Yandex Audit Trails
Yandex Audit Trails — это сервис облачной платформы Yandex Cloud (ООО «Яндекс.Облако», входит в группу компаний «Яндекс»), предназначенный для сбора, хранения и анализа записей о событиях (аудиторских логов), происходящих в инфраструктуре облачных ресурсов. Сервис обеспечивает фиксацию действий пользователей, сервисов и API-запросов, что позволяет отслеживать изменения конфигураций, доступ к данным и соблюдение политик безопасности.
Назначение и область применения
Yandex Audit Trails решает задачи, связанные с обеспечением информационной безопасности, соответствием нормативным требованиям (комплаенсом) и расследованием инцидентов. Основные сценарии использования включают:
- Аудит действий пользователей: фиксация того, кто, когда и какие операции выполнял с ресурсами (например, создание виртуальных машин, изменение прав доступа, удаление объектов в хранилище).
- Мониторинг изменений конфигурации: отслеживание изменений настроек облачных сервисов, сетевых политик и правил безопасности.
- Расследование инцидентов: анализ последовательности действий, приведших к утечке данных, несанкционированному доступу или сбою в работе.
- Соответствие стандартам: выполнение требований законодательства (например, 152-ФЗ «О персональных данных», стандартов PCI DSS, ISO 27001) к ведению журналов аудита.
Принцип работы
Сервис работает по принципу подписки на события (event-driven). Пользователь создаёт трейл (trail) — конфигурацию, которая определяет, какие события из каких источников будут собираться и куда передаваться.
Основные компоненты
- Трейл (Trail): сущность, задающая правила сбора событий. Включает:
- Область сбора: каталог, облако или конкретные сервисы.
- Типы событий: управляющие (control plane) и/или данные (data plane).
- Целевой объект: бакет в Yandex Object Storage (S3-совместимое хранилище) для хранения логов, а также опционально — лог-группа в Yandex Cloud Logging.
- Источники событий: сервисы Yandex Cloud, генерирующие аудиторские записи (например, Yandex Compute Cloud, Yandex Managed Service for Kubernetes, Yandex Identity and Access Management (IAM), Yandex Object Storage).
- Формат событий: записи представляют собой структурированные JSON-объекты, соответствующие стандарту CloudEvents (CNCF) с расширениями для аудита. Каждое событие содержит:
event_id: уникальный идентификатор.event_type: тип операции (например,yandex.cloud.audit.compute.instance.create).event_time: временная метка.authentication: информация об аутентифицированном субъекте (пользователь, сервисный аккаунт, федеративный пользователь).authorization: результаты проверки прав доступа.request_parameters: параметры запроса (например, имя создаваемой виртуальной машины).response: результат выполнения операции (успех/ошибка, код ответа).
Процесс сбора
- Пользователь создаёт трейл через консоль управления Yandex Cloud, CLI или API.
- Сервис начинает подписываться на события указанных источников в заданной области.
- При каждом действии (например, вызове API) сервис-источник генерирует событие и отправляет его в Yandex Audit Trails.
- Сервис обрабатывает событие, проверяет соответствие правилам трейла и сохраняет запись в целевой бакет Object Storage или передаёт в Yandex Cloud Logging.
Типы событий
Yandex Audit Trails различает два основных типа событий:
- Управляющие события (Control Plane Events): фиксируют операции управления ресурсами, такие как создание, изменение, удаление. Примеры:
yandex.cloud.audit.compute.instance.create,yandex.cloud.audit.iam.serviceAccount.update. - События данных (Data Plane Events): фиксируют операции с данными внутри ресурса, например, чтение или запись объектов в бакете Object Storage. Пример:
yandex.cloud.audit.storage.object.get.
Хранение и доступ к данным
Логи аудита хранятся в бакете Yandex Object Storage, который пользователь указывает при создании трейла. Доступ к логам осуществляется через стандартные механизмы Object Storage: консоль управления, AWS CLI (совместимый с S3 API), SDK. Пользователь может настроить политики хранения (например, автоматическое удаление записей старше определённого срока) и шифрование данных.
Интеграция с другими сервисами
Yandex Audit Trails интегрируется с рядом сервисов Yandex Cloud:
- Yandex Cloud Logging: позволяет передавать события в лог-группу для дальнейшего анализа, фильтрации и отправки уведомлений.
- Yandex Managed Service for Prometheus: может использоваться для мониторинга метрик аудита (например, количество ошибок аутентификации).
- Yandex Cloud Functions: позволяет запускать бессерверные функции в ответ на события аудита (например, автоматически блокировать подозрительные действия).
- Yandex Object Storage: является основным хранилищем логов.
Безопасность и соответствие требованиям
Сервис соответствует требованиям российского законодательства в области обработки персональных данных (152-ФЗ) и стандартам информационной безопасности. Он обеспечивает:
- Неизменность логов: записанные события не могут быть изменены или удалены после фиксации (при правильной настройке политик Object Storage).
- Аутентификацию и авторизацию: доступ к управлению трейлами и чтению логов регулируется через IAM-роли (например,
audit-trails.admin,audit-trails.viewer). - Шифрование: данные могут шифроваться с использованием ключей Yandex Key Management Service (KMS).
Тарификация
Стоимость использования Yandex Audit Trails складывается из:
- Платы за обработку событий: тарифицируется количество записей, обработанных сервисом.
- Платы за хранение: стоимость хранения логов в Object Storage (в зависимости от класса хранилища и объёма данных).
- Платы за передачу данных: трафик при экспорте логов (например, через API).
Тарифы публикуются на официальном сайте Yandex Cloud и могут изменяться.
Ограничения и особенности
- Сервис не поддерживает сбор событий из ресурсов, расположенных в других облачных провайдерах или локальных центрах обработки данных (on-premise).
- Для работы сервиса требуется наличие активного облака и каталога в Yandex Cloud.
- События генерируются только для действий, выполненных через API, CLI или консоль управления. Действия, выполняемые напрямую через операционные системы виртуальных машин (например, вход по SSH), не фиксируются.
- Задержка между совершением действия и появлением записи в логе может составлять от нескольких секунд до нескольких минут.
Источники
- Документация Yandex Cloud: «Yandex Audit Trails. Обзор сервиса» (официальный сайт).
- Стандарт CloudEvents (CNCF) — спецификация формата событий.
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Материалы конференций Yandex Scale и Yandex для разработчиков (YaTalks).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →