Bonnes pratiques pour les journaux d'audit Cloud

Ce document recommande une séquence de tâches de journalisation d'audit pour vous aider l'organisation à maintenir la sécurité et à minimiser les risques.

Ce document n'est pas une liste exhaustive de recommandations. Son objectif est plutôt pour vous aider à comprendre le champ d'application des activités de journalisation d'audit et à planifier en conséquence.

Chaque section fournit des actions clés et inclut des liens vers une documentation complémentaire.

Comprendre Cloud Audit Logs

Les journaux d'audit sont disponibles pour la plupart des services Google Cloud. Cloud Audit Logs fournit les types de journaux d'audit suivants pour chaque Projet, dossier et organisation Google Cloud:

Type de journal d'audit Configurable À facturer
Journaux d'audit pour les activités d'administration Non, toujours écrit Non
Journaux d'audit pour l'accès aux données Oui Oui
Journaux d'audit des refus de règles Oui. vous pouvez empêcher l'écriture de ces journaux dans des buckets de journaux Oui
Journaux d'audit d'événements système Non, toujours écrit Non

Les journaux d'audit pour l'accès aux données sont désactivés par défaut (sauf dans BigQuery). Si vous souhaitez que les journaux d'audit des accès aux données soient écrits pour Google Cloud vous devez les activer explicitement. pour en savoir plus, consultez Configurez les journaux d'audit des accès aux données sur cette .

Pour en savoir plus sur l'environnement global des journaux d'audit avec Google Cloud, consultez la présentation de Cloud Audit Logs.

Contrôler l'accès aux journaux

En raison de la sensibilité des données de journalisation d'audit, il est particulièrement important de configurer les contrôles d'accès appropriés pour les utilisateurs de votre organisation.

Selon vos exigences de conformité et d'utilisation, définissez ces contrôles d'accès comme suit:

Définir les autorisations IAM

les autorisations IAM Les rôles déterminent la possibilité d'accéder aux journaux d'audit dans l'API Logging, l'explorateur de journaux et l'outil Google Cloud CLI. Utilisez Cloud IAM pour accorder un accès précis Google Cloud et empêchent tout accès indésirable aux autres ressources.

Les rôles basés sur des autorisations que vous attribuez à vos utilisateurs dépendent liées à l'audit au sein de votre organisation. Par exemple, vous pouvez accordent des autorisations administratives générales à votre directeur de la technologie, tandis que votre équipe de développeurs peuvent avoir besoin d'autorisations pour consulter les journaux. Pour savoir quels rôles accorder aux utilisateurs de votre organisation, consultez Configurer des rôles pour les journaux d'audit

Lorsque vous définissez des autorisations IAM, appliquez le principe de sécurité du principe du moindre privilège afin de n'accorder aux utilisateurs que l'accès nécessaire à vos ressources:

  • Supprimez tous les utilisateurs non essentiels.
  • Accordez aux utilisateurs essentiels les autorisations correctes et minimales.

Pour obtenir des instructions sur la définition des autorisations IAM, consultez Gérer l'accès aux projets, aux dossiers et aux organisations

Configurer les vues de journaux

Tous les journaux, y compris les journaux d'audit, reçus par Logging sont écrits dans des conteneurs de stockage appelés buckets de journaux. Les vues de journaux vous permettent de contrôler qui a l'accès aux journaux dans vos buckets de journaux.

Étant donné que les buckets de journaux peuvent contenir des journaux provenant de plusieurs projets Google Cloud, vous devrez peut-être contrôler les projets Google Cloud que les différents utilisateurs peuvent afficher les journaux. Créez des vues de journaux personnalisées afin de bénéficier d'un contrôle d'accès plus précis pour ces buckets.

Pour savoir comment créer et gérer des vues de journaux, consultez Configurez des vues de journaux sur un bucket de journaux.

Définir les contrôles d'accès au niveau des champs de journal

Les contrôles d'accès au niveau du champ vous permettent de masquer des champs LogEntry individuels pour les utilisateurs d'un projet Google Cloud, ce qui vous offre un moyen plus précis de contrôler les journaux données auxquelles un utilisateur peut accéder. Par rapport aux vues de journaux, qui masquent les l'intégralité du LogEntry, les contrôles d'accès au niveau du champ masquent les champs individuels du LogEntry Par exemple, vous pouvez masquer les informations personnelles des utilisateurs externes, telles qu'une adresse e-mail contenue dans la charge utile de l'entrée de journal, pour la majorité des utilisateurs de votre organisation.

Pour obtenir des instructions sur la configuration des contrôles d'accès au niveau du champ, consultez Configurez l'accès au niveau du champ.

