Fast jede cloud-native Organisation kommt mit derselben Eröffnungszeile zur Evidenzschicht-Bewertung: wir loggen schon alles in CloudTrail oder Stackdriver oder Azure Monitor — was bringt uns Certyo, was die nicht bringen? Es ist eine faire Frage und sie verdient eine strukturelle, keine marketinggetriebene Antwort. Die ehrliche Antwort lautet: operative Logs und Integritätsnachweise sind unterschiedliche Kategorien von Artefakten, gebaut für unterschiedliche Aufgaben, mit strukturell inkompatiblen Vertrauenseigenschaften. Dieselben Daten können in beiden stecken, aber dieselben Daten geben Ihnen nicht dieselbe Verteidigbarkeit.
Wofür operative Logs gebaut sind
CloudTrail, Stackdriver und Azure Monitor wurden gebaut, um Fragen wie diese zu beantworten: welchen API-Aufruf hat unser Service um 03:14 UTC gemacht, was war die Antwort, welcher IAM-Principal hat ihn ausgelöst. Die Aufgabe ist operative Sichtbarkeit — Debugging, Alerting, Kapazitätsplanung, Sicherheitsuntersuchung. Sie sind exzellente Werkzeuge für diese Aufgaben.
Die Designvorgaben, die sie für Operations exzellent machen, machen sie auch für Beweise ungeeignet. Operative Logs sind so gebaut, dass sie für ein Fenster aufbewahrt, rotiert, replayed, indexiert, abgefragt und gelegentlich redigiert werden. Keine dieser Operationen ist ein Problem für die operative Aufgabe. Alle sind ein Problem für die Beweisaufgabe.
Drei strukturelle Unterschiede, die zur Audit-Zeit zählen
Wenn ein Auditor, Regulator oder gegnerischer Anwalt einen Datensatz anficht, verschiebt sich das Gespräch von operativer Sichtbarkeit zu forensischer Verteidigbarkeit. An diesem Punkt werden drei strukturelle Unterschiede zwischen operativen Logs und Integritätsnachweis entscheidend:
- Selbe Vertrauensdomäne — Ihre CloudTrail-Logs werden von Konten innerhalb Ihrer AWS-Organisation geschrieben, aufbewahrt und gelesen. Das Audit-Log des Audit-Logs lebt am selben Ort. Ein entschlossener Insider mit ausreichenden Privilegien kann den Trail mutieren und den Trail der Mutationen mutieren. Beweis erfordert eine Vertrauensgrenze außerhalb des Systems, das die Daten erzeugt hat.
- Mutationsfreundlich per Policy — Log-Aufbewahrungsfenster lassen Datensätze designgemäß ablaufen. Lifecycle-Policies verschieben Datensätze in Cold Storage und löschen sie schließlich. Das sind Features für Operations und Bugs für Beweise. Ein Datensatz, den Sie zur Audit-Zeit nicht auf Anfrage produzieren können, ist kein Beweis; er ist ein ehemaliges Log.
- Kein Verifizierungspfad für Dritte — wenn Sie einem Auditor einen CloudTrail-Export übergeben, muss der Auditor darauf vertrauen, dass der Export getreu zum Original ist. Es gibt keine kryptographische Primitive, die einem Regulator erlaubt, den Export gegen eine unveränderliche Referenz ohne Ihre Mitwirkung zu verifizieren. Operative Logs sind Aussagen; Beweise sind unabhängig verifizierbare Behauptungen.
Was sich ändert, wenn Integrität extern verankert wird
Externe Verankerung — was Certyo auf Polygon tut — ist kein Ersatz für CloudTrail. Es ist ein anderes Artefakt, das die drei strukturellen Lücken oben adressiert. Datensätze werden gehasht, akkumuliert, gebatcht, und der Merkle-Root jedes Batches wird auf eine öffentliche Chain geschrieben. Drei Eigenschaften folgen aus diesem Design:
Erstens verschiebt sich die Vertrauensgrenze außerhalb Ihres Kontos: Der On-Chain-Merkle-Root kann von niemandem modifiziert werden, einschließlich des Teams, das Certyo betreibt. Zweitens unterliegt der Anker keiner Aufbewahrungsrichtlinie: Er bleibt unbegrenzt als Eigenschaft der Chain bestehen, nicht als Eigenschaft Ihres Abonnements. Drittens erfordert die Verifizierung Ihre Teilnahme nicht: Ein Regulator mit dem Originaldatensatz und der On-Chain-Referenz kann unabhängig bestätigen, dass der Datensatz zum Originalzeitstempel verankert wurde.
