Ein Plädoyer für das Protokoll
Vorteile eines Log-Managements
Experten sehen ein Log- und Protokoll-Management als dringlichste Herausforderung zur Absicherung von IT-Strukturen. Hilfreich ist zum Beispiel ein Sicherheitskonzept, das sich über zehn Etappen streckt. Als Veranschaulichung kann die Industrie-4.0-Themenwelt dienen. Aber auch das Datacenter profitiert.
Sichere Identitäten gelten als wesentlicher Ausgangspunkt für Sicherheitsketten, die Datenerhebung, Datentransport und Datenverarbeitung auf Hardware-, Software- und Prozessebene absichern. Damit bilden sie die Voraussetzung für viele weitere Schutzmaßnahmen, die Unternehmen in puncto Datensicherheit ergreifen sollten, um sich compliant und wettbewerbsfähig aufzustellen. Denn klar ist: Sobald es einem Angreifer gelingt, sich unberechtigt einer Identität zu bemächtigen, laufen alle darauf aufbauenden Maßnahmen wie zum Beispiel der Zugriffsschutz ins Leere. So bietet die Gewährleistung sicherer Identitäten über automatisierte Kommunikation ein solides Startglied in einer vernünftigen Vertrauenskette.
Mit der Einführung eines Sicherheitsprozesses leiten IT-Verantwortliche die notwendigen organisatorischen Veränderungen ein, definieren eine Strategie und nutzen Hilfsmittel zur Erreichung der Sicherheitsziele. Aufgrund der übergeordneten Bedeutung des Sicherheitsprozesses lohnt es sich, diesen im nachfolgenden Abschnitt detaillierter zu betrachten.
Log-Management ist ein wesentlicher Bestandteil des Management-Systems für Informationssicherheit (englisch kurz ISMS) und eine der dringlichsten Aufgaben bei der sicheren Ausgestaltung von ITK-Systemen. Dabei genießt die Sicherstellung der Authentizität des jeweiligen Nutzers oberste Priorität. Pharmazie, Lebensmittelbranche und chemische Industrie achten seit jeher darauf. Organisationen wie die Food and Drug Administration (FDA) in den USA und die europäische Verordnung REACH (Registration, Evaluation, Authorisation and Restriction of Chemicals) aus dem Jahr 2007 haben in diesen Branchen zu einer erheblichen Regulierung geführt, die wiederum eine Nachvollziehbarkeit der Frage "Wer hat wann wie mit welcher Charge der Substanz an welchem Produktionsschritt mitgearbeitet?" impliziert. Folglich ist die persönliche Anmeldung eines Mitarbeiters an einer Anlage der chemischen Industrie durchaus üblich, während andere Industrien diese Ansätze bisher nicht verfolgten. Mögliche Gründe sind Vorbehalte gegenüber vermuteter Arbeitnehmerüberwachung oder technische Probleme.
Log-Management
Fakt ist, dass die Nachvollziehbarkeit von Handlungen und eine persönliche Zuordenbarkeit nur durch die Nutzung persönlicher Nutzerkonten an den Anlagen und Maschinen sowie den Bedienrechnern erreicht werden können. Dies erfordert wiederum die Verwaltung einer weitaus größeren Zahl an Konten, die bisher eher nur zwischen Einrichter, Instandhalter und Nutzer unterschieden haben. Diese Personalisierung der Benutzerkonten führt wiederum zum Bedarf, diese auch auf einer Vielzahl von Anlagen und Maschinen parallel und effizient zu verwalten. Zumindest sollte eine persönliche Zuordenbarkeit auf Ebene der Fachanwendung möglich sein, wenn der Zugang zu den Betriebssystemen aus technischen Gründen nicht personalisiert werden kann oder soll.
Letztlich ist nicht auszuschließen, dass es zu Unregelmäßigkeiten oder offensichtlich missbräuchlicher Nutzung von Anlagen und Applikationen kommen kann. Dann müssen Administratoren detailliert nachverfolgen können, wer wann wo zugegriffen und wer wann wo welche Änderungen vorgenommen hat. Dies setzt jedoch voraus, dass die Anwendung entsprechend detaillierte Log-Meldungen erzeugt, diese speichert und sie auch über längere Zeitfenster möglichst unveränderbar zentral vorhält.
Im Sinn einer in der IT üblichen Log-Zentralisierung erweisen sich Funktionen zur direkten, zugriffgeschützten Speicherung der Logs auf einem zumindest logisch abgesetzten Log-Management-Server als sinnvoll. Idealerweise beachten Entscheider hier Standardformate, wie sie etwa durch Syslog, Log Event Extended Format (LEEF) [1], Common Event Format (CEF) [2], DMTF Common Information Model (CIM) [3] oder Cloud Auditing Data Federation (CADF) [4] vorgegeben sind. Dies erleichtert die zentrale Auswertung und Korrelation von Meldungen und ermöglicht die Definition zentraler Schwellenwerte (Thresholds).
