Открыть сервис

Yandex Audit Trails

Yandex Audit Trails — это сервис облачной платформы Yandex Cloud (ООО «Яндекс.Облако», входит в группу компаний «Яндекс»), предназначенный для сбора, хранения и анализа записей о событиях (аудиторских логов), происходящих в инфраструктуре облачных ресурсов. Сервис обеспечивает фиксацию действий пользователей, сервисов и API-запросов, что позволяет отслеживать изменения конфигураций, доступ к данным и соблюдение политик безопасности.

Назначение и область применения

Yandex Audit Trails решает задачи, связанные с обеспечением информационной безопасности, соответствием нормативным требованиям (комплаенсом) и расследованием инцидентов. Основные сценарии использования включают:

  • Аудит действий пользователей: фиксация того, кто, когда и какие операции выполнял с ресурсами (например, создание виртуальных машин, изменение прав доступа, удаление объектов в хранилище).
  • Мониторинг изменений конфигурации: отслеживание изменений настроек облачных сервисов, сетевых политик и правил безопасности.
  • Расследование инцидентов: анализ последовательности действий, приведших к утечке данных, несанкционированному доступу или сбою в работе.
  • Соответствие стандартам: выполнение требований законодательства (например, 152-ФЗ «О персональных данных», стандартов PCI DSS, ISO 27001) к ведению журналов аудита.

Принцип работы

Сервис работает по принципу подписки на события (event-driven). Пользователь создаёт трейл (trail) — конфигурацию, которая определяет, какие события из каких источников будут собираться и куда передаваться.

Основные компоненты

  1. Трейл (Trail): сущность, задающая правила сбора событий. Включает:
  • Область сбора: каталог, облако или конкретные сервисы.
  • Типы событий: управляющие (control plane) и/или данные (data plane).
  • Целевой объект: бакет в Yandex Object Storage (S3-совместимое хранилище) для хранения логов, а также опционально — лог-группа в Yandex Cloud Logging.
  1. Источники событий: сервисы Yandex Cloud, генерирующие аудиторские записи (например, Yandex Compute Cloud, Yandex Managed Service for Kubernetes, Yandex Identity and Access Management (IAM), Yandex Object Storage).
  2. Формат событий: записи представляют собой структурированные JSON-объекты, соответствующие стандарту CloudEvents (CNCF) с расширениями для аудита. Каждое событие содержит:
  • event_id: уникальный идентификатор.
  • event_type: тип операции (например, yandex.cloud.audit.compute.instance.create).
  • event_time: временная метка.
  • authentication: информация об аутентифицированном субъекте (пользователь, сервисный аккаунт, федеративный пользователь).
  • authorization: результаты проверки прав доступа.
  • request_parameters: параметры запроса (например, имя создаваемой виртуальной машины).
  • response: результат выполнения операции (успех/ошибка, код ответа).

Процесс сбора

  1. Пользователь создаёт трейл через консоль управления Yandex Cloud, CLI или API.
  2. Сервис начинает подписываться на события указанных источников в заданной области.
  3. При каждом действии (например, вызове API) сервис-источник генерирует событие и отправляет его в Yandex Audit Trails.
  4. Сервис обрабатывает событие, проверяет соответствие правилам трейла и сохраняет запись в целевой бакет Object Storage или передаёт в Yandex Cloud Logging.

Типы событий

Yandex Audit Trails различает два основных типа событий:

  • Управляющие события (Control Plane Events): фиксируют операции управления ресурсами, такие как создание, изменение, удаление. Примеры: yandex.cloud.audit.compute.instance.create, yandex.cloud.audit.iam.serviceAccount.update.
  • События данных (Data Plane Events): фиксируют операции с данными внутри ресурса, например, чтение или запись объектов в бакете Object Storage. Пример: yandex.cloud.audit.storage.object.get.

Хранение и доступ к данным

Логи аудита хранятся в бакете Yandex Object Storage, который пользователь указывает при создании трейла. Доступ к логам осуществляется через стандартные механизмы Object Storage: консоль управления, AWS CLI (совместимый с S3 API), SDK. Пользователь может настроить политики хранения (например, автоматическое удаление записей старше определённого срока) и шифрование данных.

Интеграция с другими сервисами

Yandex Audit Trails интегрируется с рядом сервисов Yandex Cloud:

  • Yandex Cloud Logging: позволяет передавать события в лог-группу для дальнейшего анализа, фильтрации и отправки уведомлений.
  • Yandex Managed Service for Prometheus: может использоваться для мониторинга метрик аудита (например, количество ошибок аутентификации).
  • Yandex Cloud Functions: позволяет запускать бессерверные функции в ответ на события аудита (например, автоматически блокировать подозрительные действия).
  • Yandex Object Storage: является основным хранилищем логов.

Безопасность и соответствие требованиям

Сервис соответствует требованиям российского законодательства в области обработки персональных данных (152-ФЗ) и стандартам информационной безопасности. Он обеспечивает:

  • Неизменность логов: записанные события не могут быть изменены или удалены после фиксации (при правильной настройке политик Object Storage).
  • Аутентификацию и авторизацию: доступ к управлению трейлами и чтению логов регулируется через IAM-роли (например, audit-trails.admin, audit-trails.viewer).
  • Шифрование: данные могут шифроваться с использованием ключей Yandex Key Management Service (KMS).

Тарификация

Стоимость использования Yandex Audit Trails складывается из:

  • Платы за обработку событий: тарифицируется количество записей, обработанных сервисом.
  • Платы за хранение: стоимость хранения логов в Object Storage (в зависимости от класса хранилища и объёма данных).
  • Платы за передачу данных: трафик при экспорте логов (например, через API).

Тарифы публикуются на официальном сайте Yandex Cloud и могут изменяться.

Ограничения и особенности

  • Сервис не поддерживает сбор событий из ресурсов, расположенных в других облачных провайдерах или локальных центрах обработки данных (on-premise).
  • Для работы сервиса требуется наличие активного облака и каталога в Yandex Cloud.
  • События генерируются только для действий, выполненных через API, CLI или консоль управления. Действия, выполняемые напрямую через операционные системы виртуальных машин (например, вход по SSH), не фиксируются.
  • Задержка между совершением действия и появлением записи в логе может составлять от нескольких секунд до нескольких минут.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →