У нас есть сотни рабочих станций, десятки серверов, отправляющих логи на syslog сервер или сервер сборщика событий Windows, независимо от того, поступают ли они с компьютеров Linux или Windows. На этом этапе целостность и конфиденциальность журналов регулируются правилами доступа и отправляются на серверы журналов через https и TCP. Аутентификация журналов отправки активов не выполняется, но инвентаризация активов проводится в соответствии со строгой политикой того, что у нас есть внутри информационной системы.
Поскольку у нас есть PKI, Я хотел бы использовать его для обеспечения следующего уровня журналов. Обеспечение безопасности при транспортировке - это нормально, но мне неудобно защищать хранилище журналов перед архивированием, поскольку файлы журналов растут. Это означало бы:
Lock the log file before a new entry is added
Check integrity by comparing the crypto signature
Add the entry
Compute the new signature
Unlock the file
Я могу подписать файлы журнала при архивировании, но как насчет текущих файлов журнала (приведенный выше псевдокод выглядит сложным для реализации, если какой-либо инструмент уже не покрывает его)?
Я расширяю вопрос до следующего: каковы наилучшие методы обеспечения целостности журналов и их подлинности?
По крайней мере, для системных журналов Linux с помощью rsyslogd можно защитить передачу журналов с помощью TLS.
https://www.rsyslog.com/doc/v8-stable/tutorials/tls_cert_summary.html
Также fluentd, filebeat, logstash и все другие основные поставщики журналов поддерживают передачу с шифрованием TLS.
Я предполагаю, что аналогичный метод доступен для журналов событий Windows.