Wo sich die beiden Artefakte ergänzen
Das richtige mentale Modell ist nicht CloudTrail-oder-Certyo. Es ist CloudTrail-und-Certyo, wobei jedes Artefakt seine eigene Aufgabe erfüllt. Die operative Pipeline tut weiter, was sie gut tut; die Beweispipeline läuft daneben und verankert die Datensätze, die Audits, Disputes oder Rechtsstreitigkeiten überleben müssen:
Zur Audit-Zeit beantwortet CloudTrail "was operativ passiert ist" und der Integritätsanker beantwortet "und die Datensätze, die aus diesen Operationen entstanden sind, sind unverändert". Die zwei Artefakte beantworten unterschiedliche Fragen, und die Antworten setzen sich zusammen. Ein Auditor, der nur CloudTrail sieht, hat eine Geschichte; ein Auditor, der CloudTrail plus einen verankerten Datensatz sieht, hat eine Geschichte plus eine verifizierbare Behauptung.
Drei Käuferszenarien, in denen die Unterscheidung entscheidend ist
Wenn der Unterschied zwischen operativen Logs und Beweisen akademisch klingt, wird er in drei spezifischen Szenarien dringend. Das sind die Szenarien, in denen die CloudTrail-reicht-Position im Feld scheitert:
- Insider-Bedrohungs-Untersuchungen — Wenn ein Regulator oder Versicherer mögliche Insider-Manipulation untersucht, können Logs, die in derselben Vertrauensdomäne wie der verdächtige Akteur leben, nicht zur Widerlegung der Manipulation verwendet werden. Der Untersucher braucht ein Artefakt, das der Akteur nachweislich nicht modifizieren konnte. CloudTrail erfüllt diese Latte nicht; ein externer Anker schon.
- Mehrjährige Streitigkeiten — Wenn ein Streit über einen drei Jahre alten Datensatz heute auftaucht, ist die Frage, ob der Datensatz in seiner ursprünglichen Form produziert werden kann. Die CloudTrail-Aufbewahrung kann den Eintrag abgelaufen lassen. Der Integritätsanker auf einer öffentlichen Chain hat kein Aufbewahrungsfenster. Datensätze, die Sie heute gegen den Originalanker hashen können, sind weiterhin verifizierbar.
- Cross-Vendor-Audits — Wenn ein Auditor einen von Ihrem Service produzierten Datensatz gegen Datensätze eines Partners oder einer Gegenpartei verifizieren muss, kann der Auditor nicht beide Organisationen bitten, ihre CloudTrail zu teilen. Er kann beide bitten, den verankerten Hash zu teilen und gegen dieselbe On-Chain-Referenz zu verifizieren. Cross-Vendor-Audit ist strukturell einfacher, wenn die Verifizierungs-Primitive von jedem Anbieter unabhängig ist.
Was tun, wenn der Einwand im Verkaufsgespräch auftaucht
Die richtige Antwort auf "wir nutzen schon CloudTrail" ist nicht zu argumentieren, dass CloudTrail schlecht ist. Es ist exzellent in dem, was es tut. Die richtige Antwort ist zu fragen, welche der drei strukturellen Lücken der Käufer im schlimmsten Fall akzeptieren würde: ein entschlossener Insider, der das Audit-Log mutiert, eine Aufbewahrungsrichtlinie, die einen umstrittenen Datensatz ablaufen lässt, ein Auditor, der ohne Ihre Mitwirkung nicht verifizieren kann. Wenn die Antwort keine ist, ist CloudTrail allein nicht das richtige Werkzeug für diesen Teil des Workloads. Wie Certyo neben bestehender Log-Infrastruktur läuft, siehe /de/about. Für die Verifizierungs-Primitive im Detail siehe /de/blog/blockchain-without-crypto.
CloudTrail sagt Ihnen, was passiert ist. Ein Integritätsanker erlaubt einer dritten Partei zu verifizieren, dass der Datensatz dessen, was passiert ist, sich nicht geändert hat. Dieselben Daten, strukturell unterschiedliche Vertrauenseigenschaft. Die zwei Artefakte beantworten unterschiedliche Fragen, und Sie brauchen beide zur Audit-Zeit.