En este documento se recomienda una secuencia de tareas de registro de auditoría para ayudar a tu organización a mantener la seguridad y minimizar los riesgos.
Este documento no es una lista exhaustiva de recomendaciones. Su objetivo es ayudarte a entender el alcance de las actividades de registro de auditoría y planificar en consecuencia.
En cada sección se indican las medidas clave que se pueden tomar y se incluyen enlaces para obtener más información.
Información sobre los registros de auditoría de Cloud
Los registros de auditoría están disponibles en la mayoría de los Google Cloud servicios. Cloud Audit Logs proporciona los siguientes tipos de registros de auditoría para cada proyecto, cuenta de facturación, carpeta y organización:Google Cloud
| Tipo de registro de auditoría | Se pueden configurar. | Facturable |
|---|---|---|
| Registros de auditoría de la actividad del administrador | No, siempre se escribe | No |
| Registros de auditoría de acceso a datos | Sí | Sí |
| Registros de auditoría de denegación de acceso por infracción de las políticas | Sí, puedes excluir estos registros para que no se escriban en segmentos de registro. | Sí |
| Registros de auditoría de los eventos del sistema | No, siempre se escribe | No |
Los registros de auditoría de acceso a los datos (excepto los de BigQuery) están inhabilitados de forma predeterminada. Si quieres que se escriban registros de auditoría de acceso a datos para Google Cloud servicios, debes habilitarlos explícitamente. Para obtener más información, consulta el artículo sobre cómo configurar registros de auditoría de acceso a datos en esta página.
Para obtener información general sobre el registro de auditoría conGoogle Cloud, consulta el resumen de los Registros de auditoría de Cloud.
Controlar el acceso a los registros
Debido a la confidencialidad de los datos de registro de auditoría, es especialmente importante configurar los controles de acceso adecuados para los usuarios de su organización.
En función de tus requisitos de cumplimiento y uso, configura estos controles de acceso de la siguiente manera:
- Definir permisos de gestión de identidades y accesos
- Configurar vistas de registro
- Definir controles de acceso a nivel de campo de entradas de registro
Establecer permisos de gestión de identidades y accesos
Los permisos y los roles de gestión de identidades y accesos determinan la capacidad de los usuarios para acceder a los datos de los registros de auditoría en la API Logging, el Explorador de registros y la CLI de Google Cloud. Usa la gestión de identidades y accesos para conceder acceso granular aGoogle Cloud segmentos específicos y evitar el acceso no deseado a otros recursos.
Los roles basados en permisos que concedas a tus usuarios dependerán de las funciones relacionadas con la auditoría que desempeñen en tu organización. Por ejemplo, puedes conceder permisos de administrador generales a tu director de tecnología, mientras que los miembros de tu equipo de desarrollo pueden necesitar permisos para ver los registros. Para obtener información sobre qué roles asignar a los usuarios de tu organización, consulta el artículo sobre configurar roles para el registro de auditoría.
Cuando configures permisos de IAM, aplica el principio de seguridad de los mínimos accesos para que los usuarios solo tengan el acceso necesario a tus recursos:
- Elimina todos los usuarios no esenciales.
- Concede a los usuarios esenciales los permisos correctos y mínimos.
Para obtener instrucciones sobre cómo definir permisos de gestión de identidades y accesos, consulta Gestionar el acceso a proyectos, carpetas y organizaciones.
Configurar vistas de registro
Todos los registros, incluidos los de auditoría, que recibe Logging se escriben en contenedores de almacenamiento llamados cubos de registro. Las vistas de registro te permiten controlar quién tiene acceso a los registros de tus cubos de registro.
Como los contenedores de registro pueden contener registros de varios proyectos, es posible que tengas que controlar de qué proyectos pueden ver los registros los distintos usuarios. Google Cloud Google Cloud Crea vistas de registro personalizadas, que te ofrecen un control de acceso más granular para esos contenedores.
Puede consultar vistas de registro con Explorador de registros o con Analíticas de registros. Para obtener más información, consulta el artículo Consultar y ver registros.
Para obtener instrucciones sobre cómo crear y gestionar vistas de registro, consulta Configurar vistas de registro en un segmento de registro.
Configurar controles de acceso a nivel de campo de registro
Los controles de acceso a nivel de campo te permiten ocultar campos LogEntry concretos a los usuarios de un Google Cloud proyecto, lo que te ofrece una forma más granular de controlar los datos de registro a los que puede acceder un usuario. En comparación con las vistas de registros, que ocultan todo el LogEntry, los controles de acceso a nivel de campo ocultan campos concretos del LogEntry. Por ejemplo, puede que quieras ocultar la información personal identificable de usuarios externos, como una dirección de correo electrónico incluida en la carga útil de una entrada de registro, a la mayoría de los usuarios de tu organización.
Si tiene previsto usar Log Analytics para analizar sus registros de auditoría, no configure controles de acceso a nivel de campo en el segmento de registro que almacena esos registros. No puedes usar Log Analytics en los contenedores de registro que tengan configurados controles de acceso a nivel de campo.
