Questo documento consiglia una sequenza di attività di audit logging per aiutarti a: a mantenere la sicurezza e a ridurre al minimo i rischi.
Questo documento non è un elenco esaustivo delle raccomandazioni. L'obiettivo è invece per aiutarti a comprendere l'ambito delle attività e dei piani di audit logging di conseguenza.
Ogni sezione fornisce azioni chiave e include link per ulteriori approfondimenti.
Informazioni su Cloud Audit Logs
Gli audit log sono disponibili per la maggior parte dei servizi Google Cloud. Cloud Audit Logs fornisce i seguenti tipi di audit log per ogni progetto, cartella e organizzazione Google Cloud:
| Tipo di log di controllo | Configurabile | Addebitabile |
|---|---|---|
| Audit log delle attività di amministrazione | No; sempre scritto | No |
| Audit log degli accessi ai dati | Sì | Sì |
| Audit log negati da criteri | Sì, puoi escludere la scrittura di questi log nei bucket di log | Sì |
| Audit log degli eventi di sistema | No; sempre in formato scritto | No |
Gli audit log per l'accesso ai dati, tranne quelli di BigQuery, sono disabilitati per impostazione predefinita. Se vuoi che gli audit log di accesso ai dati vengano scritti per Google Cloud , devi abilitarli esplicitamente; per maggiori dettagli, vedi Configura gli audit log di accesso ai dati su questo .
Per informazioni sul panorama generale dell'audit logging con Google Cloud, consulta la panoramica di Cloud Audit Logs.
Controllo dell'accesso ai log
Data la sensibilità dei dati di audit logging, è particolarmente importante configurare i controlli di accesso appropriati per gli utenti della tua organizzazione.
A seconda dei requisiti di conformità e di utilizzo, imposta questi controlli dell'accesso come segue:
- Imposta le autorizzazioni IAM
- Configura le visualizzazioni dei log.
- Impostare i controlli dell'accesso a livello di campo per le voci di log
Impostazione delle autorizzazioni IAM
Le autorizzazioni e i ruoli IAM determinano la capacità degli utenti di accedere ai dati degli audit log nell'API Logging, in Esplora log e nell'interfaccia a riga di comando Google Cloud. Utilizza le funzionalità di IAM per concedere l'accesso granulare a nei bucket Google Cloud e impedire l'accesso indesiderato ad altre risorse.
I ruoli basati sulle autorizzazioni che concedi agli utenti dipendono dalle loro funzioni correlate all'audit all'interno della tua organizzazione. Ad esempio, concedere al CTO ampie autorizzazioni amministrative, mentre il team di sviluppatori potrebbero richiedere autorizzazioni per la visualizzazione dei log. Per indicazioni sui ruoli da concedere agli utenti della tua organizzazione, consulta la sezione sulla configurazione dei ruoli per i log di controllo.
Quando imposti le autorizzazioni IAM, applica il principio di sicurezza del privilegio minimo, in modo da concedere agli utenti solo l'accesso necessario alle tue risorse:
- Rimuovi tutti gli utenti non essenziali.
- Concedi agli utenti essenziali le autorizzazioni corrette e minime.
Per istruzioni su come impostare le autorizzazioni IAM, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Configurazione delle visualizzazioni log
Tutti i log, inclusi gli audit log, ricevuti da Logging vengono scritti in container di archiviazione chiamati bucket di log. Le visualizzazioni dei log ti consentono di controllare chi: ai log all'interno dei bucket di log.
Poiché i bucket di log possono contenere log di più progetti Google Cloud, potresti dover controllare da quali progetti Google Cloud i diversi utenti possono visualizzare i log. Crea visualizzazioni dei log personalizzate, che ti offrono un controllo dell'accesso più granulare per questi bucket.
Per istruzioni su come creare e gestire le visualizzazioni log, consulta Configurare le visualizzazioni log in un bucket dei log.
Impostare i controlli di accesso a livello di campo dei log
I controlli dell'accesso a livello di campo ti consentono di nascondere agli utenti singoli campi LogEntry
di un progetto Google Cloud, in modo da avere
un modo più granulare per controllare i log.
ai dati a cui l'utente può accedere. Rispetto alle visualizzazioni dei log, che nascondono le
l'intero LogEntry, controlli di accesso a livello di campo nasconde i singoli campi dell'
LogEntry. Ad esempio, potresti voler oscurare le PII degli utenti esterni, ad esempio un indirizzo email contenuto nel payload della voce di log, per la maggior parte degli utenti della tua organizzazione.
Per istruzioni sulla configurazione dei controlli degli accessi a livello di campo, consulta Configurare l'accesso a livello di campo.
Configurazione degli audit log di accesso ai dati
Quando attivi nuovi servizi Google Cloud, valuta se attivare o meno gli audit log di accesso ai dati.
