Управление безопасностью: ведение журнала и обнаружение угроз

  • Статья

Ведение журнала и обнаружение угроз охватывает элементы управления для обнаружения угроз в облаке, а также включение, сбор и хранение журналов аудита для облачных служб, включая включение процессов обнаружения, исследования и исправления с элементами управления для создания высококачественных оповещений с помощью собственного обнаружения угроз в облачных службах; она также включает сбор журналов с помощью облачной службы мониторинга, централизацию анализа безопасности с помощью SIEM, синхронизацию времени и хранение журналов.

LT-1. Включение возможностей обнаружения угроз

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Принцип безопасности. Для поддержки сценариев обнаружения угроз отслеживайте все известные типы ресурсов на наличие известных и ожидаемых угроз и аномалий. Настройте фильтрацию оповещений и правила аналитики для извлечения высококачественных оповещений из данных журналов, агентов или других источников данных, чтобы сократить количество ложноположительных результатов.

Руководство по Azure. Используйте функцию обнаружения угроз Microsoft Defender для облака для соответствующих служб Azure.

Сведения об обнаружении угроз, не включенных в службы Microsoft Defender, см. в статье Базовые показатели microsoft Cloud Security Benchmark для соответствующих служб, чтобы включить возможности обнаружения угроз или оповещений системы безопасности в службе. Прием оповещений и данных журналов из Microsoft Defender для облака, Microsoft 365 Defender и данных журналов из других ресурсов в экземпляры Azure Monitor или Microsoft Sentinel для создания правил аналитики, которые обнаруживают угрозы и создают оповещения, соответствующие определенным критериям в вашей среде.

Для сред операционных технологий (OT), которые включают компьютеры, которые контролируют или контролируют ресурсы системы промышленного контроля (ICS) или контроля и получения данных (SCADA), используйте Microsoft Defender для Интернета вещей для инвентаризации активов и обнаружения угроз и уязвимостей.

Для служб, которые не имеют собственной возможности обнаружения угроз, рассмотрите возможность сбора журналов плоскости данных и анализа угроз с помощью Microsoft Sentinel.

Реализация Azure и дополнительный контекст:

Руководство aws. Используйте Amazon GuardDuty для обнаружения угроз, которая анализирует и обрабатывает следующие источники данных: журналы потоков VPC, журналы событий управления AWS CloudTrail, журналы событий данных CloudTrail S3, журналы аудита EKS и журналы DNS. GuardDuty может сообщать о проблемах безопасности, таких как повышение привилегий, предоставление доступа к использованию учетных данных или обмен данными с вредоносными IP-адресами или доменами.

Настройте конфигурацию AWS для проверка правил в SecurityHub для мониторинга соответствия, например смещения конфигурации, и создавать результаты при необходимости.

Для обнаружения угроз, не включенных в GuardDuty и SecurityHub, включите возможности обнаружения угроз или оповещений системы безопасности в поддерживаемых службах AWS. Извлеките оповещения в CloudTrail, CloudWatch или Microsoft Sentinel, чтобы создать правила аналитики, которые охотятся на угрозы, соответствующие определенным критериям в вашей среде.

Вы также можете использовать Microsoft Defender для облака для мониторинга определенных служб в AWS, таких как экземпляры EC2.

Для сред операционных технологий (OT), которые включают компьютеры, которые контролируют или контролируют ресурсы системы промышленного контроля (ICS) или контроля и получения данных (SCADA), используйте Microsoft Defender для Интернета вещей для инвентаризации активов и обнаружения угроз и уязвимостей.

Реализация AWS и дополнительный контекст:

Руководство GCP. Используйте обнаружение угроз событий в Google Cloud Security Command Center для обнаружения угроз с помощью таких данных журнала, как действия Администратор, доступ к данным GKE, журналы потоков VPC, облачные DNS и журналы брандмауэра.

Кроме того, используйте набор операций безопасности для современных SOC с Chronicle SIEM и SOAR. Chronicle SIEM и SOAR предоставляют возможности обнаружения, исследования и охоты на угрозы.

