Este documento recomenda uma sequência de tarefas de registro de auditoria para ajudar organização a manter a segurança e minimizar os riscos.
Este documento não é uma lista completa de recomendações. Em vez disso, a meta é para entender o escopo das atividades de registro de auditoria e planejar de maneira adequada.
Cada seção inclui as principais ações e links para leitura extra.
Noções básicas sobre os Registros de auditoria do Cloud
Os registros de auditoria estão disponíveis para a maioria dos serviços do Google Cloud. Os Registros de auditoria do Cloud têm os seguintes tipos de registros de auditoria Projeto, pasta e organização do Google Cloud:
| Tipo de registro de auditoria | Configurável | Sujeito a cobrança |
|---|---|---|
| Registros de auditoria de atividade do administrador | Não, sempre escrito | Não |
| Registros de auditoria de acesso a dados | Sim | Sim |
| Registros de auditoria de política negada | Sim; é possível impedir que eles sejam gravados em buckets de registros | Sim |
| Registros de auditoria de eventos do sistema | Não, sempre escrito | Não |
Os registros de auditoria do acesso a dados (exceto BigQuery) são desativados por padrão. Se você quiser que os registros de auditoria de acesso a dados sejam gravados para o Google Cloud os serviços do Google, ative-os explicitamente. para mais detalhes, consulte Configure os registros de auditoria de acesso a dados nesta página.
Para informações sobre o cenário geral da geração de registros de auditoria com o Google Cloud, consulte Visão geral dos registros de auditoria do Cloud.
Controlar o acesso a registros
Devido à confidencialidade dos dados de registro de auditoria, é especialmente importante e configure os controles de acesso adequados para os usuários da sua organização.
Dependendo dos requisitos de compliance e uso, defina esses controles de acesso da seguinte forma:
- definir permissões do IAM.
- configurar visualizações de registros;
- Definir controles de acesso no nível do campo para a entrada de registro
Definir permissões do IAM
As permissões do IAM e As funções determinam acessar registros de auditoria dados na API Logging, o Análise de registros Google Cloud CLI. Usar o IAM para conceder acesso granular a recursos buckets do Google Cloud e impedir o acesso indesejado a outros recursos.
Os papéis baseados em permissão que você concede aos usuários dependem funções relacionadas a auditoria na organização. Por exemplo, talvez você concedem ao CTO amplas permissões administrativas, enquanto a equipe de desenvolvedores podem exigir permissões de visualização de registros. Para orientações sobre quais papéis conceder aos usuários da sua organização, consulte Como configurar papéis para a geração de registros de auditoria.
Ao definir as permissões do IAM, aplique o princípio de segurança privilégio mínimo. Assim, você concede aos usuários apenas o acesso necessário aos recursos:
- Remova todos os usuários não essenciais.
- Conceda aos usuários essenciais as permissões corretas e mínimas.
Para instruções sobre como configurar permissões do IAM, consulte Gerenciar o acesso a projetos, pastas e organizações.
Configure as visualizações de registros
Todos os registros recebidos pelo Logging são gravados em contêineres de armazenamento chamados buckets de registros. As visualizações de registros permitem controlar quem aos registros dentro dos buckets.
Como os buckets podem conter registros de vários projetos do Google Cloud, talvez seja necessário controlar em quais projetos do Google Cloud acessar os registros. Crie visualizações de registros personalizadas, que oferecem acesso mais granular controle nesses buckets.
Para instruções sobre como criar e gerenciar visualizações de registros, consulte Configurar visualizações de registros em um bucket de registros.
Definir controles de acesso no nível do campo de registro
Os controles de acesso no nível do campo permitem ocultar campos LogEntry individuais dos usuários
de um projeto do Google Cloud, oferecendo uma maneira mais granular de controlar os registros
dados que um usuário pode acessar. Em comparação com as visualizações de registros, que ocultam
LogEntry inteiro, os controles de acesso em nível de campo ocultam campos individuais da
LogEntry Por exemplo, talvez você queira encobrir PII de usuários externos, como
endereço de e-mail da maioria dos endereços IP contidos no payload da entrada de registro
os usuários da sua organização.
Para instruções sobre como configurar controles de acesso no nível do campo, consulte Configurar o acesso no nível do campo.
Configurar os registros de auditoria de acesso a dados
Ao ativar novos serviços do Google Cloud, avalie se você quer ativar ou não Registros de auditoria de acesso a dados.