Gli audit log degli accessi ai dati aiutano l'Assistenza Google a risolvere i problemi relativi al tuo account. Pertanto, ti consigliamo di attivare gli audit log di accesso ai dati, se possibile.
Per abilitare tutti gli audit log per tutti i servizi, segui le istruzioni per aggiornare il criterio Identity and Access Management (IAM) con la configurazione indicata nel norme di controllo.
Dopo aver definito il criterio di accesso ai dati a livello di organizzazione e aver attivato gli audit log di accesso ai dati, utilizza un progetto Google Cloud di test per convalidare la configurazione della raccolta di audit log prima di creare progetti Google Cloud di sviluppo e di produzione nell'organizzazione.
Per istruzioni su come abilitare gli audit log di accesso ai dati, consulta Abilitare gli audit log di accesso ai dati.
Controlla le modalità di archiviazione dei log
Puoi configurare alcuni aspetti dei bucket della tua organizzazione e anche creare bucket definiti dall'utente per centralizzare o suddividere l'archiviazione dei log. In base a requisiti di conformità e utilizzo, può essere utile personalizzare i log spazio di archiviazione come segue:
- Scegli dove archiviare i log.
- Definisci il periodo di conservazione dei dati.
- Proteggi i log con le chiavi di crittografia gestite dal cliente (CMEK).
Scegli dove archiviare i log
Nei bucket di Logging sono risorse a livello di regione, ovvero l'infrastruttura che archivia, indicizza e cerca i log in una sessione posizione geografica.
Alla tua organizzazione potrebbe essere richiesto di archiviare i dati dei log in regioni specifiche. I fattori principali nella selezione della regione in cui sono archiviati i log includono: soddisfare i requisiti di latenza, disponibilità o conformità della tua organizzazione.
ad applicare automaticamente una determinata regione di archiviazione alla nuova
_Default e _Required bucket creati nella tua organizzazione, puoi
e configurare una località delle risorse predefinita.
Per istruzioni sulla configurazione delle località delle risorse predefinite, consulta Configura le impostazioni predefinite per le organizzazioni.
Definire i periodi di conservazione dei dati
Cloud Logging conserva i log in base alle regole di conservazione applicabili al log. un tipo di bucket in cui sono conservati i log.
Per soddisfare le tue esigenze di conformità, configura Cloud Logging in modo che conservi i log per un periodo compreso tra 1 giorno e 3650 giorni. Le regole di conservazione personalizzate si applicano a tutti log in un bucket, indipendentemente dal tipo di log o dal fatto che il log sia stato copiato da un'altra posizione.
Per istruzioni sull'impostazione di regole di conservazione per un bucket di log, consulta Configura la conservazione personalizzata.
Proteggere i log di controllo con chiavi di crittografia gestite dal cliente
Per impostazione predefinita, Cloud Logging cripta i contenuti archiviati inattivi dei clienti. Il tuo un'organizzazione potrebbe avere requisiti di crittografia avanzati che la crittografia at-rest non fornisce. Per soddisfare i requisiti della tua organizzazione: invece che Google gestisca le chiavi di crittografia della chiave che proteggono i tuoi dati, configurare le chiavi di crittografia gestite dal cliente (CMEK) per controllare e gestire le tue la crittografia.
Per le istruzioni sulla configurazione di CMEK, consulta Configurare CMEK per lo spazio di archiviazione dei log.
Prezzi
Cloud Logging non addebita alcun costo per il routing dei log a un
destinazione supportata; ma la destinazione potrebbe applicare dei costi.
Ad eccezione del bucket di log _Required,
Cloud Logging addebita lo streaming dei log nei bucket di log e
per l'archiviazione per un periodo di tempo superiore al periodo di conservazione predefinito del bucket di log.
Cloud Logging non addebita alcun costo per la copia dei log, per la definizione degli ambiti dei log o per le query inviate tramite le pagine Esplora log o Analisi dei log.
Per ulteriori informazioni, consulta i seguenti documenti:
- Riepilogo dei prezzi di Cloud Logging
Costi di destinazione:
- I costi di generazione dei log di flusso VPC si applicano quando invii e poi escludi i log di flusso Virtual Private Cloud da Cloud Logging.
Durante la configurazione e l'utilizzo degli audit log, ti consigliamo quanto segue best practice relative ai prezzi:
Stima le tue fatture visualizzando i dati sull'utilizzo e configurando i criteri di avviso.
Tieni presente che gli audit log di accesso ai dati possono essere di grandi dimensioni e che potresti dover pagare costi aggiuntivi per l'archiviazione.
Gestisci i costi escludendo i log di controllo che non sono utili. Ad esempio, probabilmente puoi escludere gli audit log di accesso ai dati nei progetti di sviluppo.
