7.4. Аудит действий пользователей

Безопасность и контроль доступа Apache Ozone: Аудит действий пользователей

Аудит действий пользователей — это важная часть системы безопасности Apache Ozone, позволяющая отслеживать все операции, выполняемые в системе, включая доступ к данным, создание и удаление ресурсов, а также изменение политик доступа. Система аудита помогает администраторам выявлять подозрительные действия и следить за соблюдением политик безопасности, что особенно важно для сред с высокой степенью безопасности.

Apache Ozone поддерживает интеграцию с Apache Ranger для централизованного аудита, а также ведёт собственные логи действий пользователей. Это позволяет собирать подробные данные о каждом действии и анализировать их для выявления нарушений безопасности.

1. Основные возможности аудита в Apache Ozone

Отслеживание всех действий пользователей и служб: Операции чтения, записи, создания и удаления ресурсов логируются для каждого пользователя.
Централизованный аудит с Apache Ranger: Ranger позволяет собирать и хранить логи аудита, предоставляя удобный интерфейс для просмотра и анализа действий.
Интеграция с внешними системами аудита: Логи могут быть экспортированы в другие системы мониторинга и управления безопасностью для более глубокого анализа.
Поддержка детализированных отчётов: Логи содержат информацию о пользователе, типе действия, времени и результате операции.

2. Настройка аудита в Apache Ranger

Apache Ranger предоставляет мощные возможности для аудита операций в Ozone. При интеграции с Ranger вся информация о действиях пользователей сохраняется в Ranger и доступна через его веб-интерфейс.

Шаг 1: Включение аудита в Ranger

Откройте веб-интерфейс Ranger Admin и войдите под учётной записью администратора.
Перейдите в Audit > Access Audit и убедитесь, что аудит для Ozone активирован.
Настройте параметры аудита, такие как уровень детализации логов и период хранения.

Шаг 2: Настройка параметров аудита для Ozone в Ranger

В разделе Service Manager для службы Ozone можно настроить аудит следующих действий:

Access (доступ к данным): Аудитирует операции чтения и записи данных.
Admin (административные действия): Аудитирует создание и удаление томов, бакетов и ключей.
Policy Changes (изменение политик): Логирует все изменения политик доступа.

3. Конфигурация аудита в Apache Ozone

Если Ranger не используется, Ozone может вести логи действий пользователей через стандартные логи. Для настройки аудита в Apache Ozone отредактируйте файл ozone-site.xml.

<configuration>
  <!-- Включение аудита действий пользователей в Ozone -->
  <property>
    <name>ozone.audit.enabled</name>
    <value>true</value>
  </property>

  <!-- Путь к файлу логов аудита -->
  <property>
    <name>ozone.audit.log.dir</name>
    <value>/var/log/ozone/audit</value>
  </property>
</configuration>

После внесения изменений перезапустите службы Ozone для применения настроек.

4. Просмотр логов аудита

Логи аудита в Ranger

Apache Ranger предоставляет удобный интерфейс для просмотра и фильтрации логов аудита. В разделе Audit > Access Audit можно найти информацию о каждом действии:

User: Имя пользователя, выполнившего действие.
Access Type: Тип действия (чтение, запись, создание и т.д.).
Resource: Ресурс, к которому был осуществлён доступ.
Time: Время действия.
Result: Результат действия (успешно или отказано).

Вы можете использовать фильтры для поиска по пользователю, ресурсу или типу действия, что упрощает анализ логов.

Логи аудита в Ozone

Логи аудита в Ozone сохраняются в файле, указанном в конфигурации. Вы можете просмотреть их с помощью команды tail:

tail -f /var/log/ozone/audit/ozone-audit.log

Пример записи в логе аудита:

2023-04-10 14:00:00 INFO  [Audit] User=user1@EXAMPLE.COM, Action=READ, Resource=/myvolume/mybucket/myfile, Status=SUCCESS

User: Имя пользователя.
Action: Тип действия (например, READ, WRITE).
Resource: Ресурс, к которому был доступ.
Status: Статус операции (SUCCESS или FAILURE).

