Аудит жана өзгөрүлбөгөн журналдар

Аудит жана өзгөрүлбөгөн журналдар

1) Эмне үчүн керек

Аудиттин максаты - коопсуздукту, иликтөөлөрдү, финансылык отчеттуулукту жана талаптарга шайкештикти сактоо үчүн "ким, эмне, кайда, качан жана эмне үчүн" далилденген бүтүндүк менен бекитүү.
Өзгөрүлбөс журнал - окуялар кошуу (append-only) менен гана жазыла турган формат жана сактоо, андан кийинки өзгөртүү/алып салуу же мүмкүн эмес, же криптографиялык каражаттар жана сактоо саясаты менен аныкталат.

2) коркунуч модели жана контролдоо максаттары

• Инсайдер тарабынан окуяларды атайылап оңдоо/алып салуу.
• Убакыт/булак алмаштыруу (replay/backdating).
• "Тынч" түйүн боюнча логин өчүрүү.
• Кырсык/миграция учурунда журналдын бир бөлүгүн жоготуу.
• PII ашыкча чогултуу жана купуялык менен келишпестик.

1. Бүтүндүк: модификациядан/өчүрүүдөн коргоо менен далилденген.

2. Толук: негизги агымдарды жабуу (control plane, data plane, жеткиликтүүлүк, акча).

3. Убакыт тактыгы: ойнотулган, синхрондолгон убакыт.

4. Жеткиликтүүлүк: SLO ичинде окуу жана издөө.

5. Купуялык: минималдуу PII, токенизация/шифрлөө, колдонуунун мыйзамдуулугу.

3) Таксономия жана окуялардын артыкчылыктары

• Control Plane: аутентификация/авторизация, конфигурацияны өзгөртүү, ачкыч операциялары (KMS), сырды башкаруу, саясатты өзгөртүү.
• Data Plane: объекттерге/жазууларга/чектөөлөргө/төлөмдөргө жетүү; окуу/түзүү/өчүрүү.
• Admin жана DevOps: SSH/консол, CI/CD, инфраструктураны өзгөртүү/IaC, укуктарды күчөтүү.
• Продуктылар: транзакциялар, биллинг, кардарлардын операциялары.
• Системалык/тармактык: ядро/агенттер/прокси/балансчылар, брокерлер, DD.
• Коопсуздук: IDS/IPS/EDR, WAF, анти-DDoS, антифрод, DLP.

Ар бир класс үчүн биз бекитебиз: критикалуулук, схема, милдеттүү талаалар, сактоо мөөнөтү, өзгөрүлбөстүк талаптары.

4) Милдеттүү талаалар жана формат

Корреляция идентификаторлору: 'trace _ id', 'span _ id', 'request _ id', 'actor _ id' (колдонуучу/кызмат), 'tenant _ id', 'resource _ id'.
Контекст A&A: аутентификация ыкмасы, ролу/саясаты учурунда.
Убакыт: RFC3339/UTC, миллисекунддар/наносекунддар; синхрондоштуруу булагы.
Иш-аракет жана натыйжа: операциянын түрү, максаты, статусу, таасир эткен объекттердин саны.
бүтүндүгү: жергиликтүү HMAC жазуу, катар номери (sequence), hash-prev.
Схема: JSON туруктуу модели менен (мисалы, жалпы окуя сөздүктөрү менен шайкеш).

Тыюу салынган: сырлар, ачкычтар, токендер, толук PAN, сырсөздөр, жеке ачкычтар. PII - гана зарыл, маскировка/токенизациялоо менен.

5) Убакыт жана синхрондоштуруу

Убакыт булагы: жок дегенде эки көз карандысыз булагы (NTP/PTP) + жылышуу мониторинг.
Критикалык убакыт кол тамгалар: ишенимдүү убакыт белгилөө кызматтарын (TSA) же иш-чаралардын пакеттери үчүн ички убакыт-sealing кызматын колдонуңуз.
Эрежелер: жергиликтүү убакыт зоналары жок, бир гана UTC; логикалык жана жылыш/убакыт сапаты.

6) Логдордун агымынын архитектурасы

Агенттер → Буфер → Транспорт → Лэндинг → Хэш-чынжыр/кол → Суук/Архив → Издөө индекси.

түйүнүндө чогултуу: жарык агенттери (daemonset/sidecar) дискте арткы менен (back-pressure).
Транспорт: корголгон канал (TLS/mTLS), кепилденген жеткирүү (at-least-once), idempotent-ingest.
Ландинг зонасы: "чийки" түрдөгү объект сактоочу жай (датасы/тенанты/түрү боюнча партия).
Индекс: издөө/аналитика кыймылдаткычы үчүн онлайн суроо (ысык катмар).
Archive (WORM): өзгөрүлбөс Бакет/Retence саясаты жана юридикалык hold менен тасмалар.
Anchor/Seal: хэш-чынжыр пакеттерин мезгил-мезгили менен "жабуу" (төмөндө карагыла).

