Учёт (Accounting в AAA)
Что такое Учёт (Accounting в AAA)?
Учёт (Accounting в AAA)Третий компонент модели AAA: фиксация того, что аутентифицированная идентичность делала, когда, откуда и над какими ресурсами, для аудита и биллинга.
Учёт в модели AAA (аутентификация, авторизация, учёт) собирает и хранит записи активности, связывающие каждое действие с подтверждённой идентичностью и обеспечивающие доказательную базу для мониторинга безопасности, расследований, соответствия требованиям и биллинга. Типичные данные — события входа и выхода, сессии, выполненные команды, объёмы трафика и использованные ресурсы. Протоколы RADIUS, TACACS+ и Diameter определяют передачу учётных записей сетевыми устройствами на центральные серверы, а современные стеки агрегируют их в SIEM и платформах аудита. Надёжный учёт требует защищённого от изменений хранения, точной синхронизации времени и сроков хранения, соответствующих регулированию.
Стандартизированный учёт появился раньше современной наблюдаемости (observability). Учёт RADIUS (RFC 2866) определяет пакеты Accounting-Request, у которых Acct-Status-Type принимает значения Start, Interim-Update или Stop и которые несут длительность сессии и Acct-Input/Output-Octets; TACACS+ (RFC 8907) отделяет учёт от аутентификации и авторизации, благодаря чему аудит на уровне команд на маршрутизаторах можно журналировать независимо; а Diameter (RFC 6733) модернизирует эту модель для мобильных и IMS-сетей. В облаке такие сервисы, как AWS CloudTrail, Azure Activity Log и Google Cloud Audit Logs, играют ту же роль, фиксируя каждый вызов API плоскости управления с идентификатором вызывающей стороны, исходным IP и меткой времени.
Учёт лежит в основе неотказуемости: поскольку каждая запись привязана к аутентифицированной идентичности, пользователь не может убедительно отрицать совершённое действие. Нормативные требования делают его обязательным — Requirement 10 стандарта PCI DSS требует журналирования любого доступа к данным держателей карт, а NIST SP 800-92 (Guide to Computer Security Log Management) даёт эталонное руководство по внедрению. Поскольку злоумышленники регулярно очищают журналы, чтобы скрыть следы (MITRE ATT&CK T1070, Indicator Removal), надёжный учёт отправляет записи за пределы хоста почти в реальном времени в WORM-хранилище или хранилище с возможностью только добавления, подписывает их или связывает в хеш-цепочку для обеспечения целостности и синхронизирует часы по NTP, чтобы события из разных систем можно было сопоставлять при реагировании на инциденты.
flowchart LR U[Пользователь / устройство] -->|действие| N[Сетевое устройство или приложение] N -->|Accounting-Request RADIUS / TACACS+| S[Сервер AAA] S --> L[(Защищённое от изменений хранилище журналов)] L --> M[Корреляция в SIEM] M --> R[Аудит / биллинг / форензика]
● Примеры
- 01
Записи RADIUS о начале, завершении и объёме трафика VPN-сессии.
- 02
Облачные аудит-логи, фиксирующие каждый API-вызов с идентификатором и IP.
● Частые вопросы
Что такое Учёт (Accounting в AAA)?
Третий компонент модели AAA: фиксация того, что аутентифицированная идентичность делала, когда, откуда и над какими ресурсами, для аудита и биллинга. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Учёт (Accounting в AAA)?
Третий компонент модели AAA: фиксация того, что аутентифицированная идентичность делала, когда, откуда и над какими ресурсами, для аудита и биллинга.
Как защититься от Учёт (Accounting в AAA)?
Защита от Учёт (Accounting в AAA) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Учёт (Accounting в AAA)?
Распространённые альтернативные названия: Аудит, Журналирование действий.