5. Типичные сценарии использования аудита

Сценарий 1: Проверка доступа к конфиденциальным данным

Используйте логи аудита, чтобы проверить, кто обращался к конфиденциальным данным в зашифрованных бакетах:

Откройте логи аудита в Ranger и найдите действия доступа (READ, WRITE) для зашифрованных бакетов.
Используйте фильтр по пользователю или группе, чтобы убедиться, что доступ был только у авторизованных пользователей.

Сценарий 2: Анализ отказов в доступе

Если пользователи жалуются на невозможность доступа к данным, логи аудита помогут выявить причину отказа:

Откройте логи аудита и найдите записи с Status=FAILURE.
Проверьте, есть ли у пользователей права на доступ к запрашиваемым ресурсам, и при необходимости обновите политики доступа в Ranger.

Сценарий 3: Отчёты для соответствия требованиям безопасности

При подготовке отчётов для проверки соответствия требованиям безопасности используйте данные аудита для подтверждения контроля доступа:

Экспортируйте логи из Apache Ranger для создания отчётов.
Проанализируйте доступ к критически важным данным и убедитесь, что политики безопасности соблюдаются.

6. Интеграция логов аудита с внешними системами мониторинга

Логи аудита Apache Ozone могут быть переданы во внешние системы, такие как Splunk или ELK Stack, для централизованного анализа и визуализации. Это позволяет создавать более детализированные отчёты, дашборды и уведомления на основе данных аудита.

Пример настройки интеграции с ELK Stack

Настройте Filebeat для отправки логов аудита из директории /var/log/ozone/audit в Logstash.
В Logstash примените фильтры для форматирования записей аудита и отправки их в Elasticsearch.
В Kibana создайте дашборд для анализа логов аудита, добавив визуализации для отслеживания доступа к данным и анализа действий пользователей.

7. Рекомендации по настройке аудита

Включите аудит для всех критически важных данных: Используйте аудит для всех бакетов, содержащих конфиденциальные или важные данные.
Регулярно проверяйте логи: Периодически анализируйте логи аудита, чтобы выявлять подозрительные действия и оценивать соблюдение политик безопасности.
Используйте фильтры и автоматизированные уведомления: В Ranger или внешней системе мониторинга настройте автоматические уведомления при попытках несанкционированного доступа.
Храните логи длительное время: Определите политику хранения логов, чтобы при необходимости иметь возможность проводить ретроспективный анализ.

Итог

Аудит действий пользователей в Apache Ozone позволяет администраторам отслеживать все операции доступа к данным, обеспечивая безопасность и соблюдение политик контроля доступа. Интеграция с Apache Ranger и внешними системами мониторинга предоставляет гибкие возможности для централизованного управления аудитом, анализа и создания отчётов. Регулярный мониторинг и анализ логов аудита помогают предотвратить утечку данных и повысить надёжность хранения в кластере Ozone.

Безопасность и контроль доступа Apache Ozone: Аудит действий пользователей​

1. Основные возможности аудита в Apache Ozone​

2. Настройка аудита в Apache Ranger​

Шаг 1: Включение аудита в Ranger​

Шаг 2: Настройка параметров аудита для Ozone в Ranger​

3. Конфигурация аудита в Apache Ozone​

4. Просмотр логов аудита​

Логи аудита в Ranger​

Логи аудита в Ozone​

5. Типичные сценарии использования аудита​

Сценарий 1: Проверка доступа к конфиденциальным данным​

Сценарий 2: Анализ отказов в доступе​

Сценарий 3: Отчёты для соответствия требованиям безопасности​

6. Интеграция логов аудита с внешними системами мониторинга​

Пример настройки интеграции с ELK Stack​

7. Рекомендации по настройке аудита​

Итог​