Audit we üýtgemeýän žurnallar

Audit we üýtgemeýän žurnallar

1) Bu näme üçin zerur?

Auditiň maksady howpsuzlygy, derňewleri, maliýe hasabatlylygyny we talaplara laýyklygyny saklamak üçin "kim, näme, nirede, haçan we näme üçin" subut edilip bilinjek bitewilik bilen düzetmekdir.
Üýtgemeýän magazineurnal - wakalar diňe goşmak (append-only) bilen ýazylýan format we ammar, soň bolsa üýtgetmek/aýyrmak mümkin däl ýa-da kriptografiki serişdeler we saklamak syýasatlary arkaly ýüze çykarylyp bilinmez.

2) Howplaryň nusgasy we gözegçiligiň maksatlary

• Içerki adam tarapyndan bilkastlaýyn düzedilmegi/ýok edilmegi.
• Wagt/çeşme çalyşmagy (replay/backdating).
• Düwündäki logirlemäni "ýuwaş" öçürmek.
• Awariýa/migrasiýa wagtynda žurnalyň bir böleginiň ýitmegi.
• PII-den artykmaç ýygym we gizlinlik bilen düşünişmezlik.

1. Bitewilik: modifikasiýalardan/aýyrmalardan goramak bilen subut edilip bilinjek.

2. Doly: esasy akymlary ýapmak (control plane, data plane, elýeterlilik, pul).

3. Wagt takyklygy: gaýtalanýan, sinhronlanan wagt.

4. Elýeterlilik: SLO-nyň çäginde okamak we gözlemek.

5. Gizlinlik: iň az PII, bellik/şifrlemek, ulanmagyň kanunylygy.

3) Wakalaryň taksonomiýasy we ileri tutulýan ugurlary

• Control Plane: tassyklamak/ygtyýarlandyrmak, konfigurasiýalary üýtgetmek, açar amallary (KMS), syrlary dolandyrmak, syýasatlary üýtgetmek.
• Data Plane: obýektlere/ýazgylara/çeklere/töleglere elýeterlilik; okamak/döretmek/aýyrmak.
• Administration we DevOps: SSH/konsol, CI/CD, infrastrukturanyň üýtgemegi/IaC, hukuklaryň güýçlenmegi.
• Önümler: geleşikler, billing, müşderileriň amallary.
• Ulgam/tor: ýadro/agentler/proksi/balansçylar, brokerler, DB.
• Howpsuzlyk: IDS/IPS/EDR, WAF, anti-DDoS, antifrod, DLP.

Her synp üçin: kritikligi, shemany, hökmany meýdanlary, saklanyş möhletini, üýtgemezlige bolan talaplary ýazýarys.

4) Hökmany meýdanlar we format

Baglanyşyk identifikatorlary: 'trace _ id', 'span _ id', 'request _ id', 'actor _ id' (ulanyjy/hyzmat), 'tenant _ id', 'resource _ id'.
A&A konteksti: hakykylaşdyrmagyň usuly, hereket edýän wagtyndaky rollar/syýasatlar.
Wagt: RFC3339/UTC, millisekundlar/nanosekundlar; sinhronizasiýa çeşmesi.
Hereket we netije: amalyň görnüşi, maksady, ýagdaýy, täsir edilen obýektleriň sany.
Bitewilik: ýerli HMAC ýazgysy, serial belgisi (sequence), hash-prev.
Shema: JSON durnukly model bilen (mysal üçin, wakalaryň umumy sözlükleri bilen gabat gelýär).

Gadagan: syrlar, açarlar, PAN-lar, parollar, şahsy açarlar. PII - diňe zerur bolanda, gizlemek/tokenizasiýa bilen.

5) Wagt we senkronizasiýa

Wagt çeşmesi: azyndan iki sany garaşsyz çeşme (NTP/PTP) + süýşme gözegçiligi.
Möhüm wagt gollary: ygtybarly wagt bellik hyzmatlaryny (TSA) ýa-da wakalar bukjasy üçin içerki wagt-möhür hyzmatyny ulanyň.
Düzgünler: ýerli wagt zolaklary ýok, diňe UTC; logografiýa etmek we wagtyň üýtgemegi/hili.

6) Log akymynyň arhitekturasy

Agentler → Bufer → Ulag → Landing → Hash-zynjyr/gol → Sowuk/Arhiw → Gözleg üçin indeks.

Düwünde ýygnamak: ýeňil agentler (daemonset/sidecar) diskde bufer (back-pressure).
Ulag: goralýan kanal (TLS/mTLS), kepillendirilen eltip bermek (at-least-once), idempotent-ingest.
Landing zonasy: "çig" görnüşdäki obýekt ammary (senesi/tenanty/görnüşi boýunça partiýa).
Indeks: Onlaýn soraglar üçin gözleg/analitik hereketlendirijisi (gyzgyn gatlak).
Arhiw (WORM): retensiýa syýasatlary we hukuk hold.
Anchor/Seal: kesiş zynjyrlarynyň bukjalaryny wagtal-wagtal "ýapmak" (aşakda serediň).