Вы также можете использовать Microsoft Defender для облака для мониторинга определенных служб в GCP, таких как экземпляры вычислительных виртуальных машин.

Для сред операционных технологий (OT), которые включают компьютеры, которые контролируют или контролируют ресурсы системы промышленного контроля (ICS) или контроля и получения данных (SCADA), используйте Microsoft Defender для Интернета вещей для инвентаризации активов и обнаружения угроз и уязвимостей.

Реализация GCP и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

LT-2. Включение возможностей обнаружения угроз для управления удостоверениями и доступом

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Принцип безопасности. Обнаруживайте угрозы для удостоверений и управления доступом, отслеживая аномалии входа пользователей и приложений и доступа. Необходимо получать оповещения о таких шаблонах поведения, как чрезмерное число неудачных попыток входа в систему и устаревшие учетные записи в подписке.

Руководство Azure. Azure AD предоставляет следующие журналы, которые можно просматривать в Azure AD отчетах или интегрировать с Azure Monitor, Microsoft Sentinel или другими средствами SIEM и мониторинга для более сложных вариантов использования мониторинга и аналитики:

  • Входы. Отчет о входах содержит информацию об использовании управляемых приложений и входах пользователей.
  • Журналы аудита. Предоставляют возможность отслеживания с помощью журналов всех изменений, внесенных при использовании разных функций в Azure AD. Примеры журналов аудита включают изменения, внесенные в такие ресурсы в Azure AD, как добавление или удаление пользователей, приложений, групп, ролей и политик.
  • Рискованные входы. Рискованный вход — это показатель попытки входа в систему пользователя, не являющегося правомерным владельцем учетной записи.
  • Пользователи, находящиеся в группе риска. Означает, что конфиденциальность учетной записи пользователя, возможно, нарушена.

Azure AD также предоставляет модуль защиты идентификации для обнаружения и устранения рисков, связанных с учетными записями пользователей и поведением входа. Примеры рисков включают утечку учетных данных, вход с анонимных или связанных с вредоносными программами IP-адресов, распыление пароля. Политики в Azure AD Защита идентификации позволяют применять проверку подлинности MFA на основе рисков в сочетании с условным доступом Azure в учетных записях пользователей.

Кроме того, Microsoft Defender для облака можно настроить для создания оповещений о нерекомендуемых учетных записях в подписке и подозрительных действиях, например о чрезмерном количестве неудачных попыток проверки подлинности. Помимо базового мониторинга санации для обеспечения безопасности, модуль защиты от угроз в Microsoft Defender для облака также можно использовать для сбора более подробных оповещений системы безопасности для отдельных вычислительных ресурсов Azure (таких как, виртуальные машины, контейнеры, служба приложений), ресурсов данных (таких как, база данных SQL и хранилище) и уровней служб Azure. Эта возможность позволяет обнаруживать аномалии учетных записей внутри отдельных ресурсов.

Примечание. Если вы подключаетесь к локальной службе Active Directory для синхронизации, воспользуйтесь решением "Microsoft Defender для удостоверений", чтобы принимать локальные сигналы Active Directory для идентификации, обнаружения и исследования расширенных угроз, скомпрометированных удостоверений и внутренних вредоносных действий, направленных на организацию.

Реализация Azure и дополнительный контекст:

Руководство AWS. AWS IAM предоставляет следующие отчеты по журналам и отчетам о действиях пользователей консоли с помощью помощника по доступу IAM и отчета об учетных данных IAM:

  • Каждый успешный вход и неудачные попытки входа.
  • Состояние многофакторной проверки подлинности (MFA) для каждого пользователя.
  • Неактивный пользователь IAM

Для мониторинга доступа на уровне API и обнаружения угроз используйте Amazon GuadDuty, чтобы определить результаты, связанные с IAM. Примеры таких выводов:

  • API, используемый для получения доступа к среде AWS и вызываемый аномальным способом, или использовался для обхода защитных мер.
  • API, используемый для:
    • Обнаружение ресурсов было вызвано аномальным способом
    • Сбор данных из среды AWS был вызван аномальным способом.
    • Незаконное изменение данных или процессов в среде AWS было вызвано аномальным образом.
    • получить несанкционированный доступ к среде AWS был вызван аномальным способом.
    • поддерживать несанкционированный доступ к среде AWS был вызван аномальным способом.
    • получение высокоуровневых разрешений для среды AWS был вызван аномальным способом.
    • вызываться с известного вредоносного IP-адреса.
    • вызываться с использованием учетных данных привилегированного пользователя.
  • Ведение журнала AWS CloudTrail было отключено.
  • Политика паролей учетной записи была ослаблена.
  • Было обнаружено несколько успешных попыток входа в консоль по всему миру.
  • Учетные данные, созданные исключительно для экземпляра EC2 с помощью роли запуска экземпляра, используются из другой учетной записи в AWS.
  • Учетные данные, созданные исключительно для экземпляра EC2 с помощью роли запуска экземпляра, используются с внешнего IP-адреса.
  • API был вызван с известного вредоносного IP-адреса.
  • API был вызван с IP-адреса в пользовательском списке угроз.
  • API был вызван с IP-адреса выходного узла Tor.

Реализация AWS и дополнительный контекст:

Руководство GCP. Используйте обнаружение угроз событий в Google Cloud Security Command Center для определенного типа обнаружения угроз, связанных с IAM, например для обнаружения событий, когда неактивной учетной записи службы, управляемой пользователем, была предоставлена одна или несколько конфиденциальных ролей IAM.

Имейте в виду, что журналы Google Identity и google Cloud IAM создают журналы действий администратора, но для разных область. Журналы удостоверений Google предназначены только для операций, соответствующих платформе удостоверений, а журналы IAM — для операций, соответствующих IAM для Google Cloud. Журналы IAM содержат записи журнала вызовов API или других действий, которые изменяют конфигурацию или метаданные ресурсов. Например, эти журналы записывают, когда пользователи создают экземпляры виртуальных машин или изменяют разрешения управления удостоверениями и доступом.

Используйте отчеты Cloud Identity и IAM для оповещений об определенных подозрительных шаблонах действий. Вы также можете использовать аналитику политик для анализа действий учетных записей служб и выявления таких действий, как учетные записи служб в проекте, которые не использовались за последние 90 дней.

Реализация GCP и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

LT-3. Включение ведения журнала для исследования безопасности

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Принцип безопасности. Включите ведение журнала для облачных ресурсов в соответствии с требованиями к расследованию инцидентов безопасности, реагированию на угрозы безопасности и обеспечению соответствия требованиям.

Руководство по Azure. Включите возможность ведения журнала для ресурсов на разных уровнях, таких как журналы ресурсов Azure, операционные системы и приложения в виртуальных машинах и другие типы журналов.

Помните о различных типах журналов безопасности, аудита и других операционных журналов на уровне управления и уровнях плоскости данных. На платформе Azure доступны три типа журналов.

  • Журнал ресурсов Azure — регистрация операций, выполняемых в рамках ресурса Azure (плоскость данных). Например, это может быть получение секрета из хранилища ключей или совершение запроса к базе данных. Содержимое журналов ресурсов зависит от типа ресурса и конкретной службы Azure.
  • Журнал действий Azure — регистрация операций в каждом ресурсе Azure на уровне подписки извне (уровень управления). Вы можете использовать журнал действий, чтобы определить, что, кто и когда для любых операций записи (PUT, POST, DELETE), выполненных в ресурсах в вашей подписке. Для каждой подписки Azure существует один журнал действий.
  • Журналы Azure Active Directory — содержат историю действий входа и журнал аудита изменений, внесенных в Azure Active Directory для конкретного арендатора.

С помощью Microsoft Defender для облака и Политики Azure можно также включить сбор журналов ресурсов и данных для ресурсов Azure.

Реализация Azure и дополнительный контекст:

Руководство AWS. Используйте ведение журнала AWS CloudTrail для событий управления (операций уровня управления) и событий данных (операций плоскости данных) и отслеживайте эти следы с помощью CloudWatch для автоматизированных действий.

