我对 SOC 2 很熟悉,因为我参加过审计会议。审计人员使用 AICPA 框架来检查你的控制措施是否真正有效,而不只是你声称有效。五项信任服务标准分别是:安全性、可用性、处理完整性、机密性和隐私。
参考: AICPA SOC 2
信任服务标准映射
| 信任原则 | 标准 | Rediacc 功能 |
|---|---|---|
| 安全性 (CC6) | 逻辑访问控制、加密 | LUKS2 AES-256 静态加密。凭据仅存储在操作员的本地配置(~/.config/rediacc/)中,从不在服务器上。SSH 密钥访问。每个仓库隔离的 Docker daemon。 |
| 可用性 (A1) | 系统恢复和韧性 | rdc repo push/pull 支持到 SSH、S3、B2、Azure 或 GDrive 的加密异地副本。CoW 快照实现即时回滚。基于 fork 的升级实现零停机变更。 |
| 处理完整性 (PI1) | 准确完整的处理 | 确定性的 Rediaccfile 生命周期钩子(up/down)确保一致的部署。rdc repo validate 在意外关机或备份操作后验证仓库完整性和备份健康状况。 |
| 机密性 (C1) | 防止未授权访问的数据保护 | 使用唯一 LUKS 凭据的每仓库加密。通过 iptables、独立 Docker daemon 和环回 IP 子网实现网络隔离。不同仓库的容器无法互相看到。零知识配置存储在上传前在客户端加密配置。服务器仅存储无法解密的不透明 blob。 |
| 隐私 (P1-P8) | 个人数据处理 | 自托管:操作期间无数据外泄。所有数据访问的审计追踪。加密密钥管理在客户控制之下。配置存储使用分割密钥派生(passkey PRF + 服务器密钥),任何一方都无法单独访问数据。 |
审计追踪
Rediacc 记录 70 多种不同的事件类型。用户操作、系统变更、配置更新、访问控制修改、安全事件、fork 操作、审计追踪。我知道这听起来很多,但审计人员实际上关心看到这些内容。
- 身份验证:登录、注销、密码更改、2FA 启用/禁用、会话撤销
- 授权:API 令牌创建/撤销、角色变更、团队成员资格
- 配置:配置存储 push/pull、成员管理、访问失败(IP 不匹配、SDK 拒绝)
- 许可:仓库许可颁发、机器插槽追踪、订阅变更
- 机器操作:仓库创建/启动/停止/删除、fork、备份 push/pull、文件同步、终端会话
获取这些日志有三种方式。具有用户、团队和日期过滤功能的管理仪表板。用于组织管理员的门户活动页面,支持类型和日期过滤。或使用 rdc audit CLI 进行程序化导出。将其导入到你自己的工具中,集成到任何地方。机器操作也记录到你的系统日志中,这样你就具有纵深防御。
变更管理
fork 使变更管理具有可审计性。你 fork 生产环境,你获得当前实时状态的副本。测试它。审查它。推广它或丢弃它。每个步骤都有时间戳并绑定到一个人。这就是审计人员想要看到的:没有匿名变更。
- Fork 生产仓库(
rdc repo fork) - 在 fork 上应用和测试更改
- 独立验证 fork
- 将 fork 提升到生产环境(
rdc repo takeover)
每个步骤都记录了时间戳和执行者标识。
访问控制
- 机器访问:仅 SSH 密钥认证。无密码 SSH。
- API 令牌:范围限定的权限,可选 IP 绑定,从团队移除时自动撤销。
- 仓库隔离:每个仓库拥有自己的 Docker daemon 套接字。访问一个仓库不会授予对同一机器上另一个仓库的访问权。
- 配置存储令牌:首次使用时 IP 绑定、24 小时自动过期和 3 个请求宽限窗口的一次性轮换令牌。通过 X25519 密钥交换管理成员访问,支持即时撤销。