Audit-Protokolle

An den meisten modernen Softwareentwicklungsprojekten sind mehrere Entwickler, Operations Engineers, QA-Tester und Manager beteiligt – und alle benötigen Zugriff auf die Projektinfrastruktur. Schreibrechte an der Infrastruktur führen jedoch zu einem höheren Risiko von Sicherheitsverletzungen und Rechtsstreitigkeiten. Daher verlassen sich Unternehmen auf Audit-Protokolle, um mögliche Sicherheitsbedenken auszuräumen, indem sie präzise Aktionen und Änderungen an ihrer Infrastruktur aufzeichnen.

In diesem Artikel definieren wir Audit-Protokolle und untersuchen ihre Anwendungsfälle in der Infrastruktur. Dabei befassen wir uns speziell mit der Cloud- und Datenbankaktivität. Wir berücksichtigen auch die Einhaltung gesetzlicher Vorschriften sowie allgemeine Herausforderungen im Zusammenhang mit Datenmengen, Protokollaufbewahrungsfristen und Korrelationen zwischen verschiedenen Systemen, die eine sorgfältige Bewertung erfordern.

Was sind Audit-Protokolle?

Audit-Protokolle sind eine Sammlung von Aufzeichnungen interner Aktivitäten im Zusammenhang mit einem Informationssystem. Um einen Nutzen zu bieten, müssen diese Aufzeichnungen die folgenden Informationen enthalten:

• Welche Komponente war von einer Aktion betroffen?
• Wer hat diese Aktion durchgeführt?
• Wann wurde diese Aktion durchgeführt?
• Was für eine Aktion wurde durchgeführt?

Audit-Protokolle unterscheiden sich von Anwendungsprotokollen und Systemprotokollen. Anwendungsprotokolle zeichnen Aktivitäten auf, die von externen Benutzern ausgeführt werden, und Systemprotokolle zeichnen Aktivitäten auf, die von Software wie Betriebssystemen ausgeführt werden. Audit-Protokolle hingegen befassen sich ausschließlich mit Aktivitäten, die von internen Benutzern und Diensten innerhalb der Systeminfrastruktur durchgeführt werden.

Unveränderlichkeit ist ein wichtiger Aspekt von Audit-Protokollen. Keine Person sollte die Möglichkeit haben, Audit-Protokolldatensätze zu ändern, da dies die Integrität der Protokolle beeinträchtigen und sie unbrauchbar machen würde.

Anwendungsszenarien

Audit-Protokolle sind nicht nur praktisch und nützlich, sondern erfüllen auch einen wichtigen Zweck für die Sicherheit und Compliance, insbesondere in Bezug auf Cloud-Infrastrukturen und Datenbanken.

Verfolgen von Änderungen an der Cloud-Infrastruktur

Cloudnative Projekte umfassen häufig zahlreiche Cloud-Dienste. Die Attraktivität der Public Cloud hängt von ihrer Infrastrukturanpassungsfähigkeit ab, was bedeutet, dass Umfang und Konfigurationen dieser Cloud-Dienste sehr dynamisch sind. Aus diesem Grund benötigen Unternehmen, die Cloud-Anbieter zur Bereitstellung und Verwaltung ihrer Software nutzen, die Möglichkeit, jede in ihrer Infrastruktur vorgenommene Änderung zu verfolgen, egal wie unbedeutend sie auch erscheinen mag. Darüber hinaus müssen böswillige Aktivitäten in der Cloud-Infrastruktur erkennbar sein, um den genauen Täter, Zeitpunkt und die Art der böswilligen Aktionen zu ermitteln.

Viele Cloud-Anbieter bieten integrierte Audit-Protokollierungsdienste an, Ein Beispiel:

• CloudTrail für AWS
• Cloud Audit Logs für GCP
• Azure Monitor für Microsoft Azure

Verfolgung der Datenbankverwaltung und Systemaktivität

Die Backend-Infrastruktur ist auf Datenbanken angewiesen. Obwohl Entwickler in der Cloud bereitgestellte Datenbanken möglicherweise als Teil der Cloud-Infrastruktur betrachten, konzentrieren sich Datenbank-Audit-Protokolle stärker auf Aktionen, die auf dem Datenbanksystem ausgeführt werden. Beispielsweise melden Datenbank-Audit-Protokolle, wann Clients Verbindungen herstellen und trennen, sowie die Gründe für diese Aktionen. Diese Informationen sind wichtig, um einen möglichen Missbrauch und eine Verfälschung von Daten festzustellen.

Über Audit-Protokolle lässt sich außerdem nachverfolgen, wer Änderungen an einem Datenbankschema vornimmt, sowie Änderungen an Schemakomponenten, die sich auf Format, Datenstruktur und Datensatzaktualisierungen auswirken. Einige Datenbanken sind schemalos, sodass Überwachungsprotokolle in diesen Fällen möglicherweise weniger wichtig sind. Für relationale Datenbanken sind Audit-Protokolle jedoch von entscheidender Bedeutung.