Configurer les journaux d'audit pour l'accès aux données

Lorsque vous activez de nouveaux services Google Cloud, déterminez s'il le faut ou non Journaux d'audit des accès aux données

Les journaux d'audit pour l'accès aux données aident l'assistance Google à résoudre les problèmes liés à votre compte. Par conséquent, nous vous recommandons d'activer les journaux d'audit des accès aux données dans la mesure du possible.

Pour activer tous les journaux d'audit pour l'ensemble des services, suivez les Instructions pour mettre à jour la stratégie Identity and Access Management (IAM) avec la configuration indiquée dans le règle d'audit.

Après avoir défini votre stratégie d'accès aux données au niveau de l'organisation et activé les journaux d'audit pour l'accès aux données, utilisez un projet Google Cloud de test pour valider la configuration de votre collecte de journaux d'audit avant de créer des projets Google Cloud de développement et de production dans l'organisation.

Pour savoir comment activer les journaux d'audit des accès aux données, consultez Activez les journaux d'audit des accès aux données.

Contrôlez le stockage de vos journaux

Vous pouvez configurer certains aspects des buckets de votre organisation et créer des buckets définis par l'utilisateur pour centraliser ou subdiviser le stockage de journaux. En fonction de vos exigences en termes de conformité et d'utilisation, vous pouvez personnaliser vos journaux comme suit:

  • Choisissez l'emplacement de stockage de vos journaux.
  • Définissez la durée de conservation des données.
  • Protégez vos journaux à l'aide de clés de chiffrement gérées par le client (CMEK).

Choisissez l'emplacement de stockage de vos journaux

Dans les buckets Logging, il s'agit de ressources régionales : qui stocke, indexe et effectue des recherches dans vos journaux se trouve dans un emplacement de leur emplacement géographique.

Votre organisation peut être amenée à stocker ses données de journaux dans des régions spécifiques. Les principaux facteurs qui déterminent la région dans laquelle vos journaux sont stockés consistent, entre autres, à répondre aux exigences de latence, de disponibilité ou de conformité de votre organisation.

Pour appliquer automatiquement une région de stockage particulière _Default et _Required buckets créés dans votre organisation, vous pouvez configurer un emplacement de ressource par défaut.

Pour obtenir des instructions sur la configuration des emplacements de ressources par défaut, consultez Configurez les paramètres par défaut pour les organisations.

Définir des durées de conservation des données

Cloud Logging conserve les journaux conformément aux règles de conservation appliquées au type de bucket de journaux où ils sont conservés.

Pour répondre à vos besoins de conformité, configurez Cloud Logging de façon à conserver les journaux entre 1 jour et 3 650 jours. Les règles de conservation personnalisées s'appliquent à tous les journaux d'un bucket, qu'ils aient été copiés depuis un autre emplacement ou non.

Pour savoir comment définir des règles de conservation pour un bucket de journaux, consultez Configurer des règles de conservation personnalisées

Protéger vos journaux d'audit à l'aide de clés de chiffrement gérées par le client

Par défaut, Cloud Logging chiffre le contenu client stocké au repos. Votre d'organisation peut avoir des exigences de chiffrement avancées que le chiffrement au repos ne fournit pas. Pour répondre aux exigences de votre organisation, au lieu de laisser Google gérer les clés de chiffrement de clé qui protègent vos données, configurer des clés de chiffrement gérées par le client (CMEK) pour contrôler et gérer le chiffrement.

Pour obtenir des instructions sur la configuration des CMEK, consultez Configurez une clé CMEK pour le stockage des journaux.

Tarifs

Cloud Logging ne facture pas l'acheminement des journaux vers destination prise en charge ; Toutefois, des frais peuvent s'appliquer à la destination. À l'exception du bucket de journaux _Required, Cloud Logging facture le streaming de journaux dans des buckets de journaux et le stockage pendant une durée supérieure à la période de conservation par défaut du bucket de journaux.

Cloud Logging ne facture pas la copie des journaux, permettant de définir des champs d'application de journaux. ou pour les requêtes émises via Explorateur de journaux ou Analyse de journaux.

Pour en savoir plus, consultez les documents suivants :

Lorsque vous configurez et utilisez vos journaux d'audit, nous vous recommandons de suivre ces recommandations : bonnes pratiques en matière de tarification:

  • Estimer vos factures en consultant vos données d'utilisation et en configurant des règles d'alerte.

  • Sachez que les journaux d'audit des accès aux données peuvent être volumineux et que vous pouvez entraîner des coûts de stockage supplémentaires.

  • Gérez vos coûts en excluant les journaux d'audit qui ne sont pas utiles. Par exemple, vous pouvez probablement exclure les journaux d'audit des accès aux données projets de développement.

