Перейти к основному содержимому

7.4. Аудит действий пользователей

Безопасность и контроль доступа Apache Ozone: Аудит действий пользователей

Аудит действий пользователей — это важная часть системы безопасности Apache Ozone, позволяющая отслеживать все операции, выполняемые в системе, включая доступ к данным, создание и удаление ресурсов, а также изменение политик доступа. Система аудита помогает администраторам выявлять подозрительные действия и следить за соблюдением политик безопасности, что особенно важно для сред с высокой степенью безопасности.

Apache Ozone поддерживает интеграцию с Apache Ranger для централизованного аудита, а также ведёт собственные логи действий пользователей. Это позволяет собирать подробные данные о каждом действии и анализировать их для выявления нарушений безопасности.


1. Основные возможности аудита в Apache Ozone

  • Отслеживание всех действий пользователей и служб: Операции чтения, записи, создания и удаления ресурсов логируются для каждого пользователя.
  • Централизованный аудит с Apache Ranger: Ranger позволяет собирать и хранить логи аудита, предоставляя удобный интерфейс для просмотра и анализа действий.
  • Интеграция с внешними системами аудита: Логи могут быть экспортированы в другие системы мониторинга и управления безопасностью для более глубокого анализа.
  • Поддержка детализированных отчётов: Логи содержат информацию о пользователе, типе действия, времени и результате операции.

2. Настройка аудита в Apache Ranger

Apache Ranger предоставляет мощные возможности для аудита операций в Ozone. При интеграции с Ranger вся информация о действиях пользователей сохраняется в Ranger и доступна через его веб-интерфейс.

Шаг 1: Включение аудита в Ranger

  1. Откройте веб-интерфейс Ranger Admin и войдите под учётной записью администратора.
  2. Перейдите в Audit > Access Audit и убедитесь, что аудит для Ozone активирован.
  3. Настройте параметры аудита, такие как уровень детализации логов и период хранения.

Шаг 2: Настройка параметров аудита для Ozone в Ranger

В разделе Service Manager для службы Ozone можно настроить аудит следующих действий:

  • Access (доступ к данным): Аудитирует операции чтения и записи данных.
  • Admin (административные действия): Аудитирует создание и удаление томов, бакетов и ключей.
  • Policy Changes (изменение политик): Логирует все изменения политик доступа.

3. Конфигурация аудита в Apache Ozone

Если Ranger не используется, Ozone может вести логи действий пользователей через стандартные логи. Для настройки аудита в Apache Ozone отредактируйте файл ozone-site.xml.

<configuration>
<!-- Включение аудита действий пользователей в Ozone -->
<property>
<name>ozone.audit.enabled</name>
<value>true</value>
</property>

<!-- Путь к файлу логов аудита -->
<property>
<name>ozone.audit.log.dir</name>
<value>/var/log/ozone/audit</value>
</property>
</configuration>

После внесения изменений перезапустите службы Ozone для применения настроек.


4. Просмотр логов аудита

Логи аудита в Ranger

Apache Ranger предоставляет удобный интерфейс для просмотра и фильтрации логов аудита. В разделе Audit > Access Audit можно найти информацию о каждом действии:

  • User: Имя пользователя, выполнившего действие.
  • Access Type: Тип действия (чтение, запись, создание и т.д.).
  • Resource: Ресурс, к которому был осуществлён доступ.
  • Time: Время действия.
  • Result: Результат действия (успешно или отказано).

Вы можете использовать фильтры для поиска по пользователю, ресурсу или типу действия, что упрощает анализ логов.

Логи аудита в Ozone

Логи аудита в Ozone сохраняются в файле, указанном в конфигурации. Вы можете просмотреть их с помощью команды tail:

tail -f /var/log/ozone/audit/ozone-audit.log

Пример записи в логе аудита:

2023-04-10 14:00:00 INFO  [Audit] User=user1@EXAMPLE.COM, Action=READ, Resource=/myvolume/mybucket/myfile, Status=SUCCESS
  • User: Имя пользователя.
  • Action: Тип действия (например, READ, WRITE).
  • Resource: Ресурс, к которому был доступ.
  • Status: Статус операции (SUCCESS или FAILURE).

5. Типичные сценарии использования аудита

Сценарий 1: Проверка доступа к конфиденциальным данным

Используйте логи аудита, чтобы проверить, кто обращался к конфиденциальным данным в зашифрованных бакетах:

  1. Откройте логи аудита в Ranger и найдите действия доступа (READ, WRITE) для зашифрованных бакетов.
  2. Используйте фильтр по пользователю или группе, чтобы убедиться, что доступ был только у авторизованных пользователей.

Сценарий 2: Анализ отказов в доступе

Если пользователи жалуются на невозможность доступа к данным, логи аудита помогут выявить причину отказа:

  1. Откройте логи аудита и найдите записи с Status=FAILURE.
  2. Проверьте, есть ли у пользователей права на доступ к запрашиваемым ресурсам, и при необходимости обновите политики доступа в Ranger.

Сценарий 3: Отчёты для соответствия требованиям безопасности

При подготовке отчётов для проверки соответствия требованиям безопасности используйте данные аудита для подтверждения контроля доступа:

  1. Экспортируйте логи из Apache Ranger для создания отчётов.
  2. Проанализируйте доступ к критически важным данным и убедитесь, что политики безопасности соблюдаются.

6. Интеграция логов аудита с внешними системами мониторинга

Логи аудита Apache Ozone могут быть переданы во внешние системы, такие как Splunk или ELK Stack, для централизованного анализа и визуализации. Это позволяет создавать более детализированные отчёты, дашборды и уведомления на основе данных аудита.

Пример настройки интеграции с ELK Stack

  1. Настройте Filebeat для отправки логов аудита из директории /var/log/ozone/audit в Logstash.
  2. В Logstash примените фильтры для форматирования записей аудита и отправки их в Elasticsearch.
  3. В Kibana создайте дашборд для анализа логов аудита, добавив визуализации для отслеживания доступа к данным и анализа действий пользователей.

7. Рекомендации по настройке аудита

  1. Включите аудит для всех критически важных данных: Используйте аудит для всех бакетов, содержащих конфиденциальные или важные данные.
  2. Регулярно проверяйте логи: Периодически анализируйте логи аудита, чтобы выявлять подозрительные действия и оценивать соблюдение политик безопасности.
  3. Используйте фильтры и автоматизированные уведомления: В Ranger или внешней системе мониторинга настройте автоматические уведомления при попытках несанкционированного доступа.
  4. Храните логи длительное время: Определите политику хранения логов, чтобы при необходимости иметь возможность проводить ретроспективный анализ.

Итог

Аудит действий пользователей в Apache Ozone позволяет администраторам отслеживать все операции доступа к данным, обеспечивая безопасность и соблюдение политик контроля доступа. Интеграция с Apache Ranger и внешними системами мониторинга предоставляет гибкие возможности для централизованного управления аудитом, анализа и создания отчётов. Регулярный мониторинг и анализ логов аудита помогают предотвратить утечку данных и повысить надёжность хранения в кластере Ozone.