云审计服务（CTS）安全防护措施

云审计服务（CTS – Cloud Trace Service）为租户提供云服务资源的操作记录，供用户查

询、审计和回溯使用。记录的操作类型有三种：通过云账户登录管理控制台执行的操作，

通过云服务支持的 API 执行的操作，以及华为云系统内部触发的操作。CTS 是满足用

户专业认证以及 IT 合规性认证的不可或缺的支撑*** ，其具有以下功能：

 资源变更审计：华为云上的资源和系统配置变更，可通过 CTS，实时、系统地记录

所有人员的操作，优越于传统企业 IT 环境中需要人为手工执行事后审计的各项

IT 变更。

 访问安全审计系统性与实时性：CTS 实时、系统地记录用户在管理界面上的所有操

作和用户在华为云上的所有 API 操作，便于进行问题查询、分析与定位。

 数据审计：借助 CTS 中记录的对象级 API 事件，用户可以通过收集 OBS 对象上

的活动数据来检测数据泄露情况。

 低成本：CTS 支持将操作记录合并，周期性地生成事件文件，实时同步转存至 OBS

存储桶，帮助用户实现操作记录高可用、低成本的长久保存。

 应用安全：CTS 接收和处理合法用户发起的合规事件查询、

追踪器

操作请求，以及

已与 CTS 完成对接的服务发来的合规事件。所有请求采用 HTTPS 协议传输，敏

感数据进行加密，在与外部服务进行交互时有端口控制、白名单控制、请求发起方

身份及请求内容多重验证等方式，保证应用安全。此外，CTS 的控制台节点的 Web

安全进行了安全加固，防范各种攻击。

 数据安全：CTS 所处理的用户日志数据，在生成阶段，会要求各服务内部进行脱敏，

并会对各服务发送过来的日志数据进行检视，确保数据本身不含敏感信息；在传输

阶段，通过身份认证、格式校验、白名单校验以及单向接收机制等手段，确保日志

信息传输和保存的准确、全面；在保存阶段，采取多重备份，并根据华为网络安全

规范要求，对数据库自身安全进行安全加固，杜绝仿冒、抵赖、篡改以及信息泄露

等风险；最后，CTS 支持数据以加密的方式保存到 OBS 桶。