Служба журналов Amazon CloudWatch позволяет собирать и хранить журналы из ресурсов, приложений и служб практически в реальном времени. Существует три main категории журналов:

  • Журналы vended: журналы, которые изначально публикуются службами AWS от вашего имени. В настоящее время поддерживаются два типа журналов потоков Amazon VPC и Amazon Route 53. Эти два журнала включены по умолчанию.
  • Журналы, опубликованные службами AWS. Журналы из более чем 30 служб AWS публикуются в CloudWatch. К ним относятся Шлюз API Amazon, AWS Lambda, AWS CloudTrail и многие другие. Эти журналы можно включить непосредственно в службах и CloudWatch.
  • Пользовательские журналы: журналы из собственного приложения и локальных ресурсов. Вам может потребоваться собрать эти журналы, установив агент CloudWatch в операционных системах и перенаправив их в CloudWatch.

Хотя многие службы публикуют журналы только в журналах CloudWatch, некоторые службы AWS могут публиковать журналы непосредственно в AmazonS3 или Amazon Kinesis Data Firehose, где можно использовать различные политики хранения и хранения журналов.

Реализация AWS и дополнительный контекст:

Руководство GCP. Включите возможность ведения журнала для ресурсов на разных уровнях, таких как журналы ресурсов Azure, операционные системы и приложения в виртуальных машинах и другие типы журналов.

Помните о различных типах журналов безопасности, аудита и других операционных журналов на уровне управления и уровнях плоскости данных. Служба ведения журнала Operations Suite Cloud собирает и агрегирует все виды событий журнала с уровней ресурсов. В облачном журнале поддерживаются четыре категории журналов:

  • Журналы платформы — журналы, записываемые службами Google Cloud.
  • Журналы компонентов похожи на журналы платформы, но это журналы, созданные программными компонентами, предоставляемыми Google, которые работают в ваших системах.
  • Журналы безопасности — в основном журналы аудита, которые записывают административные действия и доступы к ресурсам.
  • Пользовательские — журналы, записываемые пользовательскими приложениями и службами
  • Журналы с несколькими облаками и журналы гибридного облака — журналы от других поставщиков облачных служб, таких как Microsoft Azure, и журналы из локальной инфраструктуры.

Реализация GCP и дополнительный контекст:

Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

LT-4. Включение ведения сетевого журнала для исследования безопасности

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10,8

Принцип безопасности. Включите ведение журнала для сетевых служб для поддержки исследований инцидентов, связанных с сетью, охоты на угрозы и создания оповещений системы безопасности. Сетевые журналы могут включать в себя журналы сетевых служб, таких как фильтрация IP-адресов, брандмауэр сети и приложений, DNS, мониторинг потоков и т. д.

Руководство Azure. Включите и соберите журналы ресурсов группы безопасности сети (NSG), журналы потоков NSG, журналы Брандмауэр Azure и журналы Брандмауэр веб-приложений (WAF) и журналы с виртуальных машин с помощью агента сбора данных сетевого трафика для анализа безопасности для поддержки расследований инцидентов и создания оповещений системы безопасности. Журналы потоков можно отправить в рабочую область Azure Monitor Log Analytics, а затем использовать Аналитику трафика для получения ценных сведений.

Собирайте журналы запросов DNS для корреляции с другими сетевыми данными.

Реализация Azure и дополнительный контекст:

Руководство AWS. Включение и сбор сетевых журналов, таких как журналы потоков VPC, журналы WAF и журналы запросов сопоставителя Route53, для анализа безопасности для поддержки расследований инцидентов и создания оповещений системы безопасности. Журналы можно экспортировать в CloudWatch для мониторинга или контейнер хранилища S3 для приема в решение Microsoft Sentinel для централизованной аналитики.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Большинство журналов сетевых действий доступны в журналах потоков VPC, в которых записываются примеры сетевых потоков, отправляемых из ресурсов и полученных ими, включая экземпляры, используемые в качестве виртуальных машин Google Compute, узлы подсистемы Kubernetes. Эти журналы можно использовать для мониторинга сети, судебной экспертизы, анализа безопасности в режиме реального времени и оптимизации расходов.