7) Криптографиялык өзгөрбөстүк

7. 1 хеш чынжыр (append-only)

Ар бир жазуу төмөнкүлөрдү камтыйт: 'hash _ curr = H (record)', 'hash _ prev' мурунку жазуудан, 'seq'. Ар кандай өзгөртүү чынжырды бузат.

prev = GENESIS for record in stream:
payload = canonical_json(record_without_integrity_fields)
h = H(payload          prev.hash          record.seq)
store(record + {hash_prev: prev.hash, hash_curr: h})
prev = {hash: h}

7. 2 Кол кутулар жана убакыт мөөрү

Ар бир N секунд/MB блок түзүү: бардык 'hash _ curr' Меркл тамыры.
Блок аудит ачкычы менен кол коюу (туруктуу KMS/HSM сакталган).
Биз TSA убакыт белгисин кошуп, "блоктордун каталогун" (Transparency Log) жарыялайбыз.
Кошумча: мезгил-мезгили менен тышкы далилденген мейкиндикте тамыры хеш казык (мисалы, көз карандысыз журнал же коомдук өзгөрүлбөгөн сактоо).

7. 3 Аудит ачкычтарын башкаруу

Кол тамга ачкычтары - KMS/HSM, график боюнча ротация, көп факторлуу кирүү, экспорт үчүн кош контролдук.
ачкычын чакыртып алуу → жаңы ишеним бутагы; эски кол тамгалар текшерилүүчү бойдон калууда.

8) Сактоо жана WORM саясаты

WORM/immutability: P0/P1 класстары үчүн Retention жана Legal Hold саясаты менен өзгөрүлбөс контейнерлерди/бакеттерди камтыйт.
Версиялоо: камтылган; алып салуу - кечигүү менен гана жол-жоболору (заматта purge тыюу салуу).
Retence: ысык (7-30 күн), жылуу (3-6 ай), муздак/архив (1-7 жыл жана андан көп - жөнгө салуучу/келишим боюнча).
Көп ижара: жеке аты-жөнү мейкиндик/эсеп/ижарачы үчүн шифрлөө ачкычтары; журналдарга кирүү боюнча отчеттуулук.

9) Купуялык жана минималдаштыруу

Зарылдык принциби боюнча чогултуу: ашыкча логикалык эмес.
Токенизация/псевдонимизация сезимтал талаалар, хэш менен туз үчүн идентификаторлор.
Жалпы объектти сактоодо өндүрүүчүнүн (AEAD) тарабындагы талааларды шифрлөө.
Алып салуу укугу (колдонулуучу жерде): контейнердин өзгөрбөстүгүн бузбастан, талаалардын/партиялардын ачкычтарын крипто-өчүрүү аркылуу ишке ашырылат (долбоорлоодо пландаштырылган).

10) Аудиттин өзүнө жетүү, ролу жана аудит

Бөлүшүү: producers ≠ readers ≠ admins.
WORM гана окуу; саясаттын өзгөрүшү - обочолонгон ролдор жана жактыруу менен жол-жоболор аркылуу.
Бардык окуу/экспорттук операциялар экинчилик журналга (мета-аудит) жазылат.
Тергөө/комплаенс үчүн экспорт - хэш-блоктордун каталогу жана ишеним чынжыры менен шифрленген түрдө.

11) Байкоо жана SLO

Метрика: Инжесттин ылдамдыгы, индекске чейин артта калуу, жоголгон/кайталанган%, синхрондолбогон убакыттын үлүшү, кол коюу/казуу каталары, буферлерди толтуруу.
SLO: ≥99. 9% окуялар ысык ≤ чейин X секунд жеткирилди; 0 ырааттуулукта түшүнүксүз "тешиктер"; 100% блоктор кол коюлган жана убакыт менен белгиленет.
Alerty: Injest тыныгуу> N мүнөт, invalid-hash өсүшү, чынжыр айырмачылыктар, кол/таймстампка ийгиликсиз, босогодон убакыт жылышы.

12) тестирлөө жана текшерүү

Red/Blue-тесттер: ар кандай баскычтарында жазууларды өзгөртүү/өчүрүү аракети; аныктоо текшерүү.
Chaos: түйүнүндө агент өчүрүү, тармак үзүлүшү, буфер толуп, "убакыт алмаштыруу".
Крипто текшерүү: үзгүлтүксүз чынжыр validation, Меркл тамыры жана штамптарды салыштыруу.
Forensics: end-to-end журналдарынан иликтөө сценарийлерин ойнотуу.