Interroger et afficher des journaux d'audit

En cas de problème, vous devez pouvoir consulter rapidement les journaux. Dans la console Google Cloud, utilisez l'explorateur de journaux pour récupérer les entrées du journal d'audit de votre organisation:

  1. Dans la console Google Cloud, accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

  2. Sélectionnez votre organisation.

  3. Dans le volet Requête, procédez comme suit:

    • Dans Type de ressource, sélectionnez la ressource Google Cloud dont vous souhaitez afficher les journaux d'audit.

    • Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :

      • Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.
      • Pour les journaux d'audit des accès aux données, sélectionnez data_access.
      • Pour les journaux d'audit des événements système, sélectionnez system_event.
      • Pour les journaux d'audit des refus de règles, sélectionnez policy.

      Si ces options ne s'affichent pas, cela signifie qu'aucun journal d'audit n'existe. est disponible dans l'organisation.

    • Dans l'éditeur de requête, spécifiez les entrées de journal d'audit que vous souhaitez pour en savoir plus. Pour obtenir des exemples de requêtes courantes, consultez Exemples de requêtes avec l'explorateur de journaux

  4. Cliquez sur Exécuter la requête.

Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez la page Créer des requêtes dans l'explorateur de journaux.

Surveiller vos journaux d'audit

Vous pouvez utiliser Cloud Monitoring pour vous avertir lorsque les conditions que vous décrivez apparaissent. Pour fournir à Cloud Monitoring les données de vos journaux, Logging vous permet de créer des règles d'alerte basées sur les journaux, qui vous avertissent chaque fois qu'un événement spécifique apparaît dans un journal.

Configurez des règles d'alerte pour distinguer les événements qui nécessitent une intervention l'investigation par rapport aux événements à faible priorité. Par exemple, si vous souhaitez savoir quand un journal d'audit enregistre un message d'accès aux données particulier, vous pouvez créer une règle d'alerte basée sur les journaux qui correspond au message et vous avertit lorsqu'il apparaît.

Pour obtenir des instructions sur la configuration des règles d'alerte basées sur les journaux, consultez Gérer les règles d'alerte basées sur les journaux

Acheminer les journaux vers les destinations compatibles

Votre organisation peut être soumise à des exigences pour créer et conserver un audit journaux. À l'aide de récepteurs, vous pouvez router une partie tous vos journaux vers les destinations compatibles suivantes:

Déterminez si vous avez besoin de récepteurs au niveau du dossier ou de l'organisation, puis acheminez les journaux de tous les projets Google Cloud de l'organisation ou du dossier à l'aide de récepteurs agrégés. Par exemple, vous pouvez envisager les cas d'utilisation de routage suivants :

  • Récepteur au niveau de l'organisation: si votre organisation utilise un outil SIEM pour gérer plusieurs journaux d'audit, vous pouvez router tous les journaux d'audit les journaux d'audit. Ainsi, un récepteur au niveau de l'organisation est judicieux.

  • Récepteur au niveau du dossier: il peut arriver que vous souhaitiez uniquement router les journaux d'audit. Par exemple, si vous avez une adresse dossier et un « IT » vous pouvez opter pour le routage des journaux d'audit uniquement appartenant au groupe "Finance" d'un dossier, ou l'inverse.

    Pour en savoir plus sur les dossiers et les organisations, consultez Hiérarchie des ressources.

Appliquez à la destination Google Cloud les mêmes stratégies d'accès que celles que vous avez pour acheminer les journaux comme vous l'avez appliqué à l'explorateur de journaux.

Pour savoir comment créer et gérer des récepteurs agrégés, consultez la section Générer et acheminer des journaux au niveau de l'organisation vers des destinations compatibles.

Comprendre le format des données dans les destinations des récepteurs

Lorsque vous acheminez des journaux d'audit vers des destinations extérieures à Cloud Logging, comprendre le format des données qui ont été envoyées.

Par exemple, si les journaux sont acheminés vers BigQuery, applique des règles pour raccourcir les noms de champs des schémas BigQuery journaux d'audit et, pour certaines des champs de charge utile structurée.

Pour comprendre et trouver les entrées de journal à partir desquelles vous avez acheminé Cloud Logging vers les destinations compatibles, consultez Affichez les journaux dans les destinations de récepteurs.

Copier les entrées de journal

En fonction des besoins de conformité de votre organisation, vous devrez peut-être partager les entrées de journaux d'audit avec des auditeurs extérieurs à Logging. Si vous avez besoin pour partager les entrées de journal déjà stockées dans des buckets Cloud Logging, vous pouvez les copier manuellement dans des buckets Cloud Storage.

Après avoir copié des entrées de journal dans Cloud Storage, les entrées de journal restent stockées dans le bucket à partir duquel elles ont été copiées.

Notez que les opérations de copie ne remplacent pas qui envoient automatiquement toutes les entrées de journal entrantes vers destination de stockage compatible, y compris Cloud Storage.

Pour savoir comment acheminer les journaux vers Cloud Storage rétroactivement, consultez la section Copier des entrées de journal.