Para obtener instrucciones sobre cómo configurar controles de acceso a nivel de campo, consulta el artículo Configurar el acceso a nivel de campo.
Configurar registros de auditoría de acceso a datos
Cuando habilites nuevos Google Cloud servicios, evalúa si debes habilitar los registros de auditoría de acceso a datos.
Los registros de auditoría de acceso a datos ayudan al equipo de Asistencia de Google a solucionar problemas con tu cuenta. Por lo tanto, te recomendamos que habilites los registros de auditoría de acceso a datos siempre que sea posible.
Para habilitar todos los registros de auditoría de todos los servicios, sigue las instrucciones para actualizar la política de gestión de identidades y accesos (IAM) con la configuración que se indica en la política de auditoría.
Después de definir tu política de acceso a los datos a nivel de organización y habilitar los registros de auditoría de acceso a los datos, usa un proyecto de prueba Google Cloud para validar la configuración de la recogida de registros de auditoría antes de crear proyectos de desarrollo y de producción Google Cloud en la organización.
Para obtener instrucciones sobre cómo habilitar los registros de auditoría de acceso a datos, consulta el artículo Habilitar registros de auditoría de acceso a datos.
Controlar cómo se almacenan los registros
Puede configurar aspectos de los contenedores de su organización y también crear contenedores definidos por el usuario para centralizar o subdividir el almacenamiento de registros. En función de tus requisitos de cumplimiento y uso, puedes personalizar el almacenamiento de tus registros de la siguiente manera:
- Elige dónde se almacenan tus registros.
- Define el periodo de conservación de datos.
- Protege tus registros con claves de encriptado gestionadas por el cliente (CMEK).
Elegir dónde se almacenan los registros
Los contenedores de registros son recursos regionales: la infraestructura que almacena, indexa y busca tus registros se encuentra en una ubicación geográfica específica.
Es posible que tu organización tenga que almacenar sus datos de registro en regiones específicas. Los factores principales a la hora de seleccionar la región en la que se almacenan los registros son los requisitos de latencia, disponibilidad o cumplimiento de tu organización.
Para aplicar automáticamente una región de almacenamiento concreta a los segmentos _Default y _Required que se creen en tu organización, puedes configurar una ubicación de recursos predeterminada.
Para obtener instrucciones sobre cómo configurar las ubicaciones de recursos predeterminadas, consulta el artículo Configurar los ajustes predeterminados de las organizaciones.
Definir periodos de conservación de datos
Cloud Logging conserva los registros según las reglas de conservación que se aplican al tipo de segmento de registro en el que se almacenan.
Para cumplir tus requisitos de cumplimiento, configura Cloud Logging para que conserve los registros entre 1 y 3650 días. Las reglas de conservación personalizadas se aplican a todos los registros de un segmento, independientemente del tipo de registro o de si se ha copiado de otra ubicación.
Para obtener instrucciones sobre cómo definir reglas de conservación para un bucket de registro, consulta Configurar la conservación personalizada.
Proteger los registros de auditoría con claves de encriptado gestionadas por el cliente
De forma predeterminada, Cloud Logging cifra el contenido de los clientes almacenado en reposo. Es posible que tu organización tenga requisitos de cifrado avanzado que el cifrado predeterminado en reposo no proporcione. Para cumplir los requisitos de tu organización, en lugar de que Google gestione las claves de cifrado de claves que protegen tus datos, configura claves de cifrado gestionadas por el cliente (CMEK) para controlar y gestionar tu propio cifrado.
Para obtener instrucciones sobre cómo configurar CMEK, consulta Configurar CMEK para el almacenamiento de registros.
Precios
Cloud Logging no cobra por enrutar registros a un destino compatible, pero es posible que el destino aplique cargos.
A excepción del segmento de registros _Required, Cloud Logging cobra por transmitir registros a los segmentos de registros y por el almacenamiento que supere el periodo de conservación predeterminado del segmento de registros.
Cloud Logging no cobra por copiar registros, crear ámbitos de registro ni vistas de analíticas, ni por las consultas enviadas a través de las páginas Explorador de registros o Analíticas de registros.
Para obtener más información, consulte los documentos siguientes:
- Las secciones de Cloud Logging de la página Precios de Observabilidad de Google Cloud.
Costes al enrutar datos de registro a otros servicios: Google Cloud
- Se aplican cargos por generar registros de flujo de VPC cuando envías y luego excluyes tus registros de flujo de nube privada virtual de Cloud Logging.
Cuando configure y use sus registros de auditoría, le recomendamos que siga estas prácticas recomendadas relacionadas con los precios:
Estima tus facturas consultando tus datos de uso y configurando políticas de alertas.
Ten en cuenta que los registros de auditoría de acceso a datos pueden ser grandes y que es posible que se te apliquen costes adicionales por el almacenamiento.
