Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Convalida dell'integrità dei file di CloudTrail registro
Per determinare se un file di registro è stato modificato, eliminato o immutato dopo la CloudTrail consegna, è possibile utilizzare la convalida dell'integrità del file di CloudTrail registro. Questa funzionalità è creata utilizzando algoritmi standard del settore: SHA -256 per l'hashing e SHA -256 per la firma digitale. RSA Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail È possibile utilizzare il AWS CLI per convalidare i file nella posizione in cui sono stati consegnati. CloudTrail
Perché usare questa funzionalità?
I file di log convalidati sono preziosi nelle indagini giudiziarie e sulla sicurezza. Ad esempio, un file di registro convalidato consente di affermare con certezza che il file di registro stesso non è cambiato o che determinate credenziali utente hanno svolto attività specifiche. API Il processo di convalida dell'integrità dei file di CloudTrail registro consente inoltre di sapere se un file di registro è stato eliminato o modificato o di affermare con certezza che nessun file di registro è stato inviato all'account durante un determinato periodo di tempo.
Come funziona
Quando abiliti la convalida dell'integrità dei file di registro, CloudTrail crea un hash per ogni file di registro fornito. Ogni ora, CloudTrail inoltre, crea e consegna un file che fa riferimento ai file di registro dell'ultima ora e contiene un hash di ciascuno di essi. Questo file è chiamato file digest. CloudTrail firma ogni file digest utilizzando la chiave privata di una coppia di chiavi pubblica e privata. Dopo la consegna, è possibile utilizzare la chiave pubblica per convalidare il file digest. CloudTrail utilizza coppie di chiavi diverse per ciascuna. Regione AWS
I file digest vengono inviati allo stesso bucket Amazon S3 associato al percorso dei file di log. CloudTrail Se i tuoi file di log vengono distribuiti da tutte le regioni o da più account in un unico bucket Amazon S3, CloudTrail distribuirà i file digest di tali regioni e account nello stesso bucket.
I file digest vengono inseriti in una cartella distinta rispetto a quella dei file di log. Questa separazione tra file digest e file di log ti consente di applicare policy di sicurezza granulare e di garantire il corretto funzionamento senza modifiche delle soluzioni di elaborazione dei log esistenti. Ogni file digest contiene anche la firma digitale dei file di digest precedente, se esistente. La firma del file digest corrente è memorizzata nelle proprietà metadati dell'oggetto file digest Amazon S3. Per ulteriori informazioni sul contenuto dei file digest, consulta CloudTrail struttura del file digest.
Storage dei file di log e file digest
Puoi archiviare i file di CloudTrail log e i file digest in Amazon S3 o S3 Glacier in modo sicuro, duraturo ed economico per un periodo di tempo indefinito. Per migliorare la sicurezza dei file digest archiviati in Amazon S3, puoi utilizzare Amazon S3 Delete. MFA
Abilitazione della convalida e convalida dei file
Per abilitare la convalida dell'integrità dei file di log, puoi utilizzare il, the AWS Management Console, o. AWS CLI CloudTrail API L'abilitazione della convalida dell'integrità dei file di log consente di CloudTrail inviare file di log digest al bucket Amazon S3, ma non convalida l'integrità dei file. Per ulteriori informazioni, consulta Abilitazione della convalida dell'integrità dei file di registro per CloudTrail.
Per convalidare l'integrità dei file di CloudTrail log, puoi utilizzare o creare una soluzione personalizzata. AWS CLI AWS CLI Convaliderà i file nella posizione in cui sono CloudTrail stati consegnati. Se desideri convalidare i log che sono stati spostati in un percorso diverso, in Amazon S3 o in un'altra posizione, puoi creare strumenti di convalida personalizzati.
Per informazioni sulla convalida dei log utilizzando il AWS CLI, vedere. Convalida dell'integrità dei file di CloudTrail registro con AWS CLI Per informazioni sullo sviluppo di implementazioni personalizzate per la convalida dei file di CloudTrail registro, vedere. Implementazioni personalizzate della convalida dell'integrità dei file di CloudTrail registro