Como configurar papéis para a geração de registros de auditoria

Neste tópico, descrevemos como configurar as permissões do Cloud Identity and Access Management para um conjunto de cenários de auditoria de exemplo. Descrevemos as orientações sobre os papéis do Cloud IAM a serem concedidos aos papéis funcionais relativos à auditoria na empresa, para cada cenário. Os exemplos deste tópico são voltados principalmente para os administradores de segurança, auditores e funcionários que gerenciam tarefas de auditoria de uma organização.

Contexto

O Google Cloud oferece registros de auditoria do Cloud, que é parte integrante do Cloud Logging. Eles consistem em dois fluxos de registros para cada projeto: atividade administrativa e acesso aos dados, que são gerados pelos serviços do Google Cloud para ajudar você a responder: "quem fez o que, onde e quando?" nos seus projetos do Google Cloud. Esses registros são diferentes daqueles do aplicativo e estão descritos abaixo:

  • Os registros de atividade do administrador contêm entradas de registros para chamadas de API ou de outras ações administrativas que modificam a configuração ou os metadados de recursos. Os registros de atividades do administrador estão sempre ativados. Não há cobrança para os registros de auditoria de atividade do administrador.
  • Os registros de acesso a dados gravam chamadas de API que criam, modificam ou leem dados fornecidos pelo usuário. Por serem grandes, os registros de auditoria de acesso a dados estão desativados por padrão.

Cada serviço que produz registros de auditoria é listado na seção Registros de auditoria de produção de serviços.

O Cloud Logging retém entradas de registro por um tempo limitado, conhecido como período de armazenamento. Após esse período, as entradas são excluídas. Para manter entradas de registro maiores, elas precisam ser exportadas fora do Cloud Logging para o Pub/Sub, o BigQuery ou um intervalo do Cloud Storage.

Os exemplos de cenários neste tópico presumem que uma organização do Cloud já esteja configurada.

Neste documento, não há detalhes sobre os papéis e permissões de registro. Para uma descrição detalhada, consulte o Guia de controle de acesso do Cloud Logging.

Cenário: monitoramento operacional

Neste cenário, uma organização tem uma equipe de segurança central capaz de analisar registros que podem conter informações confidenciais no Cloud Logging e durante o armazenamento de longo prazo.

Os dados do histórico de auditoria são armazenados no Cloud Storage. A organização usa um aplicativo para fornecer acesso aos dados históricos de auditoria. O aplicativo usa uma conta de serviço para acessar os dados de registro. Devido à confidencialidade de alguns dados do registro de auditoria, eles são editados usando Prevenção contra perda de dados antes de serem disponibilizados para visualização.

Na tabela abaixo, explicamos os papéis do Cloud IAM que precisam ser concedidos ao CTO, à equipe de segurança e à conta de serviço, bem como o nível do recurso em que os papéis são concedidos.

Role Recurso Membro Descrição
resourcemanager.organizationAdmin Organização CTO O papel resourcemanager.organizationAdmin permite a concessão de permissões à equipe de segurança e à conta de serviço pelo CTO.
logging.viewer Organização Equipe de segurança O papel logging.viewer permite a visualização dos registros de atividade do administrador pela equipe de administração de segurança.
logging.privateLogViewer Organização Equipe de segurança O papel logging.privateLogViewer permite a visualização dos registros de acesso a dados.

Depois que as entradas de registro forem exportadas, o acesso às cópias exportadas será totalmente controlado pelas permissões e papéis do Cloud IAM em qualquer um dos destinos: Cloud Storage, BigQuery ou Pub/Sub. Nesse cenário, o Cloud Storage é o destino para o armazenamento a longo prazo dos registros de auditoria.

Role Recurso Membro Descrição
logging.viewer Organização Conta de serviço O papel logging.viewer permite que a conta de serviço leia os registros de atividade do administrador no Cloud Logging.

Os dados nos registros de acesso a dados são considerados informações de identificação pessoal (PII, na sigla em inglês) dessa organização. A integração do aplicativo com o Cloud DLP permite a edição de dados PII confidenciais quando os registros de acesso a dados são visualizados, estejam eles nos registros de acesso a dados ou no arquivo do histórico no Cloud Storage.

Role Recurso Membro Descrição
storage.objectViewer Intervalo Conta de serviço O papel storage.objectViewer permite a leitura dos registros de atividade do administrador pela conta de serviço.

A política do Cloud IAM vinculada ao recurso da organização desse cenário será semelhante a esta:

{
      "bindings": [{
        "role": "roles/resourcemanager.organizationAdmin",
          "members": [
            "user:cto@example.com"
          ]
        },
        {
          "role": "roles/logging.viewer",
          "members": [
            "group:security-team@example.com",
            "serviceAccount:prod-logviewer@admin-resources.iam.gserviceaccount.com"
          ]
        },
        {
          "role": "roles/logging.privateLogViewer",
          "members": [
            "group:security-team@example.com"
          ]
        }
      ]
    }
    

A política do Cloud IAM vinculada ao intervalo configurado como o coletor de destino desse cenário será semelhante a esta:

{
      "bindings": [{
        "role": "roles/storage.objectViewer",
        "members": [
          "serviceAccount:prod-logviewer@admin-resources.iam.gserviceaccount.com"
        ]
      }]
    }
    

Cenário: equipes de desenvolvimento monitorando os respectivos registros de auditoria

Nesse cenário, os desenvolvedores da organização precisam examinar os registros de auditoria gerados durante o desenvolvimento dos respectivos aplicativos. Eles não têm permissão para analisar os registros de produção, a menos que tenham sido editados usando o Cloud DLP. Um aplicativo de painel está disponível para os desenvolvedores. Ele fornece acesso somente visualização aos dados de produção exportados. A equipe de segurança da organização tem acesso a todos os registros, tanto na produção quanto no ambiente de desenvolvimento.

