Temos centenas de estações de trabalho, dezenas de servidores, enviando logs para um servidor syslog ou Windows Event Collector, sejam eles de máquinas Linux ou Windows. Nesse ponto, a integridade e a confidencialidade dos logs são gerenciadas por regras de acesso e enviadas para os servidores de log por meio de https e TCP . A autenticação de registros de envio de ativos não é realizada, mas o inventário de ativos está com uma política rígida do que temos dentro do sistema de informações.
Como temos um PKI , gostaria de usá-lo para proteger os logs para o próximo nível. Garantir a segurança durante o transporte é bom, mas não me sinto confortável em proteger o armazenamento de logs antes de arquivá-los, pois os arquivos de log estão crescendo. Isso significaria:
Lock the log file before a new entry is added
Check integrity by comparing the crypto signature
Add the entry
Compute the new signature
Unlock the file
Eu posso assinar os arquivos de log quando arquivados, mas e os arquivos de log atuais (o pseudo código acima parece complexo de implementar, a menos que alguma ferramenta já o cubra)?
Eu amplio a pergunta para: quais são as melhores práticas para garantir a integridade dos registros e garantir sua autenticidade?
Pelo menos para Syslogs do Linux, usando o rsyslogd, é possível proteger a transferência de logs com o TLS.
Também fluentd, filebeat, logstash e todos os outros principais remetentes de log suportam a transferência criptografada por TLS.
Assumo que um método semelhante está disponível para os registos de eventos do Windows.