Esegui query sui log di controllo e visualizzali
Se devi risolvere un problema, è necessario poter esaminare rapidamente i log. Nella console Google Cloud, utilizza Esplora log per recuperare le voci del log di controllo per la tua organizzazione:
-
Nella console Google Cloud, vai alla pagina Esplora log:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
Seleziona la tua organizzazione.
Nel riquadro Query, segui questi passaggi:
In Tipo di risorsa, seleziona la risorsa Google Cloud la cui di controllo degli audit log che vuoi visualizzare.
In Nome log, seleziona il tipo di log di controllo da visualizzare:
- Per gli audit log delle attività di amministrazione, seleziona activity.
- Per gli audit log di accesso ai dati, seleziona data_access.
- Per gli audit log degli eventi di sistema, seleziona system_event.
- Per gli audit log di accesso negato in base ai criteri, seleziona policy.
Se non vedi queste opzioni, significa che non sono presenti log di controllo disponibile nell'organizzazione.
Nell'editor delle query, specifica ulteriormente le voci del log di controllo che vuoi visualizzare. Per esempi di query comuni, consulta Esempi di query con Esplora log.
Fai clic su Esegui query.
Per ulteriori informazioni sulle query utilizzando Esplora log, consulta Creare query in Esplora log.
Monitorare i log di controllo
Puoi utilizzare Cloud Monitoring per ricevere una notifica quando si verificano le condizioni descritte. Per fornire a Cloud Monitoring i dati dei tuoi log, Logging ti consente di creare criteri di avviso basati sui log, che ti avvisano ogni volta che un evento specifico viene visualizzato in un log.
Configura i criteri di avviso per distinguere gli eventi che richiedono un'indagine immediata da quelli di bassa priorità. Ad esempio, se vuoi sapere quando un log di controllo registra un determinato messaggio di accesso ai dati, puoi creare un criterio di avviso basato su log che corrisponda al messaggio e ti invii una notifica quando viene visualizzato.
Per istruzioni sulla configurazione dei criteri di avviso basati su log, consulta Gestione dei criteri di avviso basati su log.
Esegui il routing dei log verso le destinazioni supportate
La tua organizzazione potrebbe essere sottoposta a requisiti per la creazione e la conservazione di controlli logaritmi. Con i sink, puoi eseguire il routing di alcuni tutti i tuoi log nelle seguenti destinazioni supportate:
- Cloud Storage
- Pub/Sub, incluse terze parti come Splunk
- BigQuery
- Un altro bucket Cloud Logging
Determina se hai bisogno di sink a livello di cartella o di organizzazione e indirizza i log da tutti i progetti Google Cloud all'interno dell'organizzazione o della cartella utilizzando i sink aggregati. Ad esempio, potresti prendere in considerazione i seguenti casi d'uso di routing:
Destinazione a livello di organizzazione: se la tua organizzazione utilizza un sistema SIEM per gestire più log di controllo, ti consigliamo di inoltrare tutti i log di controllo della tua organizzazione. Di conseguenza, un sink a livello di organizzazione ha senso.
Destinazione a livello di cartella: a volte potresti voler inoltrare solo gli audit log di reparto. Ad esempio, se hai una cartella "Finanza" e una cartella "IT", potresti trovare utile instradare solo i log di controllo appartenenti alla cartella "Finanza" o viceversa.
Per ulteriori informazioni su cartelle e organizzazioni, consulta Gerarchia delle risorse.
Applica alla destinazione Google Cloud gli stessi criteri di accesso che utilizzi per instradare i log come hai fatto per Esplora log.
Per istruzioni sulla creazione e sulla gestione dei sink aggregati, consulta Facolta e instrada i log a livello di organizzazione verso le destinazioni supportate.
Informazioni sul formato dei dati nelle destinazioni sink
Quando indirizzi gli audit log a destinazioni esterne a Cloud Logging, comprendi il formato dei dati inviati.
Ad esempio, se esegui il routing dei log in BigQuery, Cloud Logging applica regole per abbreviare i nomi dei campi dello schema BigQuery log di controllo e per alcuni e strutturati per i campi payload strutturati.
Per comprendere e trovare le voci di log instradate da Cloud Logging alle destinazioni supportate, consulta Visualizza i log nelle destinazioni sink.
Copia delle voci di log
A seconda delle esigenze di conformità della tua organizzazione, potresti dover condividere voci di audit log con revisori esterni a Logging. Se hai bisogno per condividere voci di log già archiviate nei bucket Cloud Logging, puoi copiarli manualmente nei bucket Cloud Storage.
Quando copi le voci di log in Cloud Storage, anche le voci rimangono nel bucket di log da cui sono stati copiati.
Tieni presente che le operazioni di copia non sostituiscono i canali, che inviano automaticamente tutte le voci di log in arrivo a una destinazione di archiviazione supportata preselezionata, tra cui Cloud Storage.
Per istruzioni sul routing dei log a Cloud Storage in modo retroattivo, consulta Copiare le voci di log.