大型公有云服务提供商已经建立了数据保障机制；数据保 障机制是默认产品的一部分，还是通过额外的成本和合同获得的，供应商之间可能也将有 所不同。
抗抵赖性(Nonrepudiation)是高度确定数据来源或真实性的能力。这通常是通过数字签名 和哈希技术来完成的，以确保不会修改数据的原始形式。这一概念直接作用于证据保管链， 是对证据保管链的补充，可用于确保数据的有效性和完整性。

更多云安全数据事件材料，欢迎阅读
阿里 阿里云数据安全和隐私保护白皮书 2021
阿里云 阿里云安全白皮书 2019