13) Иштетүү жана жол-жоболор

Runbook "бүтүндүгүн текшерүү" (on-demand жана тартиби боюнча).
Юридикалык холдинг жана убактылуу "тоңдуруу" партияларынын жол-жобосу.
Ишеним чынжырын сактоо менен discovery жана экспорт тартиби.
Аудит ачкычтарын ротациялоо жана компромисске жооп берүү планы (ишенимдин жаңы бутагы, блоктордун кайра кол тамгасы, билдирүүлөр).

14) Mini Recipes

records = read_partition(ts_window)
leaves = [H(canonical_json(r)) for r in records]
root  = merkle_root(leaves)
sig   = KMS.sign(root          ts_now)
tsa   = TSA.timestamp(sig)
store_block({root, sig, tsa, count=len(leaves), window})
append_transparency_log(H(root          sig          tsa))

for i in 1..N:
assert rec[i].hash_prev == rec[i-1].hash_curr assert rec[i].hash_curr == H(canonical_json(rec[i]_no_hash)          rec[i].hash_prev          rec[i].seq)

• Control/Data plane P0: ысык 30 күн → жылуу 6 ай → архив 7 жыл (WORM).
• DevOps: ысык 14 күн → жылуу 3 ай → архив 1 жыл.
• Секурити сигналдар: ысык 90 күн (тергөө үчүн), андан кийин 1-3 жыл.

15) Көп каталар

"Логи - бул схемасы жок текст". схемасы жок аныктоо бүтүндүгү жана издөө жок; милдеттүү канондук JSON жана белгиленген талаалар.
Эч кандай корреляция жок. Жок 'trace _ id' тергөө бузат.
Жергиликтүү убакыт. Бир гана UTC жана жылыштарды көзөмөлдөө.
Өзгөрүлмө томдорго жазуу. WORM жок ар кандай өзгөрбөстүк - ойдон чыгарылган.
Алар окууга киришпейт. сезимтал маалыматтарды окуу жазуу кем эмес чечүү үчүн маанилүү болуп саналат.
Сырлар логдордо. жөнөтүлгөнгө чейин санитайзерлерди күйгүзүү, "кызыл тизмелер" үлгүлөрү.
Бардыгы үчүн бир ачкыч. Кол коюу жана шифрлөө ачкычтары - өзүнчө, ролу жана ротациясы менен.

16) шайкештик жана жөнгө салуу

Сактоо/өзгөрбөстүк мөөнөттөрүнө карата талаптар доменге (финансы, төлөм, телеком ж.б.) жараша болот.
Далилдөө: WORM/Retention протоколдорунун, чынжыр валидациясынын отчетторунун, журналдарга кирүү журналдарынын, мыйзамдуу өткөрүү жана экспорт жол-жоболорунун болушу.

17) Чек-баракчалар

Азык-түлүктүн алдында

• Окуялардын таксономиясы жана схемасы (милдеттүү талаалар) бекитилген.
• орнотулган агенттер, буферлер, коопсуз транспорт, back-pressure.
• Камтылган: хэш чынжыр, блок кол, убакыт мөөрү, transparency-лог.
• WORM/Retance сактоо киргизилген; кайра жазуу/өчүрүү мүмкүн эместигин сыноо.
• Сезгич талааларды Masking/tokenization.
• Убакытты синхрондоштуруу жана жылыштарды көзөмөлдөө.
• KMS/HSM айлануу планы жана аудит ачкычтарын сактоо.

Эксплуатация

• Жумалык чынжыр жана блокторду валидациялоо (+ отчет).
• Чынжырдын бузулушуна/кол коюу каталарына/убакыттын жылышына каршы.
• Мезгил-мезгили менен Red-команда алмаштыруу/алып салуу боюнча тесттер.
• Үзгүлтүксүз review retents жана чыгымдар.

18) FAQ

S: DD деъгээлинде жөн гана "кошуу" жетиштүүбү?
О: Жок. Бизге крипто кепилдиктер (хэш чынжырлары, блоктордун кол тамгалары, убакыттын штамптары) жана WORM саясаты керек.

S: Маалыматтарды алып салуу укугу жөнүндө эмне айтууга болот?
A: Медиа өзгөрбөстүгүн жана журналдардын далилдүүлүгүн сактап, талаалар/партиялар үчүн крипто-өчүрүү (ачкычтарды алып салуу) долбоорлоо.

С: Блокторго кол коюу үчүн өзүнчө ачкыч керекпи?
A: Ооба. Блоктордун кол тамга ачкычтары сактоо шифрлөө ачкычтарынан ажыратылат; KMS/HSM сактоо, айлануу жана аудит менен.

S: коомдук мейкиндикте "казык" болот?
A: Кошумча. Бул текшерүүнү күчөтүп, контурдун ичиндеги "тарыхты кайра жазууну" кесип салат.

• "Ат Rest шифрлөө"
• "In Transit шифрлөө"
• "Сыр менеджменти"
• "Ачкычтарды башкаруу жана ротация"
• "Кол коюу жана суроо-талаптарды текшерүү"