Como configurar papéis para o Audit Logging

Neste tópico, você aprenderá a configurar as permissões do Cloud Identity and Access Management para um conjunto de cenários de auditoria por amostragem. Descrevemos as orientações sobre os papéis do Cloud IAM a serem concedidos aos papéis funcionais relativos à auditoria na empresa, para cada cenário. Os exemplos deste tópico são voltados principalmente para os administradores de segurança, auditores e funcionários que gerenciam tarefas de auditoria de uma organização.

Contexto

O Google Cloud Platform (GCP) oferece o Cloud Audit Logs, que é parte integrante do conjunto de produtos Stackdriver para atender aos requisitos de registro. Ele consiste em dois streams de registro para cada projeto: "Atividade do administrador" e "Acesso a dados", que são gerados por serviços do GCP para ajudar você a responder à questão "quem fez o quê, onde e quando?" nos projetos do GCP. Esses registros são diferentes daqueles do aplicativo e estão descritos abaixo:

  • Os Registros de atividade do administrador contêm entradas de registros para chamadas de API ou de outras ações administrativas que modificam a configuração ou os metadados de recursos. Os registros de atividades do administrador estão sempre ativados. Não há cobrança para os registros de auditoria de atividade do administrador.
  • Os Registros de acesso a dados gravam chamadas de API que criam, modificam ou leem dados fornecidos pelo usuário. Por serem grandes, os registros de auditoria de acesso a dados estão desativados por padrão.

Cada serviço que produz registros de auditoria é listado na seção Registros de auditoria de produção de serviços.

É importante observar que as entradas de registros são mantidas no Stackdriver por um tempo limitado, conhecido como período de retenção. Após esse período, as entradas são excluídas. Para manter as entradas de registro por mais tempo, elas precisam ser exportadas para fora do Stackdriver, para o Cloud Pub/Sub, BigQuery ou um intervalo do Cloud Storage.

Os exemplos de cenários neste tópico presumem que uma Cloud Organization já esteja configurada.

Neste documento, não há detalhes sobre os papéis e permissões de registro. Consulte o Guia de controle de acesso do Stackdriver para uma descrição mais detalhada.

Cenário: monitoramento operacional

Nesse cenário, uma organização tem uma equipe de segurança central capaz de revisar registros com informações confidenciais no Stackdriver e quando armazenados a longo prazo.

Os dados do histórico de auditoria são armazenados no Cloud Storage. A organização usa um aplicativo para fornecer acesso aos dados do histórico de auditoria. O aplicativo usa uma conta de serviço para acessar os dados de registro. Devido à sensibilidade de alguns dados de registro de auditoria, eles são editados usando o Cloud Data Loss Prevention antes de serem disponibilizados para visualização.

A tabela abaixo explica os papéis do Cloud IAM que precisam ser concedidos ao CTO, à equipe de segurança e à conta de serviço, bem como o nível do recurso em que os papéis são concedidos.

Papel Recurso Membro Descrição
resourcemanager.organizationAdmin Organização CTO O papel resourcemanager.organizationAdmin permite a concessão de permissões à equipe de segurança e à conta de serviço pelo CTO.
logging.viewer Organização Equipe de segurança O papel logging.viewer permite a visualização dos registros de atividade do administrador pela equipe de administração de segurança.
logging.privateLogViewer Organização Equipe de segurança O papel logging.privateLogViewer permite a visualização dos registros de acesso a dados.

Após a exportação das entradas de registro, o acesso às cópias exportadas é totalmente controlado pelas permissões e papéis do Cloud IAM nos destinos do Cloud Storage, BigQuery ou Cloud Pub/Sub. Nesse cenário, o Cloud Storage é o destino para o armazenamento a longo prazo dos registros de auditoria.

Papel Recurso Membro Descrição
logging.viewer Organização Conta de serviço O papel logging.viewer permite que a conta de serviço faça a leitura dos registros de atividade do administrador no Stackdriver.

Os dados nos registros de acesso a dados são considerados informações pessoalmente identificáveis (PII, na sigla em inglês) para essa organização. A integração do aplicativo com o Cloud DLP permite a edição de dados PII sensíveis quando os registros de acesso a dados são visualizados, estejam eles nos registros de acesso a dados ou no arquivo do histórico no Cloud Storage.

Papel Recurso Membro Descrição
storage.objectViewer Intervalo Conta de serviço O papel storage.objectViewer permite a leitura dos registros de atividade do administrador pela conta de serviço.

A política do Cloud IAM, vinculada ao recurso da organização para esse cenário, será semelhante a esta:

{
    "bindings": [{
            "role": "roles/resourcemanager.organizationAdmin",
            "members": [
                "user:cto@example.com"
            ]
        },
        {
            "role": "roles/logging.viewer",
            "members": [
                "group:security-team@example.com",
                "serviceAccount:prod-logviewer@admin-resources.iam.gserviceacount.com"
            ]
        },
        {
            "role": "roles/logging.privateLogViewer",
            "members": [
                "group:security-team@example.com"

            ]
        }
    ]
}

A política do Cloud IAM vinculado ao intervalo configurado como o coletor de destino para esse cenário será semelhante a esta:

{
    "bindings": [{
        "role": "roles/storage.objectViewer",
        "members": [
            "serviceAccount:prod-logviewer@admin-resources.iam.gserviceacount.com"
        ]
    }]
}

Cenário: equipes de desenvolvimento monitorando os respectivos registros de auditoria

Nesse cenário, os desenvolvedores da organização precisam examinar os registros de auditoria gerados durante o desenvolvimento dos respectivos aplicativos. Eles não têm a permissão de revisar os registros de produção, a menos que tenham sido editados com o Cloud DLP. Para eles, é disponibilizado um aplicativo de painel que permite acesso somente de visualização dos dados de produção exportados. A equipe de segurança da organização tem acesso a todos os registros, tanto na produção como no ambiente de desenvolvimento.

