Cloud Audit Logs 的最佳做法

本文档推荐了一系列审核日志记录任务,以帮助您的组织维护安全性并最大限度地降低风险。

本文档并未详尽列出所有建议。它的目标是帮助您了解审核日志记录活动的范围并相应地进行规划。

各部分均介绍了关键操作,并包含一些深入内容的链接。

了解 Cloud Audit Logs

大多数 Google Cloud 服务都提供审核日志。Cloud Audit Logs 为每个 Google Cloud 项目、文件夹和组织提供以下类型的审核日志:

审核日志类型 可配置 应收款
管理员活动审核日志 否;一律写入
数据访问审核日志
政策拒绝审核日志 是;您可以阻止这些日志被写入日志存储分区
系统事件审核日志 否;一律写入

数据访问审核日志(BigQuery 除外)默认处于停用状态。如果您希望为 Google Cloud 服务写入数据访问审核日志,则必须明确启用它们;如需了解详情,请参阅本页面中的配置数据访问审核日志

如需了解 Google Cloud 审核日志记录的总体情况,请参阅 Cloud Audit Logs 概览

控制对日志的访问权限

由于审核日志记录数据的敏感性,为组织的用户配置适当的访问权限控制尤为重要。

根据您的合规性和使用要求,按如下方式设置这些访问权限控制:

设置 IAM 权限

IAM 权限角色决定了用户能否访问 Logging APILogs ExplorerGoogle Cloud CLI 中的审核日志数据。使用 IAM 授予对特定 Google Cloud 存储分区的精细访问权限,并防止对其他资源进行不必要的访问。

您向用户授予的基于权限的角色取决于贵组织中与审核相关的职能。例如,您可以向 CTO 授予广泛的管理权限,而您的开发者团队成员可能需要日志查看权限。如需有关向组织用户授予哪些角色的指导,请参阅配置审核日志记录角色

设置 IAM 权限时,请应用最小权限安全原则,以便仅向用户授予对您的资源的必要访问权限:

  • 移除所有非必要用户。
  • 向必需用户授予正确且最小的权限。

如需了解如何设置 IAM 权限,请参阅管理对项目、文件夹和组织的访问权限

配置日志视图

Logging 收到的所有日志(包括审核日志)都会写入称为日志存储分区的存储容器中。通过日志视图,您可以控制谁有权访问日志存储分区中的日志。

由于日志存储分区可以包含来自多个 Google Cloud 项目的日志,因此您可能需要控制不同用户可以从哪些 Google Cloud 项目中查看日志。创建自定义日志视图,从而针对这些存储分区提供更精细的访问权限控制。

如需了解如何创建和管理日志视图,请参阅在日志存储桶上配置日志视图

设置日志字段级访问权限控制

通过字段级访问权限控制,您可以对 Google Cloud 项目的用户隐藏个别 LogEntry 字段,从而以更精细的方式控制用户可以访问的日志数据。与隐藏整个 LogEntry日志视图相比,字段级访问权限控制会隐藏 LogEntry 的各个字段。例如,您可能希望隐去组织的大多数用户的外部用户 PII,例如日志条目载荷中包含的电子邮件地址。

如需了解如何配置字段级访问权限控制,请参阅配置字段级访问权限

配置数据访问审核日志

启用新的 Google Cloud 服务时,请评估是否启用数据访问审核日志

数据访问审核日志可帮助 Google 支持团队排查您的账号问题。因此,我们建议您尽可能启用数据访问审核日志。

如需为所有服务启用所有审核日志,请按照说明使用审核政策中列出的配置更新 Identity and Access Management (IAM) 政策

定义组织级数据访问政策并启用数据访问审核日志后,请使用测试 Google Cloud 项目来验证审核日志收集的配置,然后再在组织中创建开发者和生产 Google Cloud 项目。

如需了解如何启用数据访问审核日志,请参阅启用数据访问审核日志

控制日志的存储方式

您可以配置组织存储分区的各个方面,并创建用户定义的存储分区,以集中管理或细分日志存储。根据您的合规性和使用要求,您可能需要按如下方式自定义日志存储:

  • 选择日志的存储位置。
  • 定义数据保留期限。
  • 使用客户管理的加密密钥 (CMEK) 保护日志。

选择日志的存储位置

在 Logging 存储分区中,是区域级资源:存储日志、将日志编入索引和搜索日志的基础架构位于特定地理位置。

您的组织可能需要将其日志数据存储在特定区域中。选择存储日志的区域时主要考虑的因素包括是否满足组织的延迟时间、可用性或合规性要求。

如需将特定存储区域自动应用于组织中创建的新 _Default_Required 存储分区,您可以配置默认资源位置。

如需了解如何配置默认资源位置,请参阅为组织配置默认设置

定义数据保留期限

Cloud Logging 根据适用于保留日志的日志存储桶类型的保留规则保留日志。

为满足合规性需求,请将 Cloud Logging 配置为将日志保留 1 到 3650 天。自定义保留规则适用于存储桶中的所有日志,无论日志类型如何或日志是否从其他位置复制过。

