Questo documento consiglia una sequenza di attività di audit logging per aiutare la tua organizzazione a mantenere la sicurezza e ridurre al minimo i rischi.
Questo documento non è un elenco esaustivo dei consigli. Il suo obiettivo è invece aiutarti a comprendere l'ambito delle attività di audit logging e a pianificarlo di conseguenza.
Ogni sezione fornisce azioni chiave e include link per ulteriori letture.
Informazioni su Cloud Audit Logs
Gli audit log sono disponibili per la maggior parte dei servizi Google Cloud. Cloud Audit Logs fornisce i seguenti tipi di audit log per ogni progetto, cartella e organizzazione Google Cloud:
| Tipo di audit log | Configurabile | Addebitabile |
|---|---|---|
| Audit log delle attività di amministrazione | No; sempre scritta | No |
| Audit log degli accessi ai dati | Sì | Sì |
| Audit log negati da criteri | Sì, puoi escludere questi log dalla scrittura nei bucket di log | Sì |
| Audit log degli eventi di sistema | No; sempre scritta | No |
Gli audit log di accesso ai dati, ad eccezione di BigQuery, sono disattivati per impostazione predefinita. Se vuoi che gli audit log di accesso ai dati vengano scritti per i servizi Google Cloud, devi abilitarli esplicitamente. Per maggiori dettagli, consulta Configurare gli audit log di accesso ai dati in questa pagina.
Per informazioni sul panorama generale per l'audit logging con Google Cloud, consulta la panoramica di Cloud Audit Logs.
Controllo dell'accesso ai log
Data la sensibilità dei dati di audit logging, è particolarmente importante configurare i controlli di accesso appropriati per gli utenti dell'organizzazione.
A seconda dei requisiti di conformità e di utilizzo, imposta questi controlli dell'accesso come segue:
- Impostare le autorizzazioni IAM.
- Configurare le viste log
- Impostare i controlli dell'accesso a livello di campo delle voci di voce di log.
Impostazione delle autorizzazioni IAM
Le autorizzazioni e i ruoli IAM determinano la possibilità degli utenti di accedere ai dati degli audit log nell'API Logging, in Esplora log e in Google Cloud CLI. Utilizza IAM per concedere un accesso granulare a bucket Google Cloud specifici e impedire l'accesso indesiderato ad altre risorse.
I ruoli basati su autorizzazioni che concedi agli utenti dipendono dalle loro funzioni correlate al controllo all'interno dell'organizzazione. Ad esempio, potresti concedere al CTO autorizzazioni amministrative ampie, mentre i membri del tuo team di sviluppatori potrebbero richiedere autorizzazioni per la visualizzazione dei log. Per indicazioni sui ruoli da concedere agli utenti della tua organizzazione, consulta Configurare i ruoli per l'audit logging.
Quando imposti le autorizzazioni IAM, applica il principio di sicurezza del privilegio minimo, in modo da concedere agli utenti solo l'accesso necessario alle tue risorse:
- Rimuovi tutti gli utenti non essenziali.
- Concedi agli utenti essenziali le autorizzazioni corrette e minime.
Per istruzioni sull'impostazione delle autorizzazioni IAM, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Configurazione delle visualizzazioni log
Tutti i log, inclusi gli audit log, ricevuti da Logging vengono scritti in container di archiviazione chiamati bucket di log. Le viste log consentono di controllare chi può accedere ai log all'interno dei bucket di log.
Poiché i bucket di log possono contenere log di più progetti Google Cloud, potrebbe essere necessario controllare da quali progetti Google Cloud utenti diversi possono visualizzare i log. Creare viste dei log personalizzate, per un controllo dell'accesso più granulare per i bucket.
Per istruzioni sulla creazione e sulla gestione delle viste dei log, consulta Configurare le viste dei log in un bucket di log.
Impostare i controlli dell'accesso a livello di campo di log
I controlli dell'accesso a livello di campo ti consentono di nascondere singoli campi LogEntry agli utenti di un progetto Google Cloud, offrendoti un modo più granulare per controllare i dati dei log a cui un utente può accedere. Rispetto alle visualizzazioni dei log, che nascondono l'intero LogEntry, i controlli di accesso a livello di campo nascondono singoli campi di LogEntry. Ad esempio, potresti voler oscurare le PII degli utenti esterni, ad esempio un indirizzo email contenuto nel payload voce di log, dalla maggior parte degli utenti della tua organizzazione.
Per istruzioni sulla configurazione dei controlli di accesso a livello di campo, consulta Configurare l'accesso a livello di campo.
Configurazione degli audit log di accesso ai dati
Quando abiliti i nuovi servizi Google Cloud, valuta se abilitare o meno gli audit log di accesso ai dati.