A tabela abaixo explica os papéis do Cloud IAM que precisam ser concedidos à equipe de segurança, desenvolvedores e conta de serviço, bem como o nível de recurso em que eles foram concedidos.

Papel Recurso Membro Descrição
logging.viewer Organização Equipe de segurança O papel logging.viewer permite a visualização dos registros de atividade do administrador pela equipe de administração de segurança.
logging.privateLogViewer Organização Equipe de segurança O papel logging.privateLogViewer permite a visualização dos registros de acesso a dados.
logging.viewer Pasta Equipe de desenvolvedores O papel logging.viewer permite que a equipe de desenvolvedores visualize os registros de atividades administrativas gerados pelos projetos do desenvolvedor, contidos em uma pasta em que todos os projetos de desenvolvedor estão localizados.
logging.privateLogViewer Pasta Equipe de desenvolvedores O papel logging.privateLogViewer permite a visualização dos registros de acesso a dados.

O acesso às cópias exportadas é totalmente controlado pelas permissões e papéis do Cloud IAM nos destinos: Cloud Storage, BigQuery ou Cloud Pub/Sub. Nesse cenário, o BigQuery é o destino para o armazenamento dos registros de auditoria.

Papel Recurso Membro Descrição
bigquery.dataViewer Conjunto de dados do BigQuery Conta de serviço do painel O papel bigquery.dataViewer permite que a conta de serviço usada pelo aplicativo do painel faça a leitura dos registros de atividade do administrador exportados.

A política do Cloud IAM vinculada ao recurso de pasta da equipe de desenvolvimento para esse cenário será semelhante a esta:

{
    "bindings": [{
            "role": "roles/logging.viewer",
            "members": [
                "group:developer-team@example.com"
            ]
        },
        {
            "role": "roles/logging.privateLogViewer",
            "members": [
                "group:developer-team@example.com"

            ]
        }
    ]
}

A política do Cloud IAM, vinculada ao recurso da organização para esse cenário, será semelhante a esta:

{
    "bindings": [{
            "role": "roles/logging.viewer",
            "members": [
                "group:security-team@example.com"
            ]
        },
        {
            "role": "roles/logging.privateLogViewer",
            "members": [
                "group:security-team@example.com"

            ]
        }
    ]
}

A política do Cloud IAM, vinculada ao conjunto de dados do BigQuery e configurada como coletor de destino desse cenário, será semelhante a esta:

{
    "bindings": [{
        "role": "roles/bigquery.dataViewer",
        "members": [
            "serviceAccount:prod-project-dashboard@admin-resources.iam.gserviceacount.com"

        ]
    }]
}

Cenário: auditores externos

Nesse cenário, os registros de auditoria de uma organização são agregados e exportados para um local de coletor central. Um auditor de terceiros recebe acesso diversas vezes ao ano para revisar os registros de auditoria da organização. O auditor não está autorizado a ver dados de PII nos registros de atividades do administrador. Para atender a esse requisito, há um painel disponível com acesso aos registros de históricos armazenados no BigQuery e, mediante solicitação, aos registros de atividades do administrador do Stackdriver.

A organização cria uma conta de auditor temporária para cada período de auditoria. Essa conta é monitorada e geralmente recebe acesso ao aplicativo do painel.

Durante o acesso normal, os auditores recebem acesso apenas para ver os registros armazenados no BigQuery. Caso haja alguma anomalia, o auditor receberá permissão para ver os registros reais de atividade do administrador do Stackdriver por meio do modo de acesso elevado do painel. Ao final de cada período de auditoria, o acesso será revogado.

Os dados são editados usando o Cloud DLP antes de serem disponibilizados para visualização por meio do aplicativo do painel.

A tabela abaixo explica os papéis de geração de registros do Cloud IAM concedidos por um Administrador da Organização à conta de serviço usada pelo painel, bem como o nível de recurso em que os papéis são concedidos.

Papel Recurso Membro Descrição
logging.viewer Organização Conta de serviço do painel O papel logging.viewer permite que a conta de serviço faça a leitura dos registros de atividade do administrador no Stackdriver.
bigquery.dataViewer Conjunto de dados do BigQuery Conta de serviço do painel O papel bigquery.dataViewer permite que a conta de serviço usada pelo aplicativo do painel faça a leitura dos registros de atividade do administrador exportados.

A política do Cloud IAM, vinculada ao recurso da organização para esse cenário, será semelhante a esta:

{
    "bindings": [{
        "role": "roles/logging.viewer",
        "members": [
            "serviceAccount:prod-project-dashboard@admin-resources.iam.gserviceacount.com"
        ]
    }]
}

A política do Cloud IAM, vinculada ao conjunto de dados do BigQuery e configurada como coletor de destino desse cenário, será semelhante a esta:

{
    "bindings": [{
        "role": "roles/bigquery.dataViewer",
        "members": [
            "serviceAccount:prod-project-dashboard@admin-resources.iam.gserviceacount.com"
        ]
    }]
}
Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Cloud IAM