SEC09-03 实施安全审计

对云服务的关键操作开启安全审计，审计覆盖到每个用户。对审计日志进行保护并定期备份，避免受到未预期的删除、修改或覆盖。

• 风险等级

  高

• 关键策略
  • 云服务的关键操作包含高危操作（如创建IAM用户、删除IAM用户、重启虚拟机、变更安全配置等）、成本敏感操作（创建、删除高价资源等）、业务敏感操作（网络配置变更等）。
  • 启用关键操作通知功能。启用云审计服务CTS的关键操作通知功能后，CTS会对这些关键操作通过消息通知服务（SMN）实时向相关订阅者发送通知。
  • 开启审计日志转储，将CTS的审计日志存储到OBS。依据您的合规性、业务要求设置日志保留时长。
  • 对审计日志进行保护并定期备份，避免受到未预期的删除、修改或覆盖。可以同步开启审计日志的文件校验，保障审计文件的完整性，防止文件被篡改。
  • 集中管控运维账号访问系统和资源的权限，对系统和资源的访问权限进行细粒度设置。
  • 关于数据的安全审计见：SEC07-03 对数据操作实施监控
• 相关云服务和工具
  • 云审计服务 CTS：用户开通CTS后，系统会自动创建一个追踪器，该追踪器会自动识别并关联当前租户所使用的所有云服务，并将当前租户的所有操作记录在该追踪器中。CTS服务具备对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
  • 云堡垒机 CBH
  • 数据库审计 DBSS
  • 安全云脑 SecMaster
  • 消息通知服务 SMN