在自我服務公有云里跟蹤“誰做了什么”有一定難度。基于谷歌云的日志審計功能,未來谷歌將會在谷歌云平臺(GCP)針對17個服務獲取日志流。
自2016年秋季推出后,云日志審計開始提供針對少數云端服務的支持。這些云端服務包括谷歌App引擎、BigQuery及Cloud IAM。更新之后的版本提供了針對谷歌計算引擎、谷歌容器引擎、谷歌Cloud Dataproc、谷歌云存儲及谷歌云SQL等服務的測試版支持。
一個來自于谷歌產品經理Joe Corkery的帖子描述了這個云日志審計服務以及它的兩個流類型:
谷歌日志審計服務為每一個集成的產品提供了日志流。原始日志流是管理活動日志,主要包括修復服務、個人資源或者相關元數據的每一條操作動作。一些服務也會生成數據訪問日志,主要包括讀取元數據的每一條操作動作,以及調用API訪問或者修改用戶提供的數據管理服務。
當前,只有谷歌的BigQuery服務支持生成數據訪問日志。谷歌承諾數據訪問流將會在不久的未來覆蓋更多的服務。
Stackdriver提供了免費服務,以及升級版付費服務。針對免費服務,個人審計日志可以保存7天。這個服務對于付費用戶將保存天數提升到30天。需要注意的是,一旦日志被存儲在Stackdriver,用戶就不能刪除或者修改它們了。
谷歌云日志審計的用戶可以通過一種方式瀏覽日志。可以通過谷歌云控制臺查看日志(見下文)。也可以通過Stackdriver日志查看器查看日志。使用此界面,用戶可以免費使用文本搜索功能。也可以將日志文件導出到谷歌云存儲用于備份,支持傳至BigQuery進行分析或者通過API獲取。最重要的是,谷歌已經聲明允許合作廠商進行日志分析,例如Splunk。
圖片來源:博客帖子 – 谷歌云日志審計已經通過GCP Stack可以獲取
在谷歌的博客文章里,Corkey提到了針對日志度量的警報功能。Stackdriver日志提供了內置的警報功能,該功能可以與審計日志流一起工作。除了使用基本的報警功能以外,Corkery演示了如何集成谷歌的“無服務器”產品。他演示了谷歌云功能如何可以分析審計日志,以及如何應對高危防火墻的變化。
據eWeek描述,當前企業希望云提供商能夠提供成熟的安全和審計能力:
分析師一致認為企業云服務提供商應該具備關鍵且必備的能力,包括日志審計、云加密、密鑰管理和安全功能,例如訪問控制和管理。
基礎設施云的其他主要提供商也提供了類似的審計服務。AWS提供了CloudTrail。CloudTrail用于記錄針對所有區域的AWS服務的API訪問信息。微軟的Azure可以為需要審計的用戶提供活動日志,并且支持使用Operations Management Suite進行日志分析。
參考英文原文:Google Expands Audit Logging Capability to Majority of Cloud Services
京公網安備 11010502049343號