如需了解如何为日志存储桶设置保留规则,请参阅配置自定义保留

使用客户管理的加密密钥保护审核日志

默认情况下,Cloud Logging 会对静态存储的客户内容进行加密。您的组织可能具有默认静态加密未提供的高级加密要求。为了满足贵组织的要求,您应该配置客户管理的加密密钥 (CMEK) 来控制和管理您自己的加密,而不是由 Google 管理用于保护您的数据的密钥加密密钥。

如需了解如何配置 CMEK,请参阅为日志存储配置 CMEK

价格

在将日志路由到受支持的目标位置时,Cloud Logging 不会产生费用;但是,目标位置可能会产生费用。除 _Required 日志存储桶外,Cloud Logging 会针对将日志流式传输到日志存储桶,以及对超出日志存储桶默认保留期限的存储收费。

Cloud Logging 不对日志复制或通过 Logs Explorer 页面或 Log Analytics 页面发出的查询收费。

有关详情,请参阅以下文档:

在配置和使用审核日志时,我们建议您采用以下与价格相关的最佳实践:

  • 通过查看用量数据和设置提醒来估算帐单

  • 请注意,数据访问审核日志可能很大,并且可能会产生额外的存储费用。

  • 通过排除无用的审核日志来管理费用。例如,您可以在开发项目中排除数据访问审核日志。

查询和查看审核日志

如果需要进行问题排查,则必须能够快速查看日志。在 Google Cloud 控制台中,使用 Logs Explorer 检索组织的审核日志条目:

  1. 在 Google Cloud 控制台的导航面板中,选择 Logging,然后选择 Logs Explorer

    前往 Logs Explorer

  2. 选择您的组织。

  3. Query 窗格中,执行以下操作:

    • 资源类型中,选择要查看其审核日志的 Google Cloud 资源。

    • 日志名称中,选择要查看的审核日志类型:

      • 对于管理员活动审核日志,选择 activity
      • 对于数据访问审核日志,选择 data_access
      • 对于系统事件审核日志,选择 system_event
      • 对于政策拒绝审核日志,选择 policy

      如果您没有看到这些选项,则表示组织中没有该类型的审核日志。

    • 在查询编辑器中,进一步指定要查看的审核日志条目。如需查看常见查询的示例,请参阅使用日志浏览器的查询示例

  4. 点击运行查询

如需详细了解如何使用日志浏览器进行查询,请参阅在日志浏览器中构建查询

监控审核日志

您可以使用 Cloud Monitoring 在发生您所描述的情况时通知您。为了向 Cloud Monitoring 提供日志中的数据,Logging 提供了基于日志的提醒,每当日志中出现特定事件时,都会通知您。

配置提醒以区分需要立即调查的事件与低优先级事件。例如,如果您想知道审核日志何时记录了特定的数据访问消息,您可以创建基于日志的提醒,该提醒与该消息匹配,并在该消息出现时通知您。

如需了解如何配置基于日志的提醒,请参阅管理基于日志的提醒

将日志路由到支持的目的地

您的组织可能需要创建和保留审核日志。使用接收器,您可以将部分或全部日志路由到以下受支持的目标位置:

确定您需要文件夹级接收器还是组织级接收器,并使用汇总接收器路由来自组织或文件夹内的所有 Google Cloud 项目的日志。例如,您可以考虑以下路由用例:

  • 组织级接收器:如果您的组织使用 SIEM 管理多个审核日志,您可能需要路由组织的所有审核日志。因此,组织级接收器是合理的。

  • 文件夹级接收器:有时,您可能只想路由部门审核日志。例如,如果您有一个“Finance”文件夹和一个“IT”文件夹,您可能会发现仅路由属于“Finance”文件夹的审核日志的价值,反之亦然。

    如需详细了解文件夹和组织,请参阅资源层次结构

将应用于日志浏览器时用于路由日志的相同访问权限政策应用于 Google Cloud 目标位置。

如需了解如何创建和管理汇总接收器,请参阅整理组织级日志并将其路由到支持的目标位置

了解接收器目标位置中的数据格式

将审核日志路由到 Cloud Logging 之外的目标位置时,请了解已发送数据的格式。

例如,如果将日志路由到 BigQuery,则 Cloud Logging 会应用规则来缩短审核日志和某些结构化载荷字段的 BigQuery 架构字段名称。

如需了解和查找从 Cloud Logging 路由到支持的目标位置的日志条目,请参阅查看接收器目标位置中的日志

复制日志条目

根据贵组织的合规性需求,您可能需要与 Logging 之外的审核人员共享审核日志条目。如果您需要共享已存储在 Cloud Logging 存储分区中的日志条目,可以手动将它们复制到 Cloud Storage 存储分区。

将日志条目复制到 Cloud Storage 时,日志条目也会保留在复制它们的日志存储桶中。

请注意,复制操作不会替换接收器,后者会自动将所有传入日志条目发送到预先选定的受支持存储目标位置(包括 Cloud Storage)。

如需了解如何追溯将日志路由到 Cloud Storage,请参阅复制日志条目