7) Kriptografik üýtgemezlik

7. 1 Heş zynjyrlary (append-only)

Her ýazgyda: 'hash _ curr = H (record)', 'hash _ prev' öňki ýazgydan, 'seq' bar. Islendik düzediş zynjyry döwýär.

prev = GENESIS for record in stream:
payload = canonical_json(record_without_integrity_fields)
h = H(payload          prev.hash          record.seq)
store(record + {hash_prev: prev.hash, hash_curr: h})
prev = {hash: h}

7. 2 Bukjalaryň goly we wagtyň möhüri

Her N sekuntda/MB bloky emele getirýäris: Merkliň köküniň hemmesi 'hash _ curr'.
Bloka audit açary bilen gol çekýäris (KMS/HSM-de yzygiderli saklanylýar).
TSA wagt belligini goşýarys we "bloklaryň katalogyny" (Transparency Log) çap edýäris.
Goşmaça: wagtal-wagtal daşarky subut edilýän giňişlige köküň heş labyry (mysal üçin, garaşsyz magazineurnal ýa-da köpçüligiň üýtgemeýän ammary).

7. 3 Audit açarlaryny dolandyrmak

Gol açarlary - KMS/HSM-de, grafik boýunça aýlanyş, köp faktorly giriş, eksport üçin dual-control.
Açary yzyna almak → täze ynam şahasy; köne gollar barlanylýar.

8) Saklamak syýasaty we WORM

WORM/immutability: P0/P1 synplary üçin Retention we Legal Hold syýasaty bolan üýtgemeýän gaplary/baketleri goşýarys.
Wersiýalaşdyrmak: goşuldy; aýyrmak - diňe gijikdirilen amallar boýunça (derrew purge gadagan).
Retensiýa: gyzgyn (7-30 gün), ýyly (3-6 aý), sowuk/arhiw (düzgünleşdiriji/şertnama baglylykda 1-7 ýyl we ondan köp).
Köp kärende: kärendeçi üçin aýratyn atlar/hasaplar/şifrlemek açarlary; magazinesurnallara girmek boýunça hasabat.

9) Gizlinlik we minimallaşdyrmak

Zerurlyk ýörelgesi boýunça ýygnamak: artykmaç zat ýazmaýarys.
Duýgur meýdanlary bellemek/lakamlaşdyrmak, şahsyýet üçin duz bilen kesmek.
Umumy obýektde saklanylanda önümçiniň (AEAD) tarapyndaky meýdanlary şifrlemek.
Aýyrmak hukugy (ulanylýan ýerinde): konteýneriň üýtgemezligini bozman, meýdançalaryň/partiýalaryň açarlaryny kripto-silmek arkaly amala aşyrylýar (taslamada meýilleşdirilýär).

10) Auditiň özüne girmek, rollar we audit

Bölmek: producers ≠ readers ≠ admins.
Diňe WORM-den okamak; retensiýa syýasatyny üýtgetmek - aýratyn rollar we tassyklama bilen prosedura arkaly.
Okamagyň/eksportyň ähli amallary ikinji derejeli žurnalda (meta-audit) ýazylýar.
Derňew/komplayens üçin eksport - heş-bloklaryň katalogy we ynam zynjyry bilen şifrlenen görnüşde.

11) Synlamak we SLO

Metrikler: injestiň tizligi, indekse çenli yza galmak, ýitirilen/gaýtalanýan%, sinhronlaşdyrylmadyk wagtyň paýy, goluň/labyryň ýalňyşlyklary, buferleriň doldurylmagy.
SLO: ≥99. Wakalaryň 9% -i gyzgyn indekse ≤ X sekunt gowşuryldy; 0 yzygiderlilikde düşündirip bolmajak "deşikler"; Bloklaryň 100% -ine gol çekildi we wagt bilen bellik edildi.
Alertler: injest arakesmesi> N minut, invalid-hash beýikligi, zynjyryň tapawudy, goluň/timstampyň şowsuzlygy, wagtyň bosagadan süýşmegi.

12) Synag we barlamak

Red/Blue synaglary: dürli basgançaklarda ýazgyny redaktirlemek/aýyrmak synanyşygy; gözleg barlagy.
Chaos: düwündäki agentiň öçürilmegi, toruň kesilmegi, buferiň aşa köp bolmagy, "wagt çalyşmagy".
Kripto-barlaglar: zynjyrlary yzygiderli tassyklamak, Merkeliň köklerini we möhürlerini deňeşdirmek.
Forensika: derňew ssenarilerini end-to-end žurnallaryndan köpeltmek.