Gli audit log di accesso ai dati aiutano l'Assistenza Google a risolvere i problemi relativi al tuo account. Di conseguenza, consigliamo di abilitare gli audit log di accesso ai dati quando possibile.
Per attivare tutti gli audit log per tutti i servizi, segui le istruzioni per aggiornare il criterio IAM (Identity and Access Management) con la configurazione indicata nel criterio di controllo.
Dopo aver definito il criterio di accesso ai dati a livello di organizzazione e abilitato gli audit log di accesso ai dati, utilizza un progetto Google Cloud di prova per convalidare la configurazione della raccolta degli audit log prima di creare progetti Google Cloud di sviluppo e produzione nell'organizzazione.
Per istruzioni sull'abilitazione degli audit log di accesso ai dati, consulta Abilitazione degli audit log di accesso ai dati.
Controlla la modalità di archiviazione dei log
Puoi configurare diversi aspetti dei bucket della tua organizzazione e anche creare bucket definiti dall'utente per centralizzare o suddividere l'archiviazione dei log. A seconda dei requisiti di conformità e di utilizzo, è possibile personalizzare l'archiviazione dei log nel seguente modo:
- Scegli dove archiviare i log.
- Definisci il periodo di conservazione dei dati.
- Proteggi i tuoi log con chiavi di crittografia gestite dal cliente (CMEK).
Scegli dove archiviare i log
In Logging i bucket di Logging sono risorse di regione: l'infrastruttura che archivia, indicizza e cerca i log si trova in una località geografica specifica.
La tua organizzazione potrebbe dover archiviare i dati dei log in regioni specifiche. I fattori principali nella scelta della regione in cui sono archiviati i log includono il rispetto dei requisiti di latenza, disponibilità o conformità dell'organizzazione.
Per applicare automaticamente una determinata regione di archiviazione ai nuovi bucket _Default e _Required creati nella tua organizzazione, puoi configurare una località delle risorse predefinita.
Per istruzioni sulla configurazione delle località predefinite delle risorse, consulta Configurare le impostazioni predefinite per le organizzazioni.
Definire i periodi di conservazione dei dati
Cloud Logging conserva i log in base alle regole di conservazione che si applicano al tipo di bucket di log in cui sono conservati i log.
Per soddisfare le tue esigenze di conformità, configura Cloud Logging in modo da conservare i log per un periodo compreso tra 1 e 3650 giorni. Le regole di conservazione personalizzate si applicano a tutti i log in un bucket, indipendentemente dal tipo di log o dal fatto che il log sia stato copiato da un'altra località.
Per istruzioni su come impostare le regole di conservazione per un bucket di log, consulta Configurare la conservazione personalizzata.
Proteggi i tuoi log di controllo con chiavi di crittografia gestite dal cliente
Per impostazione predefinita, Cloud Logging cripta i contenuti dei clienti archiviati at-rest. La tua organizzazione potrebbe avere requisiti di crittografia avanzati non forniti dalla crittografia at-rest predefinita. Per soddisfare i requisiti della tua organizzazione, anziché Google gestire le chiavi di crittografia della chiave che proteggono i tuoi dati, configura le chiavi di crittografia gestite dal cliente (CMEK) per controllare e gestire la tua crittografia.
Per istruzioni sulla configurazione di CMEK, consulta Configurare una CMEK per l'archiviazione dei log.
Prezzi
Cloud Logging non prevede addebiti per instradare i log a una destinazione supportata, ma per la destinazione potrebbero essere applicati dei costi.
Ad eccezione del bucket di log _Required,
Cloud Logging addebita un costo per trasmettere i log nei bucket di log e
per un'archiviazione più lunga rispetto al periodo di conservazione predefinito del bucket di log.
Cloud Logging non addebita costi per la copia dei log o per le query eseguite tramite la pagina Esplora log o la pagina Analisi dei log.
Per ulteriori informazioni, consulta i seguenti documenti:
- Riepilogo dei prezzi di Cloud Logging
Costi destinazione:
- I costi di generazione dei log di flusso VPC vengono applicati quando invii e poi escludi i log di flusso Virtual Private Cloud da Cloud Logging.
Durante la configurazione e l'utilizzo degli audit log, consigliamo le seguenti best practice relative ai prezzi:
Stima le fatture visualizzando i dati sull'utilizzo e impostando avvisi.
Tieni presente che gli audit log di accesso ai dati possono essere di grandi dimensioni e che potresti incorrere in costi aggiuntivi per l'archiviazione.
Gestisci i costi escludendo i log di controllo che non sono utili. Ad esempio, puoi probabilmente escludere gli audit log di accesso ai dati nei progetti di sviluppo.