Dazu gehört auch die Alarmierung der IT-Sicherheit, falls mit einem Benutzerkonto mehrfach innerhalb kurzer Zeit an diversen Geräten erfolglose Zugriffsversuche unternommen werden. Diese Benachrichtigung erfolgt am besten vornehmlich über die Nutzung von sogenannten Security-Information-and-Event-Management-Lösungen (SIEM). In diesem Zusammenhang sollten Entscheider eine skalierbare Lösung wählen, da zum einen wirklich umfangreiche Datensammlungen entstehen können und Angreifer zum anderen mit DDoS-Attacken bewusst die Grenzen solcher Systeme ausloten, um unprotokollierten Schabernack zu treiben.
Die Notwendigkeit von Log-Management ergibt sich aus dem Dreiklang aus gesetzlichen Auflagen, notwendiger Analyse von Sicherheitsvorfällen und kontinuierlichen Analyseprozessen wie bei der Hardware- und Software-Entwicklung. Dabei folgt effizientes Log-Management stets dem Prozess "Annahme -> Verarbeitung -> Auswertung -> Visualisierung".
Jeder am Log-Management Beteiligte sollte verstehen, dass sich hinter dem Begriff ein Prozess und kein Produkt verbirgt. Dementsprechend liegt im Wissens-Management - im internen Aufbau von Logging-Know-how - der wahre Nutzen. Dazu gehören zwangsläufig das Schaffen von Strukturen, die Definition aller personenbezogenen Daten im Betrieb, eine sinnhafte Archivierung der Protokolle sowie eine übergreifende Konzernbetriebsvereinbarung (KBV).
Vom Log- zum Protokoll-Management
In den letzten zehn Jahren hat die Weiterentwicklung verteilter Systeme neue Komplexitäten in der Verwaltung von Protokolldaten geschaffen. Heutige Systeme können Tausende von Server-Instanzen oder Micro-Service-Container enthalten, die jeweils ihre eigenen Protokolldaten erzeugen. Mit der raschen Entstehung und Dominanz von Cloud-basierenden Systemen erlebt die Branche ein explosionsartiges Wachstum maschinell generierter Protokolldaten. Infolgedessen ist das Protokoll-Management zu einem Grundpfeiler des modernen IT-Betriebs geworden und unterstützt eine Reihe von Anwendungsfällen wie Debugging, Produktionsüberwachung, Leistungsüberwachung, Support und Fehlerbehebung. In der Praxis kann es dabei durchaus vorkommen, dass Unternehmen bis zu einem halben PByte Daten verarbeiten müssen.
Während verteilte Systeme eine hohe Effizienz in Bezug auf die Skalierbarkeit bieten, stellen sie Teams, die sich auf Protokolldaten beziehen, vor Herausforderungen: Wo sollen sie anfangen, und welchen Aufwand müssen sie betreiben, um die benötigten Protokolldateien zu finden? IT-Administratoren, DevOps-Profis und Mitarbeiter, die den protokollerstellenden Systemen am nächsten stehen, haben die Aufgabe, dezentrale Protokolldateien unter Einhaltung von Sicherheits- und Compliance-Protokollen zu verwalten.
Entwickler und Ingenieure, die Probleme auf Anwendungsebene beheben müssen, könnten sich durch den Zugriff auf Protokolldateien auf Produktionsniveau eingeschränkt fühlen. Betriebs-, Entwicklungs-, Datenwissenschaftler- und Support-Teams, die Einblicke in das Benutzerverhalten für Trendanalysen und Fehlerbehebungen benötigen, fehlt oft das technische Fachwissen, das erforderlich ist, um Protokolldaten effizient zu nutzen. Angesichts dieser Herausforderungen ist es wichtig, bei der Implementierung einer Protokollierungslösung für Unternehmen Best Practices unbedingt zu berücksichtigen.
1. Festlegung der Strategie
Kein Mitarbeiter sollte sich blind einloggen. Vor jedem Log-Vorgang muss vielmehr die sorgfältige Überlegung stehen, was der Anwender protokollieren möchte und warum. Die Protokollierung muss, wie jede wichtige IT-Komponente, eine Strategie verfolgen. Schon bei der Strukturierung des DevOps-Setups und selbst bei der Veröffentlichung jeder neuen Funktion achten IT-Leiter oder IT-Administratoren im Idealfall darauf, dass sie einen organisierten Protokollierungsplan beifügen.