13) Ekspluatasiýa we amallar

Runbook "bütewiligi barlamak" (on-demand we meýilnama boýunça).
Legal hold we partiýalary wagtlaýyn "doňdurmagyň" tertibi.
Ynam zynjyryny saklamak bilen discovery we eksport prosedurasy.
Auditiň açarlaryny aýlamak we eglişige jogap bermek meýilnamasy (täze ynam şahasy, bloklaryň gaýtadan gol çekmegi, habarnamalar).

14) Kiçi reseptler

records = read_partition(ts_window)
leaves = [H(canonical_json(r)) for r in records]
root  = merkle_root(leaves)
sig   = KMS.sign(root          ts_now)
tsa   = TSA.timestamp(sig)
store_block({root, sig, tsa, count=len(leaves), window})
append_transparency_log(H(root          sig          tsa))

for i in 1..N:
assert rec[i].hash_prev == rec[i-1].hash_curr assert rec[i].hash_curr == H(canonical_json(rec[i]_no_hash)          rec[i].hash_prev          rec[i].seq)

• Control/Data plane P0: yssy 30 gün → yssy 6 aý → arhiw 7 ýyl (WORM).
• DevOps: yssy 14 gün → yssy 3 aý → arhiw 1 ýyl.
• Sekuriti-signallar: gyzgyn 90 gün (derňew üçin), soň 1-3 ýyl.

15) Ýygy-ýygydan ýalňyşlyklar

"Logi - shemasyz tekst". Shemasyz kesgitlenen bitewilik we gözleg ýok; kanoniki JSON we kesgitlenen meýdanlar hökmanydyr.
Hiç hili baglanyşyk ýok. 'trace _ id' ýoklugy derňewleri bozýar.
Ýerli wagt. Diňe UTC we süýşme gözegçiligi.
Üýtgedilýän jildlere ýazmak. WORM bolmasa, islendik üýtgemezlik toslama.
Okamaň. Duýgur maglumatlary okamak ýazgydan az bolmaly däldir.
Syr ýazgylarda. Iberilmezden ozal sanitizatorlary, patternleriň "gyzyl sanawlaryny" goşuň.
Hemme zat üçin bir açar. Gol we şifrlemek açarlary - aýratyn, roly we aýlawy bilen.

16) Laýyklyk we düzgünleşdirmek

Saklamak/üýtgemezlik möhletlerine bildirilýän talaplar domene (maliýe, töleg, telekom we ş.m.) baglydyr.
Subut edilmegi: WORM/retensiýa teswirnamalarynyň, zynjyrlaryň walidasiýa hasabatlarynyň, magazinesurnallara girmegiň magazinesurnallarynyň, legal hold we eksport amallarynyň bolmagy.

17) Çek-listler

Önümden öň

• Wakalaryň taksonomiýasy we shemasy (hökmany meýdanlar) tassyklandy.
• Sazlanan agentler, buferler, goralýan ulag, back-pressure.
• Goşulýar: hashes zynjyrlary, blok goly, wagt möhüri, transparency-log.
• WORM/retensiýa ammary; täzeden ýazyp/aýyryp bolmaýandygyny barlamak.
• Duýgur meýdanlary gizlemek/bellemek.
• Wagt sinhronizasiýasy we süýşme gözegçiligi.
• KMS/HSM-de aýlaw meýilnamasy we audit açarlaryny saklamak.

Ulanyş

• Zynjyrlaryň we bloklaryň hepdelik tassyklamasy (hasabat).
• Zynjyryň ýarylmagy/goluň ýalňyşlygy/wagtyň üýtgemegi üçin aladalar.
• Çalyşmak/aýyrmak üçin wagtal-wagtal Red-team synaglary.
• Retensiýalary we çykdajylary yzygiderli gözden geçirmek.

18) FAQ

S: BD derejesinde diňe "goşmak" ýeterlikmi?
A: Ýok. Kriptografiki kepillikler (hashes zynjyrlary, bloklaryň gollary, wagt möhürleri) we WORM syýasaty zerurdyr.

S: Maglumatlary aýyrmak hukugy barada näme aýdyp bilersiňiz?
A: Daşaýjynyň üýtgemezligini we magazinesurnallaryň subut edilip bilinjekdigini saklamak bilen, meýdanlar/partiýalar üçin kripto-silmek (açarlary aýyrmak) taslamasyny düzüň.

C: Bloklara gol çekmek üçin aýratyn açar gerekmi?
A: Hawa. Bloklaryň gol açarlaryny saklamak üçin şifrlemek açarlaryndan aýyryň; KMS/HSM-de aýlanyş we audit bilen saklaň.

S: Köpçülige "labyrlamak" mümkinmi?
O: Goşmaça. Bu barlanylyşy güýçlendirýär we konturyň içinde "taryhyň täzeden ýazylmagyny" keser.

• "At Rest şifrlemek"
• "In Transit Şifrlemek"
• "Syr dolandyryşy"
• "Açarlary dolandyrmak we rotasiýa"
• "Haýyşlara gol çekmek we barlamak"