亡羊补牢与持续改进 - SRE 的安全日志、审计与事件响应
亡羊补牢与持续改进 - SRE 的安全日志、审计与事件响应
如果说我们之前讨论的安全措施(如 IAM、网络策略、密钥管理、漏洞补丁)是为我们的“数字城堡”修筑坚固的城墙、设置精密的门锁、定期检查和修补潜在的裂缝,那么安全日志就像是遍布城堡内外的监控摄像头和出入登记簿,安全审计则是定期审查这些记录和防御措施的有效性,而安全事件响应则是当警报拉响或发现入侵迹象时,我们应急行动的预案和执行。
安全日志:记录“谁在何时何地做了什么”
全面、准确的日志记录是安全事件检测、调查和取证的基石。没有日志,我们就如同盲人摸象,无法还原事件真相。
为何全面的日志记录对安全至关重要?
- 检测 (Detection):日志中异常的活动模式、非授权的访问尝试、系统错误等,都可能是安全攻击或配置错误的早期指标。通过对日志的实时监控和分析,可以及时发现潜在威胁。
- 调查与取证 (Investigation & Forensics):当安全事件发生后,日志是重建攻击路径、确定影响范围、追踪攻击者行为、以及收集证据的关键。
- 合规性与审计 (Compliance & Auditing):许多行业法规和安全标准(如 PCI DSS, HIPAA, SOX, ISO 27001)都明确要求组织机构记录详细的系统和安全日志,并进行定期审计。
- 故障排除 (Troubleshooting):安全相关的日志(如认证失败、权限拒绝)也常常能帮助 SRE 诊断和解决一些看似是功能性的问题。
SRE 需要关注并确保被收集和中心化的关键日志源:
- 操作系统日志:
- 登录尝试(成功/失败)、
sudo或其他提权命令的使用记录、关键系统服务的启动/停止、内核错误信息等。 - Linux:
/var/log/auth.log(或secure),/var/log/syslog(或messages),journalctl。 - Windows: Event Logs (Security, System, Application)。
- 登录尝试(成功/失败)、
- 应用程序日志:
- 用户认证事件(登录成功/失败、密码修改、MFA 状态变化)。
- 授权失败记录。
- 关键业务操作的执行记录。