Esegui query e visualizza log di controllo
Se hai bisogno di risolvere dei problemi, è necessario poter esaminare rapidamente i log. Nella console Google Cloud, utilizza Esplora log per recuperare le voci degli audit log per la tua organizzazione:
-
Nel pannello di navigazione della console Google Cloud, seleziona Logging, quindi Esplora log:
Seleziona la tua organizzazione.
Nel riquadro Query, segui questi passaggi:
In Tipo di risorsa, seleziona la risorsa Google Cloud di cui vuoi visualizzare gli audit log.
In Nome log, seleziona il tipo di log di controllo che vuoi visualizzare:
- Per gli audit log di controllo delle attività di amministrazione, seleziona attività.
- Per gli audit log di accesso ai dati, seleziona data_access.
- Per gli audit log degli eventi di sistema, seleziona system_event.
- Per i log di controllo dei criteri negati, seleziona criterio.
Se non vedi queste opzioni, nell'organizzazione non sono disponibili audit log di quel tipo.
Nell'editor query, specifica ulteriormente le voci di audit log che vuoi visualizzare. Per esempi di query comuni, consulta Esempi di query utilizzando Esplora log.
Fai clic su Esegui query.
Per maggiori informazioni sull'esecuzione di query utilizzando Esplora log, consulta Creare query in Esplora log.
Monitora gli audit log
Puoi utilizzare Cloud Monitoring per ricevere una notifica quando si verificano le condizioni descritte. Per fornire a Cloud Monitoring i dati dei tuoi log, Logging offre avvisi basati su log, che ti avvisano ogni volta che viene visualizzato un evento specifico in un log.
Configura avvisi per distinguere gli eventi che richiedono un'indagine immediata da quelli a bassa priorità. Ad esempio, se vuoi sapere quando un audit log registra un determinato messaggio di accesso ai dati, puoi creare un avviso basato su log che corrisponda al messaggio e ti invii una notifica quando viene visualizzato.
Per istruzioni sulla configurazione degli avvisi basati su log, consulta Gestione degli avvisi basati su log.
Esegui il routing dei log verso destinazioni supportate
La tua organizzazione potrebbe essere soggetta a requisiti per la creazione e la conservazione degli audit log. Utilizzando i sink, puoi eseguire il routing di alcuni o di tutti i log a queste destinazioni supportate:
- Cloud Storage
- Pub/Sub, incluse terze parti come Splunk
- BigQuery
- Un altro bucket Cloud Logging
Stabilisci se sono necessari sink a livello di cartella o organizzazione e esegui il routing dei log di tutti i progetti Google Cloud all'interno dell'organizzazione o della cartella utilizzando i sink aggregati. Ad esempio, potresti prendere in considerazione i seguenti casi d'uso relativi al routing:
Sink a livello di organizzazione: se la tua organizzazione utilizza un SIEM per gestire più audit log, può essere opportuno instradare tutti gli audit log della tua organizzazione. Pertanto, è appropriato un sink a livello di organizzazione.
Sink a livello di cartella: a volte potresti voler instradare solo gli audit log a livello di reparto. Ad esempio, se hai una cartella "Finanza" e una cartella "IT", potresti trovare valore solo nel routing degli audit log appartenenti alla cartella "Finanza" o viceversa.
Per saperne di più su cartelle e organizzazioni, consulta Gerarchia delle risorse.
Applica alla destinazione Google Cloud gli stessi criteri di accesso che utilizzi per il routing dei log applicati a Esplora log.
Per istruzioni sulla creazione e sulla gestione dei sink aggregati, consulta Collate e instrada i log a livello di organizzazione verso destinazioni supportate.
Informazioni sul formato dei dati nelle destinazioni dei sink
Quando instrada gli audit log a destinazioni esterne a Cloud Logging, comprendi il formato dei dati inviati.
Ad esempio, se si esegue il routing dei log a BigQuery, Cloud Logging applica regole per abbreviare i nomi dei campi dello schema BigQuery per gli audit log e per determinati campi di payload strutturati.
Per comprendere e trovare le voci di log instradate da Cloud Logging alle destinazioni supportate, consulta Visualizzare i log nelle destinazioni dei sink.
Copia delle voci di log
A seconda delle esigenze di conformità della tua organizzazione, potrebbe essere necessario condividere le voci dei log di controllo con revisori esterni a Logging. Se hai bisogno di condividere voci di log già archiviate nei bucket Cloud Logging, puoi copiarle manualmente nei bucket Cloud Storage.
Quando copi le voci di log in Cloud Storage, queste rimangono anche nel bucket di log da cui sono state copiate.
Tieni presente che le operazioni di copia non sostituiscono i sink, che inviano automaticamente tutte le voci di log in entrata a una destinazione di archiviazione supportata preselezionata, tra cui Cloud Storage.
Per istruzioni sul routing retroattivo dei log a Cloud Storage, consulta Copiare le voci di log.