Die am häufigsten verwendeten Datenbanksysteme bieten Plugins und Erweiterungen zur Audit-Protokollierung, Ein Beispiel:

• PgAudit für PostgreSQL
• Audit Logging für MySQL
• Auditing für MongoDB

Compliance und Rechtsverteidigung

In bestimmten Branchen ist die Audit-Protokollierungsebene streng geregelt. Fintech- oder Medtech-Unternehmen müssen z. B. umfassende Audit-Protokolle implementieren und regelmäßig Protokollanalysen durchführen, um zu bestätigen, dass über einen bestimmten Zeitraum keine böswilligen Aktivitäten stattgefunden haben. Zusätzlich zu den Branchenvorgaben schreiben auch bestimmte Zertifizierungen strenge Prüfprotokollierungsanforderungen vor, Ein Beispiel:

• HIPAA-Konformitätszertifizierung für Organisationen im Gesundheitswesen
• ISO 27001-Zertifizierung für Unternehmen der IT-Branche

Einige Unternehmen müssen ihren Partnern und Kunden Zertifizierungen zur Einhaltung der Informationssicherheit vorlegen. Audit-Protokolle weisen also nach, dass die Regulierungs- und Zertifizierungsanforderungen erfüllt wurden.

Audit-Protokolle sind auch bei der Klärung von Rechtsstreitigkeiten hilfreich. Es kommt häufiger als erwartet zu Streitigkeit, insbesondere in sensiblen Branchen wie dem Finanzwesen und der Medizin. Audit-Protokolle unterstützen Unternehmen dahingehend, indem sie als entscheidende Beweise dienen.

Die Herausforderungen der Audit-Protokollierung

Obwohl Audit-Protokolle eine entscheidende Rolle für die Sicherheit und Compliance spielen, kann ihre Implementierung komplex sein. Betrachten wir einige potenzielle Probleme im Zusammenhang mit der Speicherung von Audit-Protokollen.

Datenvolumen

Softwareprojekte sind oft komplexe Systeme, die aus dynamischen Komponenten bestehen. Die schiere Menge an Audit-Protokolldaten kann enorm sein, und ihre Speicherung ist sehr kostspielig. Aus diesem Grund müssen Unternehmen sorgfältig abwägen, welche Protokolle basierend auf Compliance-Anforderungen, Sicherheitslage und Gesamtsystemfunktionalität am dringendsten gespeichert werden müssen.

Aufbewahrungszeitraum für Protokolle

Einige Vorschriften und Zertifizierungen schreiben Audit-Protokolle nicht nur ausdrücklich vor, sondern Unternehmen müssen diese Protokolle auch über einen längeren Zeitraum aufbewahren, um Compliance-Anforderungen zu erfüllen. Eine Voraussetzung für die HIPAA-Compliance-Zertifizierung besteht beispielsweise darin, dass ein Unternehmen seine Audit-Protokolle sechs Jahre lang aufbewahren muss. Für die ISO 27001-Zertifizierung müssen Unternehmen ihre Audit-Protokolle mindestens drei Jahre lang aufbewahren.

Das Aufbewahren von Protokollen über einen längeren Zeitraum hinweg verursacht Kosten und erfordert außerdem Ressourcen für die Pflege und Verwaltung.

Korrelieren von Audit-Protokollen über verschiedene Systeme hinweg

Das Korrelieren, Vergleichen und Analysieren von Audit-Protokollen verschiedener Cloud- und Datenbankanbieter für unterschiedliche Protokollformate und Protokolle kann mühsam sein. Um der großen Protokollmengen Herr zu werden, müssen Unterschiede ausgemerzt werden, was viel Zeit und Mühe erfordert. Darüber hinaus kommt es häufig zu Unstimmigkeiten auf der Detailebene, was Compliance-Komplikationen nach sich ziehen kann.

Entdecken Sie die weltweit führende KI-native Plattform für SIEM und Protokollmanagement der nächsten Generation

Stärken Sie Ihre Cybersicherheit mit der CrowdStrike Falcon^®-Plattform, der führenden KI-nativen Plattform für SIEM und Protokollmanagement. Sie erleben Sicherheitsprotokollierung im Petabyte-Bereich und haben die Wahl zwischen cloudnativer oder selbst gehosteter Bereitstellung. Protokollieren Sie Ihre Daten mit einer leistungsstarken, indexfreien Architektur ohne Engpässe – so sind Bedrohungssuchen mit einer Datenerfassung von über 1 PB pro Tag möglich. Dank Echtzeitsuchfunktionen sind Sie Angreifern einen Schritt voraus und erzielen bei komplexen Abfragen Latenzen von unter einer Sekunde. Sie profitieren von umfassender Transparenz, können Daten konsolidieren, um Silos aufzubrechen, und ermöglichen Ihren Sicherheits-, IT- und DevOps-Teams, Bedrohungen zu erkennen, die Leistung zu überwachen und nahtlose Compliance zu gewährleisten – bei drei Milliarden Ereignissen in weniger als einer Sekunde.