Audit Logs
مقاله
  • ۶ تیر ۱۴۰۴
  • Cybersecurity 101
  • ۵ دقیقه خواندن

Audit Logs

جدول محتوا

در اکثر پروژه‌های نرم‌افزاری مدرن، چندین توسعه‌دهنده، مهندسان عملیات، کارشناسان کنترل کیفیت (QA) و مدیران مشارکت دارند که همگی نیازمند دسترسی به زیرساخت پروژه هستند. بااین‌حال، فراهم کردن امکان دسترسی برای تغییر زیرساخت، خطر نقض امنیت و بروز اختلافات قانونی را افزایش می‌دهد. به همین دلیل، سازمان‌ها برای رفع نگرانی‌های امنیتی احتمالی، به لاگ‌های بررسی (Audit Logs) متکی هستند که اقدامات و تغییرات دقیق در زیرساخت را ثبت می‌کنند.

در این مقاله، به تعریف لاگ‌های بررسی و کاربردهای آن در زیرساخت می‌پردازیم. به‌طور خاص، فعالیت‌های ابری و پایگاه داده را بررسی می‌کنیم. همچنین، مسائل مربوط به انطباق قانونی، چالش‌های متداول مانند حجم داده‌ها، دوره‌های نگهداری لاگ‌ها و همبستگی بین سیستم‌های مختلف را در نظر می‌گیریم که نیازمند ارزیابی دقیق هستند.

لاگ‌های بررسی چیست؟

لاگ‌های بررسی، مجموعه‌ای از سوابق فعالیت‌های داخلی مرتبط با یک سیستم اطلاعاتی هستند. برای استفادۀ مؤثر، این سوابق باید شامل اطلاعات زیر باشند:

  • کدام مؤلفه تحت‌تأثیر یک اقدام قرار گرفته است؟
  • چه‌ کسی این اقدام را انجام داده است؟
  • چه زمانی این اقدام اجرا شده است؟
  • نوع اقدام انجام‌شده چه بوده است؟

لاگ‌های بررسی، با لاگ‌های برنامه و سیستم متفاوت هستند. لاگ‌های برنامه، فعالیت‌های کاربران خارجی را ثبت می‌کنند و لاگ‌های سیستم، فعالیت‌های نرم‌افزارها (مانند سیستم‌عامل) را ضبط می‌کنند؛ اما لاگ‌های بررسی صرفاً به اقدامات کاربران و سرویس‌های داخلی در زیرساخت سیستم مربوط می‌شوند. تغییرناپذیری، ویژگی مهم لاگ‌های بررسی است. هیچ‌کس نباید اجازهٔ تغییر سوابق لاگ‌های بررسی را داشته باشد؛ زیرا این کار، یکپارچگی لاگ‌ها را کاهش می‌دهد و آن‌ها را بی‌فایده می‌کند.

موارد استفاده

لاگ‌های بررسی، علاوه‌بر راحتی و کارایی، نقش مهمی در امنیت و انطباق قانونی ایفا می‌کنند؛ به‌ویژه در زیرساخت ابری و پایگاه‌داده.

ردیابی تغییرات در زیرساخت ابری

پروژه‌های مبتنی‌بر ابر (Cloud-Native)، معمولاً شامل تعداد زیادی سرویس ابری هستند. جذابیت ابر عمومی، به انعطاف‌پذیری زیرساخت آن بستگی دارد؛ به این معنا که مقیاس و پیکربندی این سرویس‌ها بسیار پویاست. به همین دلیل، سازمان‌هایی که از ارائه‌دهندگان ابری برای استقرار و مدیریت نرم‌افزار خود استفاده می‌کنند، باید قابلیت ردیابی هر تغییر در زیرساخت خود را داشته باشند، حتی اگر تغییر، به‌ظاهر ناچیز باشد. علاوه‌بر این، فعالیت‌های مخرب در زیرساخت ابری باید تشخیص داده شود تا فعال‌کننده، زمان و ماهیت دقیق اقدامات مخرب مشخص شود.

بسیاری از ارائه‌دهندگان خدمات ابری، سرویس‌های لاگ بررسی را به‌صورت پیش‌فرض ارائه می‌دهند؛ ازجمله:

  • CloudTrail برای سرویس‌های آمازون
  • Cloud Audit Logs در پلتفرم گوگل (GCP)
  • Azure Monitor برای Microsoft Azure

ردیابی فعالیت‌های مدیریت پایگاه داده و سیستم

زیرساخت بک‌اند، به پایگاه‌های داده وابسته است. توسعه‌دهندگان ممکن است پایگاه‌های دادۀ مستقر در ابر را بخشی از زیرساخت ابری در نظر بگیرند؛ ولی لاگ‌های بررسی پایگاه داده، به‌صورت عمیق‌تری بر اقدامات انجام‌شده روی سیستم پایگاه داده، متمرکز هستند. به‌عنوان مثال، این لاگ‌ها زمان اتصال و قطع ارتباط کلاینت‌ها و دلایل این اقدامات را ثبت می‌کنند. این اطلاعات برای شناسایی سوءاستفاده‌های احتمالی و تحریف داده‌ها، حیاتی هستند.