Gestiona tus costes excluyendo los registros de auditoría que no sean útiles. Por ejemplo, probablemente puedas excluir los registros de auditoría de acceso a datos en proyectos de desarrollo.
Consultar y ver registros de auditoría
Si necesitas solucionar problemas, es imprescindible poder consultar los registros rápidamente. En la Google Cloud consola, usa el Explorador de registros para obtener las entradas del registro de auditoría de tu organización:
-
En la Google Cloud consola, ve a la página Explorador de registros:
Ve al Explorador de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
Selecciona tu organización.
En el panel Consulta, haz lo siguiente:
En Tipo de recurso, selecciona el Google Cloud recurso cuyos registros de auditoría quieras ver.
En Nombre del registro, selecciona el tipo de registro de auditoría que quieras ver:
- En el caso de los registros de auditoría de actividad de administración, selecciona activity.
- En el caso de los registros de auditoría de acceso a datos, selecciona data_access.
- En el caso de los registros de auditoría de los eventos del sistema, selecciona system_event.
- En Registros de auditoría de denegación de acceso por infracción de las políticas, selecciona policy.
Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en la organización.
En el editor de consultas, especifica aún más las entradas del registro de auditoría que quieras ver. Para ver ejemplos de consultas habituales, consulta Consultas de ejemplo con el Explorador de registros.
Haz clic en Realizar una consulta.
Para obtener más información sobre cómo hacer consultas con el Explorador de registros, consulta el artículo Crear consultas en el Explorador de registros.
Monitorizar los registros de auditoría
Puedes usar Cloud Monitoring para recibir notificaciones cuando se produzcan las condiciones que describas. Para proporcionar datos de tus registros a Cloud Monitoring, Logging te permite crear políticas de alertas basadas en registros, que te avisan cada vez que aparece un evento específico en un registro.
Configura políticas de alertas para distinguir entre los eventos que requieren una investigación inmediata y los de baja prioridad. Por ejemplo, si quieres saber cuándo registra un registro de auditoría un mensaje de acceso a datos concreto, puedes crear una política de alertas basada en registros que coincida con el mensaje y te avise cuando aparezca.
Para obtener instrucciones sobre cómo configurar políticas de alertas basadas en registros, consulta el artículo Gestionar políticas de alertas basadas en registros.
Enrutar registros a destinos admitidos
Es posible que tu organización tenga que crear y conservar registros de auditoría. Con los receptores, puedes dirigir algunos o todos tus registros a estos destinos admitidos:
- Otro segmento de Cloud Logging
Determina si necesitas sumideros a nivel de carpeta o de organización y enruta los registros de todos los Google Cloud proyectos de la organización o de la carpeta Google Cloud mediante sumideros agregados. Por ejemplo, puedes plantearte estos casos prácticos de enrutamiento:
Receptor a nivel de organización: si tu organización usa un SIEM para gestionar varios registros de auditoría, puede que quieras enrutar todos los registros de auditoría de tu organización. Por lo tanto, tiene sentido usar un receptor a nivel de organización.
Receptor a nivel de carpeta: a veces, solo querrá enrutar los registros de auditoría de un departamento. Por ejemplo, si tiene una carpeta "Finanzas" y otra "TI", puede que le interese enrutar solo los registros de auditoría que pertenezcan a la carpeta "Finanzas" o viceversa.
Para obtener más información sobre las carpetas y las organizaciones, consulta Jerarquía de recursos.
Aplica las mismas políticas de acceso al destino que usas para enrutar los registros que al explorador de registros. Google Cloud
Para obtener instrucciones sobre cómo crear y gestionar receptores agregados, consulta el artículo Recoger y enrutar registros a nivel de organización a destinos admitidos.
Información sobre el formato de los datos en los destinos de sumidero
Cuando enrutes registros de auditoría a destinos fuera de Cloud Logging, debes conocer el formato de los datos que se han enviado.
Por ejemplo, si se enrutan registros a BigQuery, Cloud Logging aplica reglas para acortar los nombres de los campos del esquema de BigQuery en el caso de los registros de auditoría y de determinados campos de carga útil estructurada.
Para entender y encontrar las entradas de registro que has enrutado desde Cloud Logging a destinos admitidos, consulta Ver registros en destinos de sumidero.
Copiar entradas de registro
En función de las necesidades de cumplimiento de tu organización, es posible que tengas que compartir entradas de registro de auditoría con auditores externos a Logging. Si necesitas compartir entradas de registro que ya estén almacenadas en segmentos de Cloud Logging, puedes copiarlas manualmente en segmentos de Cloud Storage.
Cuando copias entradas de registro en Cloud Storage, estas también permanecen en el segmento de registro del que se copiaron.
Ten en cuenta que las operaciones de copia no sustituyen a los receptores, que envían automáticamente todas las entradas de registro entrantes a un destino de almacenamiento admitido preseleccionado, incluido Cloud Storage.
Para obtener instrucciones sobre cómo enrutar registros a Cloud Storage de forma retroactiva, consulta Copiar entradas de registro.