阿裡雲配置審計(英文名稱:Config,産品位址: https://www.aliyun.com/product/config ,以下簡稱為:Config),是一款面向資源的審計服務類産品。它可以主動發現使用者資源,持續監控并記錄資源配置變更,能夠提供有效的資源管控服務。并基于“合規即代碼”的理念,将資源審計邏輯實作放置于阿裡雲函數計算運作環境之上,使得持續性的合規審計、安全評估分析成為可能。
1. 存在意義
在網際網路環境監管整體趨嚴的背景下,伴随着《網絡安全法》的出台,提出了“等保2.0”這個概念,在這個概念的架構下有很多内容發生了變化:等級保護内容大擴充,等級保護内容大不同,以及标準體系的大更新。傳統等級保護關注傳統資訊系統領域,在2.0時代從橫向和縱向都進行擴充。在傳統的等級保護上規定動作,定級、備案、建設整改、等級測評,監督檢查計基礎上,“等保2.0”把風險評估、安全檢測、通報預警,事件調查等等方面的工作都納入到等級保護的範圍之内。尤其在雲服務商方面,規定明确要求“安全合規”,并且雲計算平台為其承載的業務應用系統提供相應等級的安全保護能力。
Config提供了持續的合規審計功能,基于自動化的手段幫助企業使用者完善資源合規審計制度,確定“等級2.0”具體實施計劃的快速落地,并能夠極大的降低使用者的人工審計成本。整體而言,Config作為連結企業使用者“物”和“法”的橋梁,在金融,企業、政府機關、事業機關都将會有較為廣泛的應用前景。
2. 主要功能
Config産品提供了資源主動發現,持續監控和持續審計,“合規即代碼”,資源快照投遞等幾大核心功能。
2.1 資源發現
Config能夠主動發現使用者的資源建立行為,将Region化的資源進行統一整合,并基于資源的配置快照建立一個完整使用者資源配置庫,供查詢、搜尋、調用,具備被內建的能力。同時Config采用了非Region化的部署形式,統一Region接口查詢無需進行多Region輪詢,減少周遊多Region的IO開銷,使用者體驗更加友好,在資源集中化查詢,配置屬性檢索等方面具有很好的應用場景。
2.2 持續監控
Config持續捕獲并記錄使用者對資源配置所做的變更行為,形成資源配置和合規變更兩大基線時間軸,貫穿整個使用者資源從建立到銷毀的完整生命周期。使用者可随時進行資源盤點,檢視資源配置變更曆史記錄等操作,提高使用者資源的管控效率。
2.3 持續審計
Config可持續審計和評估使用者的資源配置是否符合安全性,合規性要求。并可以從資源,規則,全局三個次元給出合規報告。從資源次元上,可以明确資源配置違反哪些審計規則,快速定位問題;從規則次元上,使用者可快速識别不合規的資源,逐一整改;以全局視角可以擷取整體合規性統計分析,便于使用者整體工作評估,全局統籌安排。
2.4 合規即代碼
Config規則審計邏輯運作于阿裡雲函數計算(Function Compute),除了預定義的審計規則(又稱托管規則),使用者可基于函數計算運作環境用自己熟悉的語言編寫合規審計代碼,定義資源配置内部最佳實踐和指南。Config基于此自動評估使用者資源配置和資源更改,進而確定整個基礎設施實作持續合規性和自主監管。
2.5 快照投遞
Config可将資源配置以完整快照的形式周期性投遞至使用者指定的OSS存儲桶中,友善使用者進行資料分析,進行三方審計等後續操作。後續将引入MNS(中文名稱:阿裡雲消息服務)消息通知功能,将配置更改事件流式傳輸到MNS,實時通知,友善使用者全面掌控資源變化。
3. 工作原理
Config産品的技術實作主要包含資源,合規兩類層面。從資源層面持續收集資源配置資料,供給合規層面進行持續的合規審計。主要工作原理如下圖所示:
下面簡要的介紹兩個層面的工作内容:
在資源層面:通過記錄使用者的資源操作行為,識别出資源的建立、更新或删除等操作行為。基于
阿裡雲實時計算/Blink實時處理引擎在一個特定視窗期内進行資源的分組,合并,去重等操作,并基于此對相關雲産品發起Describe或List API請求,擷取并記錄資源的配置資料,建立完整的使用者資源配置庫,并保持持續更新。
在合規層面:通過審計規則(ConfigRue)提供具體的合規審計實作。審計規則與函數計算中具體的執行函數相關聯,執行具體的審計邏輯。審計規則由底層Config Trgger觸發,具備兩種觸發機制:資源配置變更和周期性執行。兩種觸發機制可以有效的互相補充,能夠覆寫目前大部分的審計需求。最後評估結果由Config提供的Open API服務Config Service接收審計結果。
4. 應用場景
4.1 資源管控
Config在内部維護了一個完整的使用者資源配置庫,同時基于使用者建立、更新或删除資源操作保持對使用者資源配置庫的持續更新,在對時效性要求不高的場景下,使用者可以基于此進行統一的資源查詢,進而減少對雲産品的describe請求數量,降低雲産品的壓力。阿裡雲跨Region的資源查詢被诟病已久,Config提供的統一資源管控提供了一種解法。
4.2 合規審計
Config一方面提供了豐富的托管審計規則,提供基礎的審計功能,開箱即用,可以滿足絕大部分使用者需求。另外使用者可以開發自定義的規則,完善内部最佳實踐和指南。
Config持續評估使用者的資源是否符合内部政策要求和監管标準,并通過資源配置時間軸,合規時間軸等功能全面全面了解合規情況,全方位護航企業/行業使用者“等保2.0”實施政策的快速落地。
4.3 安全分析
Config持續監控使用者資源是否具有潛在的安全弱點,同時在發生安全問題後,也可以快速排查問題,封堵漏洞。可作為“
阿裡雲雲安全中心(态勢感覺)”的有效補充,幫助安全團隊更加及時的采取應對措施。
4.4 問題排查
Config可展示資源之間的關系,以便評估某個資源的更改會對其他資源造成什麼影響。使用Config使用者可以查詢資源的最近配置更改,進而快速排查運作問題。
5. 面向未來
Config已在路上,面向未來,我們有更多期待:
5.1 更多的資源接入
更豐富的資源接入意味着更廣泛的審計範圍。目前Config已經覆寫阿裡雲12款主流雲産品,共計31個資源類型,未來将持續接入更多的雲産品和資源類型,争取阿裡雲所有産品線的全面覆寫。
5.2 更豐富的審計規則
審計規則基于函數計算實作,使得Config具備的極大的靈活性和一緻性,可以有效的發展審計規則的生态建設。我們希望提供一個開放性的規則市場,能夠吸引更多的雲産品加入豐富審計規則,建立一個較為完整的審計生态,讓合規審計的概念深入人心。
5.3 跨賬号資源聚合
阿裡雲目前尚未有Organization相關概念的存在,針對部分企業使用者存在多賬号的場景下,提供多賬号資源合規審計的綜合視圖,可以直接讓使用者在單個賬号中檢視整個企業其他各個賬号下資源清單、合規狀态等資訊,無需分賬号單獨檢視。
5.4 自動修正“不合規”
Config未來将會具備自動修正/AutoMation的能力。通過與
彈性計算-運維編排服務/OOS結合,可以讓Config在發現“不合規”的資源配置是,無需人工介入,可自動根據預先設定的修正配置,執行修正流程,快速消滅“不合規”。
在雲計算時代,如何有效的管理,審計,安全評估雲計算資源是每一個企業使用者都面臨的挑戰,希望Config能夠解決使用者的一些痛點,能夠成為資源管控和合規審計的利器!