لاگ‌های بررسی همچنین، برای ردیابی افرادی که تغییراتی در Schema پایگاه داده ایجاد می‌کنند، ضروری هستند. این تغییرات شامل مؤلفه‌های Schema که بر فرمت، ساختار داده و به‌روزرسانی سوابق تأثیر می‌گذارند نیز می‌شود. برخی از پایگاه‌های داده، بدون Schema هستند؛ بنابراین در این موارد، اهمیت لاگ‌های بررسی کمتر است؛ اما برای پایگاه‌های دادۀ رابطه‌ای، لاگ‌های بررسی از اهمیت بالایی برخوردارند.

رایج‌ترین سیستم‌های پایگاه‌ داده، پلاگین‌ها و افزونه‌های مخصوص لاگ بررسی را ارائه می‌دهند؛ ازجمله:

  • PgAudit برای PostgreSQL
  • بررسی لاگ برای MySQL
  • Auditing برای MongoDB

انطباق و دفاع قانونی

برخی صنایع، سطوح لاگ‌های بررسی را به‌شدت تنظیم می‌کنند. به‌عنوان مثال، شرکت‌های فعال در حوزۀ Fintech یا Medtech باید آماده باشند تا لاگ‌های بررسی را در سطحی جامع، پیاده‌سازی کنند که اغلب نیازمند تحلیل منظم لاگ‌ها برای اطمینان از عدم وجود فعالیت‌های مخرب در دوره‌های مشخص است. علاوه‌بر مقررات صنعتی، برخی گواهی‌نامه‌های خاص نیز الزامات سطح بالایی برای لاگ‌های بررسی تعیین می‌کنند، مانند:

  • گواهی‌نامۀ HIPAA برای سازمان‌های حوزۀ سلامت
  • گواهی‌نامۀ ISO 27001 برای سازمان‌های فعال در صنعت فناوری اطلاعات

برخی از شرکت‌ها، ملزم به ارائۀ گواهی‌نامه‌های انطباق امنیت اطلاعات به شرکا و مشتریان خود هستند. لاگ‌های بررسی، در اینجا، نقش شاهدی را بازی می‌کنند برای رعایت الزامات مقررات و گواهی‌نامه‌ها. لاگ‌های بررسی در حل‌وفصل اختلافات حقوقی نیز بسیار مفید هستند. این اختلافات، به‌ویژه در صنایع حساسی مانند مالی و پزشکی، بیش از حد تصور رخ می‌دهند. در چنین مواردی، لاگ‌های بررسی به‌عنوان مدرک و شواهد حیاتی، به کمک شرکت‌ها می‌آیند.

چالش‌های لاگ‌های بررسی

اگرچه لاگ‌های بررسی، در امنیت و انطباق با مقررات نقش مهمی را ایفا می‌کنند، پیاده‌سازی آن‌ها ممکن است چالش‌برانگیز باشد. در ادامه، برخی از مسائل احتمالی مرتبط با ذخیره‌سازی لاگ‌ها را بررسی می‌کنیم.

حجم داده

پروژه‌های نرم‌افزاری، اغلب سیستم‌های پیچیده‌ای هستند که از اجزای پویا تشکیل شده‌اند. حجم انبوه داده‌های موجود در لاگ‌های بررسی ممکن است بسیار زیاد و هزینۀ ذخیره‌سازی آن‌ها بسیار بالا باشد. به همین دلیل، سازمان‌ها باید با در نظر گرفتن الزامات انطباق، وضعیت امنیتی و عملکرد کلی سیستم، به‌دقت تعیین کنند که کدام گزارش‌ها از اهمیت بیشتری برای ذخیره‌سازی برخوردارند.

دورۀ نگهداری لاگ‌ها

در‌حالی‌که برخی مقررات و گواهی‌نامه‌ها، به‌طور خاص، به ثبت لاگ‌های بررسی نیاز دارند، شرکت‌ها باید این لاگ‌ها را برای مدت‌زمان طولانی‌تری حفظ کنند تا الزامات انطباق را برآورده سازند. برای مثال، یکی از شرایط دریافت گواهی‌نامۀ انطباق با HIPAA، این است که شرکت باید لاگ‌های بررسی خود را به مدت شش سال نگهداری کند. برای گواهی‌نامۀ ISO 27001 نیز، شرکت‌ها باید لاگ‌های بررسی خود را حداقل به مدت سه سال ذخیره کنند. نگهداری لاگ‌ها برای دوره‌های طولانی‌مدت، علاوه‌بر هزینه‌های مالی، مستلزم تخصیص منابع برای نگهداری و مدیریت آن‌هاست.

همبستگی لاگ‌های بررسی در سیستم‌های مختلف

همبستگی، مقایسه و تحلیل لاگ‌های بررسی در سرویس‌دهندگان ابری و پایگاه داده با فرمت‌ها و پروتکل‌های متفاوت ممکن است دشوار باشد. پردازش حجم انبوهی از لاگ‌ها، مستلزم یکسان‌سازی تفاوت‌هاست که زمان و تلاش درخور توجهی می‌طلبد. همچنین، ناهماهنگی‌ها در سطح جزئیات، امری رایج است و ممکن است به چالش‌های انطباقی منجر شود.

 

این مقاله، ترجمه‌ای از مقالۀ CrowdStrike است.