Os registros de auditoria de acesso a dados ajudam o Suporte do Google a resolver problemas na sua conta. Portanto, recomendamos ativar os registros de auditoria de acesso a dados quando possível.
Para ativar todos os registros de auditoria para todos os serviços, siga as instruções para atualizar a política do Identity and Access Management (IAM) com a configuração listada no política de auditoria.
Depois de definir a política de acesso aos dados no nível da organização e ativar a configuração "Dados" acessar registros de auditoria, usar um projeto de teste do Google Cloud para validar o da sua coleta de registros de auditoria antes de criar os registros de auditoria projetos de produção do Google Cloud na organização.
Para instruções sobre como ativar os registros de auditoria de acesso a dados, consulte Ative os registros de auditoria de acesso a dados.
Controle como seus registros são armazenados
É possível configurar aspectos dos buckets da sua organização e criar definidos pelo usuário para centralizar ou subdividir seu armazenamento de registros. Dependendo seus requisitos de conformidade e uso, os registros podem ser personalizados armazenamento da seguinte forma:
- Escolha onde seus registros são armazenados.
- Defina o período de armazenamento de dados.
- Proteja seus registros com chaves de criptografia gerenciadas pelo cliente (CMEK).
Escolha onde seus registros são armazenados
No Logging, os buckets são recursos regionais: a infraestrutura que armazena, indexa e pesquisa seus registros está localizado em um a localização geográfica deles.
Talvez sua organização precise armazenar os dados de registros em regiões específicas. Os principais fatores para selecionar a região em que seus registros são armazenados incluem atender aos requisitos de latência, disponibilidade ou conformidade de sua organização.
Para aplicar automaticamente uma região de armazenamento específica à nova
_Default e _Required buckets criados na sua organização, é possível
e configurar um local padrão dos recursos.
Para instruções sobre como configurar os locais padrão dos recursos, consulte Definir as configurações padrão para organizações.
Definir períodos de retenção de dados
O Cloud Logging retém registros de acordo com as regras de retenção que se aplicam ao tipo de bucket de registros em que os registros são retidos.
Para atender às suas necessidades de conformidade, configure o Cloud Logging para reter registros entre 1 dia e 3.650 dias. As regras de retenção personalizadas se aplicam a todos os registros de um bucket, independentemente do tipo de registro ou se ele foi copiado de outro local.
Para instruções sobre como definir regras de retenção para um bucket de registros, consulte Configurar a retenção personalizada.
Proteja seus registros de auditoria com chaves de criptografia gerenciadas pelo cliente
Por padrão, o Cloud Logging criptografa o conteúdo do cliente armazenado em repouso. Seu organização pode ter requisitos de criptografia avançados o que a criptografia em repouso não oferece. Para atender aos requisitos da sua organização, em vez de deixar que o Google gerencie as chaves de criptografia de chaves que protegem seus dados, configurar chaves de criptografia gerenciadas pelo cliente (CMEK) para controlar e gerenciar suas próprias criptografia.
Para instruções sobre como configurar a CMEK, consulte Configure a CMEK para armazenamento de registros.
Preços
O Cloud Logging não cobra pelo roteamento de registros para um
destino com suporte No entanto, o destino pode aplicar cobranças.
Com exceção do bucket de registros _Required,
O Cloud Logging cobra pelo streaming de registros para buckets
para armazenamento maior que o período de armazenamento padrão do bucket de registros.
O Cloud Logging não cobra pela cópia de registros ou por consultas emitidas por meio do Análise de registros ou pela página Análise de registros.
Para mais informações, consulte estes documentos:
- Resumo de preços do Cloud Logging
Custos de destino:
- Cobranças da geração de registros de fluxo de VPC são aplicadas quando você envia e exclui os registros de fluxo da nuvem privada virtual do Cloud Logging.
Para configurar e usar os registros de auditoria, recomendamos o seguinte: práticas recomendadas relacionadas a preços:
Faça uma estimativa das suas faturas visualizando o uso e configuração de políticas de alertas.
Lembre-se de que os registros de auditoria de acesso a dados podem ser grandes gerar mais custos de armazenamento.
Gerencie seus custos excluindo registros de auditoria que não sejam úteis. Por exemplo, é possível excluir registros de auditoria de acesso a dados projetos de desenvolvimento de software.
Consultar e acessar registros de auditoria
Se você precisar resolver problemas, a capacidade de analisar registros rapidamente é exigida. No console do Google Cloud, use a Análise de registros para recuperar as entradas de registro de auditoria da organização:
-
No console do Google Cloud, acesse a página Análise de registros:
Acessar a Análise de registros
Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.