Na tabela abaixo, veja os papéis do Cloud IAM que precisam ser concedidos à equipe de segurança, a desenvolvedores e à conta de serviço, bem como o nível de recurso em que eles foram concedidos.

Role Recurso Membro Descrição
logging.viewer Organização Equipe de segurança O papel logging.viewer permite a visualização dos registros de atividade do administrador pela equipe de administração de segurança.
logging.privateLogViewer Organização Equipe de segurança O papel logging.privateLogViewer permite a visualização dos registros de acesso a dados.
logging.viewer Pasta Equipe de desenvolvedores O papel logging.viewer permite que a equipe de desenvolvedores visualize os registros de atividades administrativas gerados pelos projetos do desenvolvedor, contidos em uma pasta em que todos os projetos de desenvolvedor estão localizados.
logging.privateLogViewer Pasta Equipe de desenvolvedores O papel logging.privateLogViewer permite a visualização dos registros de acesso a dados.

O acesso às cópias exportadas será totalmente controlado pelas permissões e papéis do Cloud IAM em qualquer um dos destinos: Cloud Storage, BigQuery ou Pub/Sub. Nesse cenário, o BigQuery é o destino do armazenamento dos registros de auditoria.

Role Recurso Membro Descrição
bigquery.dataViewer Conjunto de dados do BigQuery Conta de serviço do painel O papel bigquery.dataViewer permite que a conta de serviço usada pelo aplicativo do painel faça a leitura dos registros de atividade do administrador exportados.

A política do Cloud IAM vinculada ao recurso de pasta da equipe de desenvolvimento desse cenário será semelhante a esta:

{
      "bindings": [{
        "role": "roles/logging.viewer",
        "members": [
          "group:developer-team@example.com"
        ]
      },
      {
        "role": "roles/logging.privateLogViewer",
        "members": [
          "group:developer-team@example.com"
        ]
      }]
    }
    

A política do Cloud IAM vinculada ao recurso da organização desse cenário será semelhante a esta:

{
      "bindings": [{
        "role": "roles/logging.viewer",
        "members": [
          "group:security-team@example.com"
        ]
      },
      {
        "role": "roles/logging.privateLogViewer",
        "members": [
          "group:security-team@example.com"
        ]
      }]
    }
    

A política do Cloud IAM vinculada ao conjunto de dados do BigQuery e configurada como coletor de destino desse cenário será semelhante a esta:

{
      "bindings": [{
        "role": "roles/bigquery.dataViewer",
        "members": [
          "serviceAccount:prod-project-dashboard@admin-resources.iam.gserviceaccount.com"
        ]
      }]
    }
    

Cenário: auditores externos

Neste cenário, os registros de auditoria de uma organização são agregados e exportados para um local de coletor central. Um auditor de terceiros recebe acesso diversas vezes ao ano para analisar os registros de auditoria da organização. O auditor não tem autorização para ver dados PII nos registros de atividades do administrador. Para obedecer a esse requisito, há um painel disponível que fornece acesso aos registros históricos armazenados no BigQuery e, mediante solicitação, aos registros de atividade do administrador do Cloud Logging.

A organização cria uma conta de auditor temporária para cada período de auditoria. Essa conta é monitorada e geralmente recebe acesso ao aplicativo do painel.

Durante o acesso normal, os auditores recebem acesso apenas para ver os registros armazenados no BigQuery. Se forem descobertas anomalias, o auditor terá permissão para visualizar os registros de atividades reais do administrador do Cloud Logging por meio do modo de acesso elevado do painel. Ao final de cada período de auditoria, o acesso será revogado.

Os dados são editados usando o Cloud DLP antes de serem disponibilizados para visualização por meio do aplicativo do painel.

Na tabela abaixo, veja os papéis de geração de registros do Cloud IAM concedidos por um Administrador da organização à conta de serviço usada pelo painel, bem como o nível de recurso em que os papéis são concedidos.

Role Recurso Membro Descrição
logging.viewer Organização Conta de serviço do painel O papel logging.viewer permite que a conta de serviço leia os registros de atividade do administrador no Cloud Logging.
bigquery.dataViewer Conjunto de dados do BigQuery Conta de serviço do painel O papel bigquery.dataViewer permite que a conta de serviço usada pelo aplicativo do painel faça a leitura dos registros de atividade do administrador exportados.

A política do Cloud IAM vinculada ao recurso da organização desse cenário será semelhante a esta:

{
      "bindings": [{
        "role": "roles/logging.viewer",
        "members": [
          "serviceAccount:prod-project-dashboard@admin-resources.iam.gserviceaccount.com"
        ]
      }]
    }
    

A política do Cloud IAM vinculada ao conjunto de dados do BigQuery e configurada como coletor de destino desse cenário será semelhante a esta:

{
      "bindings": [{
        "role": "roles/bigquery.dataViewer",
        "members": [
          "serviceAccount:prod-project-dashboard@admin-resources.iam.gserviceaccount.com"
        ]
      }]
    }