Ohne eine klar definierte Strategie kann die Menge permanent anwachsender Protokolldaten ausschließlich manuell verwaltet werden, was letztendlich den Prozess der Identifizierung wichtiger Informationen erschwert. Dieser Plan sollte auch Hinweise enthalten, ob personenbezogene Daten, Archivierungsanforderungen oder Ähnliches involviert sind. Ein Tipp am Rande: Wenn eine IP angegeben ist, geht die Rechtsprechung eigentlich fast immer davon aus, dass die EU-DSGVO im Spiel ist.
Bei der Entwicklung einer Logging-Strategie sollten Verantwortliche definieren, was aus Unternehmenssicht am wichtigsten ist und welchen Wert sie von den Logs erwarten. Ein guter Plan enthält Protokollierungsmethoden und -werkzeuge, Daten-Hosting-Standorte und vor allem eine Vorstellung von den spezifischen Informationen, nach denen Mitarbeiter suchen.
2. Strukturierung der Log-Daten
Parallel zur Entwicklung einer Protokollierungsstrategie ist es wichtig, das Format der Protokolle zu berücksichtigen. Wer effektive Protokollierungsformate nicht versteht, kann aus den hinterlegten Informationen keine Erkenntnisse gewinnen. LogStrukturen sollten klar und verständlich sein, sowohl aus der Sicht des Menschen als auch aus der Sicht der Maschine. Lesbare Protokolle machen potenzielle Fehlerbehebungen einfacher. Die Simplifizierung ermöglicht es zudem, dass Protokollverwaltungsdienste die Informationen weiterverarbeiten. Bessere Analysemöglichkeiten und Optionen zu Datenvisualisierungen sind die positiven Folgen.
Zwei gängige Protokollstrukturierungsformate sind JSON und KVP (Key Value Pair). Beide liefern kohärente Protokolldaten für das menschliche Verständnis und ermöglichen es Protokollierungs-Softwarelösungen, Informationen aus einem semistrukturierten Format zu extrahieren.
3. Protokolldaten separieren und zentralisieren
Protokolle sollten stets automatisch gesammelt und an einen zentralen Ort geschickt werden - getrennt von ihrer Produktionsumgebung. Die Konsolidierung von Protokolldaten erleichtert die organisierte Verwaltung und erweitert die Analysefunktionen, sodass Verantwortliche Cross-Analysen effizient durchführen und Korrelationen zwischen verschiedenen Datenquellen identifizieren können. Die Zentralisierung von Protokolldaten reduziert auch das Risiko des Datenverlusts in einer Umgebung mit automatischer Skalierung.
Eine Weiterleitung von Protokolldaten an einen zentralen Ort ermöglicht es Systemadministratoren, Entwicklern, QS- und Support-Teams, Zugriff auf die Daten zu gewähren, ohne Zugang zu Produktionsumgebungen bereitzustellen.
Dadurch können diese Teams Protokolldaten verwenden, um Probleme zu beheben, ohne das komplette Projekt zu gefährden. Die Replikation und Isolierung von Protokolldaten minimiert auch das Risiko, dass Angreifer Protokolldaten löschen, um Sicherheitsverletzungen zu verbergen.
Selbst wenn das System gefährdet ist, bleiben die Protokolle intakt.
4. Anwendung von End-to-End-Protokollierung
Um häufig auftretende Komplexitäten bei der Fehlerbehebung zu überwinden und eine ganzheitliche Sicht auf Anwendungen und Systeme zu erhalten, sollten Systemadministratoren tatsächlich alle Systemkomponenten überwachen und protokollieren. IT-Mitarbeiter sollten daran denken, auch Informationen aus Server-Protokollen wie zum Beispiel Windows-Sicherheitsprotokollen zu protokollieren. Ebenso wichtig ist jedoch die Protokollierung aller relevanten Metriken und Ereignisse aus der zugrunde liegenden Infrastruktur, den Anwendungsschichten und den Endbenutzer-Clients.
Die End-to-End-Protokollierung ermöglicht es, die Leistung der Systeme aus Sicht des Endnutzers zu verstehen. Dies gelingt, wenn Systemadministratoren Faktoren wie Netzlatenz, Seitenladezeiten und Verzögerungen bei Datenbanktransaktionen berücksichtigen. Die dadurch erzeugte Transparenz gewährleistet eine nahtlose Benutzerführung.
5. Datenquellen verknüpfen
Die End-to-End-Protokollierung an einem zentralen Ort ermöglicht es Verantwortlichen, Datenströme aus diversen Quellen wie Anwendungen, Servern, Middleware, Benutzern und Content Delivery Networks (CDNs) dynamisch zu aggregieren, um die wichtigsten Trends und Kennzahlen in Beziehung zueinander zu setzen. Die Korrelation von Daten unterstützt dabei, Ereignisse, die Systemstörungen verursachen, schnell und sicher zu identifizieren und zu verstehen. So kann beispielsweise das Aufdecken von Echtzeit-Korrelationen zwischen der Nutzung von Infrastrukturressourcen und Anwendungsfehlerraten helfen, Anomalien zu identifizieren und zu reagieren, bevor Endnutzer betroffen sind.