Журналы потоков можно просматривать в ведении журнала в облаке и экспортировать в место назначения, которое поддерживает экспорт ведения журнала в облако. Журналы потоков агрегируются по подключению с виртуальной машины вычислительного модуля и экспортируются в режиме реального времени. Подписавшись на публикацию и подписку, вы можете анализировать журналы потоков с помощью API потоковой передачи в режиме реального времени.

Примечание. Вы также можете использовать зеркальное отображение пакетов, чтобы клонировать трафик указанных экземпляров в сети Виртуального частного облака (VPC) и перенаправлять его для изучения. Зеркальное отображение пакетов захватывает весь трафик и данные пакетов, включая полезные данные и заголовки.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

LT-5: централизованные управление журналом безопасности и анализ

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 Н/Д

Принцип безопасности. Централизация хранилища и анализа ведения журнала, чтобы обеспечить корреляцию между данными журнала. Для каждого источника журнала убедитесь, что назначен владелец данных, разработано руководство по доступу, есть место хранения, определено, какие средства используются для обработки данных и доступа к ним, и установлены требования к хранению данных.

Используйте собственную облачную среду SIEM, если у вас нет решения SIEM для поставщиков облачных решений. или агрегирования журналов и оповещений в существующей системе SIEM.

Руководство по Azure. Убедитесь, что вы интегрируете журналы действий Azure в централизованную рабочую область Log Analytics. Используйте Azure Monitor для запроса и выполнения анализа и создания правил генерации оповещений на основе журналов, собранных из служб Azure, с конечных устройств, из сетевых ресурсов и других систем безопасности.

Кроме того, включите и подключите данные в Microsoft Sentinel, которая предоставляет возможности управления событиями информационной безопасности (SIEM) и автоматического реагирования оркестрации безопасности (SOAR).

Реализация Azure и дополнительный контекст:

Руководство по AWS. Убедитесь, что вы интегрируете журналы AWS в централизованный ресурс для хранения и анализа. Используйте CloudWatch для выполнения запросов и анализа, а также для создания правил генерации оповещений с помощью журналов, агрегированных из служб AWS, служб, конечных точек устройств, сетевых ресурсов и других систем безопасности.

Кроме того, вы можете агрегировать журналы в контейнере хранилища S3 и подключить данные журнала к Microsoft Sentinel, который предоставляет возможности управления информационной безопасностью (SIEM) и автоматического реагирования оркестрации безопасности (SOAR).

Реализация AWS и дополнительный контекст:

Руководство GCP. Убедитесь, что вы интегрируете журналы GCP в централизованный ресурс (например, контейнер ведения журнала Operations Suite Cloud) для хранения и анализа. Ведение журнала в облаке поддерживает большинство собственных служб Google Cloud, а также сторонние приложения и локальные приложения. Вы можете использовать ведение журнала в облаке для запросов и выполнения аналитики, а также для создания правил генерации оповещений с помощью журналов, агрегированных из служб GCP, служб, конечных точек устройств, сетевых ресурсов и других систем безопасности.

Используйте собственный облачный SIEM, если у вас нет существующего решения SIEM для CSP или агрегирования журналов и оповещений в существующем SIEM.

Примечание. Google предоставляет два внешних интерфейса запросов к журналам: журналы Обозреватель и Log Analytics для запросов, просмотра и анализа журналов. Для устранения неполадок и изучения данных журнала рекомендуется использовать журналы Обозреватель. Для формирования аналитических сведений и тенденций рекомендуется использовать Log Analytics.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

LT-6: Настройка хранения журналов

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Принцип безопасности. Спланируйте стратегию хранения журналов в соответствии с требованиями к соответствию, нормативным требованиям и бизнес-требованиям. Настройте политику хранения журналов для отдельных служб ведения журналов, чтобы обеспечить надлежащее архивирование журналов.

Руководство по Azure. Такие журналы, как журналы действий Azure, хранятся в течение 90 дней, а затем удаляются. Необходимо создать параметр диагностики и направить журналы в другое расположение (например, в рабочую область Azure Monitor Log Analytics, Центры событий или службу хранилища Azure) в соответствии с вашими потребностями. Эта стратегия также применяется к другим журналам ресурсов и ресурсам, управляемым вами, например журналам в операционных системах и приложениях на виртуальных машинах.