Selecione a organização.
No painel Consulta, faça o seguinte:
Em Tipo de recurso, selecione o recurso do Google Cloud com os registros de auditoria que você quer consultar.
Em Nome do registro, selecione o tipo de registro de auditoria que você quer consultar.
- Para os registros de auditoria da atividade do administrador, selecione Atividade.
- Para os registros de auditoria de acesso a dados, selecione data_access.
- Para os registros de auditoria de eventos do sistema, selecione system_event.
- Em "Registros de auditoria de política negada", selecione policy.
Se você não encontrar essas opções, isso significa que não há registros de auditoria relacionados disponível na organização.
No editor de consultas, especifique ainda mais as entradas de registro de auditoria que você quer de ver. Para exemplos de consultas comuns, consulte Exemplos de consultas usando a Análise de registros.
Clique em Executar consulta.
Para mais informações sobre como consultar usando a Análise de Registros, consulte Criar consultas na Análise de Registros.
Monitorar os registros de auditoria
Use o Cloud Monitoring para receber notificações quando as condições descritas antes que ocorram mudanças. Para fornecer dados dos registros ao Cloud Monitoring, faça o seguinte: O Logging permite criar políticas de alertas com base em registros, que notificam você sempre que um evento específico aparece em um registro.
Configure políticas de alertas para distinguir entre eventos que exigem ações imediatas e eventos de baixa prioridade. Por exemplo, se você quer saber quando um registro de auditoria grava uma mensagem específica de acesso a dados, é possível criar política de alertas com base em registros que corresponda à mensagem e notifique você quando será exibida.
Para instruções sobre como configurar políticas de alertas com base em registros, consulte Como gerenciar políticas de alertas com base em registros.
Encaminhar registros para destinos compatíveis
Sua organização pode ter requisitos para criar e preservar auditorias ou de sistemas operacionais de contêineres. Com coletores, é possível rotear todos os registros para estes destinos compatíveis:
- Cloud Storage
- Pub/Sub incluindo terceiros, como Splunk
- BigQuery
- Outro bucket do Cloud Logging
determinar se você precisa de coletores no nível da pasta ou da organização; e rotear registros de todos os projetos do Google Cloud dentro da organização ou usando coletores agregados. Para exemplo, considere estes casos de uso de roteamento:
Coletor no nível da organização: se sua organização usa um SIEM para gerenciar vários registros de auditoria, talvez você queira rotear todos os registros registros de auditoria. Portanto, é recomendável usar um coletor no nível da organização.
Coletores de nível de pasta: às vezes, é possível rotear apenas registros de auditoria. Por exemplo, se você tiver uma coluna "Finanças" pasta e um "TI" em uma pasta, talvez seja útil rotear os registros de auditoria que pertencem à categoria "Finanças" pasta ou vice-versa.
Para mais informações sobre pastas e organizações, consulte Hierarquia de recursos.
Aplique as mesmas políticas de acesso ao destino do Google Cloud que você para rotear os registros aplicados à Análise de registros.
Para instruções sobre como criar e gerenciar coletores agregados, consulte Agrupar e rotear registros no nível da organização para destinos compatíveis.
Entender o formato dos dados nos destinos dos coletores
Ao rotear registros de auditoria para destinos fora do Cloud Logging, entendam o formato dos dados que foram enviados.
Por exemplo, ao rotear registros para o BigQuery, aplica regras para encurtar nomes de campos do esquema do BigQuery para registros de auditoria e para determinados campos de payload estruturados.
Para entender e encontrar as entradas de registro que você encaminhou Cloud Logging para destinos compatíveis. Consulte Veja registros em destinos do coletor.
Copiar entradas de registro
Dependendo das necessidades de compliance da sua organização, talvez seja necessário compartilhar com auditores fora do Logging. Se você precisar para compartilhar entradas de registro já armazenadas nos buckets do Cloud Logging, podem copiá-los manualmente para os buckets do Cloud Storage.
Quando você copia as entradas de registro para o Cloud Storage, elas também permanecem no bucket de registro em que foram copiadas.
As operações de cópia não substituem que enviam automaticamente todas as entradas de registro de entrada para um de armazenamento com suporte, incluindo Cloud Storage.
Para instruções sobre como rotear registros para o Cloud Storage retroativamente, consulte Copiar entradas de registro.