6. Eindeutige Identifikatoren verwenden
Eindeutige Identifikatoren nützen im Debugging, Support und bei Analysen. Sie erlauben es, komplette Benutzersitzungen und Aktionen einzelner Benutzer genau zu verfolgen. Wenn IT-Mitarbeiter die eindeutige ID eines Benutzers kennen, können sie die Suche nach allen Aktionen filtern, die dieser Benutzer in einem bestimmten Zeitraum durchgeführt hat. Bei einer Aufschlüsselung seiner Aktivität lässt sich bei Bedarf eine gesamte Transaktion vom ersten Klick bis zur ausgeführten Datenbankabfrage verfolgen.
7. Kontext hinzufügen
Sobald Protokolle als Daten dienen, ist es wichtig, den Kontext jedes Datenpunkts zu berücksichtigen. Zu wissen, dass ein Werker auf eine Schaltfläche geklickt hat, ist möglicherweise nicht so nützlich, wie zu wissen, dass er beispielsweise gezielt auf die Schaltfläche "Verbrauchsmaterial bestellen" geklickt hat. Das Hinzufügen eines weiteren Kontexts kann die Art der Aktion offenbaren. So kann bei einer Maschine nach Überschreiten eines Schwellenwerts automatisch ein Techniker angefordert werden, wenn die Protokolldaten Verschleiß der Maschine offenbaren. Wenn der Klick des Mitarbeiters zu einem Fehler geführt hat, erleichtert der verfügbare Kontext eine schnellere Lösung.
8. Echtzeit-Überwachung durchführen
Service-Unterbrechungen haben im Endkundengeschäft eine Vielzahl unglücklicher Folgen - darunter unzufriedene Kunden, verlorene Käufe und fehlende Daten. Wenn in der Industrie Probleme auf Produktionsniveau auftreten, kann eine Echtzeit-Überwachungslösung entscheidend sein, da oft jede Sekunde zählt. Neben einfachen Benachrichtigungen entscheidet die Fähigkeit, Probleme zu untersuchen und wichtige Informationen in Echtzeit zu identifizieren. Eine "Live Tail"-Sicht auf ihre Protokolldaten kann Entwickler und Administratoren befähigen, Protokollereignisse nahezu in Echtzeit zu analysieren, wenn Benutzer mit ihren Anwendungen oder Systemen interagieren. Die Live-Tail-Suche und -Berichterstattung ermöglicht es zudem den Support-Teams, Kundenprobleme zu untersuchen und zu lösen, sobald sie auftreten.
9. Verwenden von Protokollen, um wichtige Trends zu identifizieren
Fehlerbehebung und Debugging kratzen nur an der Oberfläche der Protokolldaten. Während Protokolle früher als schmerzhafte letzte Möglichkeit galten, Informationen zu finden, können die heutigen Protokollierungsdienste jeden - vom Entwickler bis zum Datenwissenschaftler - befähigen, nützliche Trends und wichtige Erkenntnisse aus ihren Anwendungen und Systemen zu identifizieren.
Die Behandlung von Protokollereignissen als Daten schafft die Möglichkeit, statistische Analysen zukünftig auch mit künstlicher Intelligenz (KI) auf Benutzerereignisse und Systemaktivitäten anzuwenden. Die Berechnung von Durchschnittswerten hilft, anomale Werte besser zu identifizieren. Die Gruppierung von Ereignistypen und Summenwerten ermöglicht es zudem, Ereignisse über die Zeit zu vergleichen.
10. Das gesamte Team stärken
Ein Protokollverwaltungs- und Analysedienst, der nur einem hochtechnisierten Team zugänglich ist, schränkt die Möglichkeiten des Unternehmens, von Protokolldaten zu profitieren, erheblich ein. Protokoll-Management- und Analyse-Tools sollte Entwicklern Live-Tail-Debugging, Administratoren Echtzeitalarmierung, Datenwissenschaftlern aggregierte Datenvisualisierungen und Support-Teams Live-Such- und Filterfunktionen bieten, ohne dass jemand jemals auf die Produktionsumgebung zugreifen muss.
Weitere Informationen
[1] ftp.software.ibm.com/software/security/products/qradar/documents/iTeam_addendum/b_Leef_format_guide.pdf [2] community.softwaregrp.com/t5/ArcSight-Connectors/ArcSight-Common-Event-Format-CEF-Implementation-Standard/ta-p/1645557?attachment-id=68077 [3] www.dmtf.org/standards/cim [4] www.dmtf.org/standards/cadf [5] www.secef.net/home/idmef/idmef-introduction/ [6] www.secef.net/home/iodef/iodef-introduction/Lesen Sie mehr zum Thema