Доступны указанные ниже варианты хранения журналов.

  • Используйте рабочую область Log Analytics в Azure Monitor для хранения журналов в течение периода до одного года или в соответствии с требованиями группы реагирования.
  • Используйте службу хранилища Azure, Data Explorer или Data Lake для долгосрочного и архивного хранения в течение более чем одного года в соответствии с требованиями безопасности.
  • Используйте Центры событий Azure для пересылки журналов во внешний ресурс за пределами Azure.

Примечание. Microsoft Sentinel использует рабочую область Log Analytics в качестве серверной части для хранения журналов. Если вы планируете хранить журналы SIEM дольше, следует рассмотреть стратегию долгосрочного хранения.

Реализация Azure и дополнительный контекст:

Руководство по AWS. По умолчанию журналы хранятся в CloudWatch бессрочно и не истечет. Вы можете настроить политику хранения для каждой группы журналов, сохранив срок хранения на неопределенный срок или выбрав срок хранения от 10 лет до одного дня.

Используйте Amazon S3 для архивации журналов из CloudWatch и примените к контейнеру управление жизненным циклом объектов и политику архивации. Службу хранилища Azure можно использовать для централизованной архивации журналов, переведя файлы из Amazon S3 в службу хранилища Azure.

Реализация AWS и дополнительный контекст:

Руководство по GCP. По умолчанию operations Suite Cloud Logging хранит журналы в течение 30 дней, если вы не настроите пользовательское хранение для контейнера ведения журнала в облаке. Администратор журналы аудита действий, журналы аудита системных событий и журналы прозрачности доступа по умолчанию хранятся 400 дней. Вы можете настроить ведение журнала в облаке для хранения журналов от 1 дня до 3650 дней.

Используйте облачное хранилище для архивации журналов из ведения журнала в облаке и примените к контейнеру управление жизненным циклом объектов и политику архивации. Вы можете использовать службу хранилища Azure для централизованной архивации журналов, переведя файлы из Облачного хранилища Google в службу хранилища Azure.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):

LT-7. Использование утвержденных источников синхронизации времени

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
8.4 AU-8 10.4

Принцип безопасности. Используйте утвержденные источники синхронизации времени для метки времени ведения журнала, включая сведения о дате, времени и часовом поясе.

Руководство по Azure. Корпорация Майкрософт поддерживает источники времени для большинства служб Azure PaaS и SaaS. Для операционных систем вычислительных ресурсов используйте NTP-сервер по умолчанию (Microsoft) для синхронизации времени, если нет других требований. Если необходимо установить собственный NTP-сервер, обеспечьте безопасность порта службы UDP 123.

Все журналы, созданные ресурсами в Azure, содержат отметки времени с часового пояса, указанным по умолчанию.

Реализация Azure и дополнительный контекст:

Руководство по AWS. AWS поддерживает источники времени для большинства служб AWS. Для ресурсов или служб, в которых настроен параметр времени операционной системы, используйте aws по умолчанию Amazon Time Sync Service для синхронизации времени, если у вас нет конкретных требований. Если необходимо установить собственный NTP-сервер, обеспечьте безопасность порта службы UDP 123.

Все журналы, созданные ресурсами в AWS, предоставляют метки времени с часовыми поясами, указанными по умолчанию.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Google Cloud поддерживает источники времени для большинства служб PaaS и SaaS Google Cloud. Для операционных систем с вычислительными ресурсами используйте NTP-сервер Google Cloud по умолчанию для синхронизации времени, если у вас нет конкретных требований. Если вам нужно установить собственный NTP-сервер, убедитесь, что необходимо защитить порт 123 службы UDP.

Примечание. Рекомендуется не использовать внешние источники NTP с виртуальными машинами вычислительной подсистемы, а внутренний NTP-сервер, предоставляемый Google.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по обеспечению безопасности клиентов (подробнее):