跳转到: 导航, 搜索

Ceilometer/blueprints/支持标准审计格式

支持以标准化格式审计事件

从一开始,Ceilometer 的目标就是

”to become the infrastructure to collect measurements within OpenStack” with its “primary targets [being] are monitoring and metering”.  However it was noted that its framework “should be easily expandable to collect for other needs. To that effect, Ceilometer should be able to share collected data with a variety of consumers”.

核心项目开发者显然欣赏 Ceilometer 在拥有可靠的核心集中化服务方面的优势,该服务能够跟踪使用信息以进行统计使用分析和计费。 似乎许多相同的项目正在看到类似的“审计”需求,但现在侧重于跟踪对服务的访问(由用户和其他服务),以进行安全审计。 利用 Ceilometer 的设计来支持不同类型的事件审计标准(以及为不同的目的和事件视图),似乎是一个明智的选择。

提案背景

在审计和合规性领域,正在开发用于“云审计”的标准,旨在与国际和行业要求保持一致,同时解决“云”独特的部署和服务模型。 这些标准认识到在所有类型的云部署中审计工作负载的挑战,同时提供满足监管合规性要求(例如 PCI-DSS、SoX、ISO 27017 等)以及证明符合本地化客户安全策略的数据。 其中一项标准是分布式管理任务组 (DMTF) 的“云审计”标准,该标准提供了一种标准化的格式(JSON)和 RESTful 查询语法。

DMTF 云审计标准资源

最新的 1.0b 规范(发布于 2013 年 6 月 18 日):http://dmtf.org/sites/default/files/standards/documents/DSP0262_1.0.0b.pdf

这个新版本增加了一些重要的内容,包括“控制”事件类型,解释了如何表达操作的复杂“目标”,添加“标签”以进行跨域引用的能力,最重要的是 RESTful 查询 API 和语法。

该规范旨在解决广泛的审计用例,如这里发布:http://www.dmtf.org/sites/default/files/standards/documents/DSP2028_1.0.0a.pdf

提案

本提案旨在利用 Ceilometer 中已有的设计(代理/计量器等)和日志记录设施,并允许用户配置额外的计量器,以便以一种或多种(标准)格式生成事件数据。 配置还可能提供日志创建的位置,针对每种计量器类型(例如,DMTF 格式位于 …/audit/dmtf/xxx)。

我们希望添加对使用 DMTF 格式进行 API 访问审计的支持,作为参考实现,因为它为合规性圈内已知任何合规性制度所需的关键“审计问题”(“7 个 W”)提供了规范性数据,并为资源分类、事件关联(跨事务和服务层)以及与其他日志联合/合并(例如,使用 UUID、标准化时间戳)提供了指导。 该格式还支持可选地提供地理位置信息(符合 ISO 27017 标准)和与正在开发的 NIST 云模型/标准对齐的度量/测量信息。

以下是代表性 DMTF 格式映射的示例,以显示它提供与 Ceilometer 今天类似的数据,但也要知道它为许多上述目标监管标准提供了扩展字段/结构化数据。

Sample mapping of Ceilometer event data to DMTF CADF format

对于审计安全和访问控制(例如,对于 API 调用),CADF 格式可能不包含任何测量值(可选),但将包含所有审计所需的信息(即,参见下表中列出的 7 个“W”),例如有关帐户(用户)的信息。 参考/使用 DMTF 标准格式,该格式专为所有类型的云审计而设计,带来了其他前瞻性优势。 例如,如果 OpenStack 服务扩展到区域边界,可以使用 CADF 标准可选地跟踪地理位置和其他详细资源信息。 请注意,这只是该标准未来可能提供的示例好处。

CADF 模型旨在回答所有审计和合规性问题

CADF 标准如何表达审计和合规性的 7 个“W”

Description of the 7 "Ws" of audit and how CADF format supports them

目前,有两种已建立的方法可以自动将数据发送到 Ceilometer(即中央代理或“拉取”路径和通知或“推送”路径),如下所示。

Options for getting data into Ceilometer collector

本蓝图建议利用 Ceilometer 现有的设计来建立一个可配置的审计过滤器/通知路径,该路径通向 Ceilometer 收集器,它将使用 CADF 格式(最初包含在有效负载中)。 以下图表显示了需要基于 CADF 的通用审计过滤器派生过滤器的每个组件,该过滤器由审计通知器验证,该通知器将使用现有的通用通知方法并注册一个新的“audit.api”事件类型,该类型将由匹配的事件过滤器处理。

High-level design for a configurable API audit path for Ceilometer

此蓝图的 PDF 版本链接:File:Support-standard-audit-formats-blueprint.pdf

示例(WIP)代码链接:https://review.openstack.org/#/c/30124/

从 "https://wiki.openstack.org/w/index.php?title=Ceilometer/blueprints/support-standard-audit-formats&oldid=26133" 检索