En este documento, se recomienda una secuencia de tareas de registro de auditoría para ayudar a tu organización a mantener la seguridad y minimizar el riesgo.
Este documento no es una lista exhaustiva de recomendaciones. En cambio, su objetivo es ayudarte a comprender el alcance de las actividades de registro de auditoría y planificar en consecuencia.
En cada sección, se indican las acciones clave y se incluyen vínculos para complementar la lectura.
Comprende los Registros de auditoría de Cloud
Los registros de auditoría están disponibles para la mayoría de los servicios de Google Cloud. Los registros de auditoría de Cloud proporcionan los siguientes tipos de registros de auditoría para cada proyecto, carpeta y organización de Google Cloud:
| Tipo de registro de auditoría | Configurable | Cobrable |
|---|---|---|
| Registros de auditoría de actividad del administrador | No, siempre escrita | No |
| Registros de auditoría de acceso a los datos | Sí | Sí |
| Registros de auditoría de política denegada | Sí; puedes excluir estos registros para que no se escriban en buckets de registros | Sí |
| Registros de auditoría de eventos del sistema | No, siempre escrita | No |
Los registros de auditoría de acceso a los datos se encuentran inhabilitados de forma predeterminada, excepto para BigQuery. Si deseas que se escriban los registros de auditoría de acceso a los datos para los servicios de Google Cloud, debes habilitarlos de forma explícita. Si deseas obtener más información, consulta Configura registros de auditoría de acceso a los datos en esta página.
Para obtener información sobre el panorama general del registro de auditoría con Google Cloud, consulta Descripción general de los registros de auditoría de Cloud.
Controlar el acceso a los registros
Debido a la sensibilidad de los datos de registro de auditoría, es muy importante configurar los controles de acceso adecuados para los usuarios de tu organización.
Según tus requisitos de cumplimiento y uso, configura estos controles de acceso de la siguiente manera:
- Configura permisos de IAM
- Configurar vistas de registro
- Configura los controles de acceso a nivel de campo de entrada de registro
Configura los permisos de IAM
Los permisos y las funciones de IAM determinan la capacidad de los usuarios para acceder a los datos de registros de auditoría en la API de Logging, en el Explorador de registros y en Google Cloud CLI. Usa IAM para otorgar acceso detallado a buckets específicos de Google Cloud y evitar el acceso no deseado a otros recursos.
Las funciones basadas en permisos que otorgas a los usuarios dependen de las funciones relacionadas con la auditoría dentro de tu organización. Por ejemplo, puedes otorgarle a tu director de tecnología permisos administrativos amplios, mientras que los miembros de tu equipo de desarrolladores pueden necesitar permisos para ver registros. Si deseas obtener orientación sobre qué funciones otorgar a los usuarios de tu organización, consulta Configura funciones para el registro de auditoría.
Cuando configures permisos de IAM, aplica el principio de seguridad de privilegio mínimo para otorgarles a los usuarios solo el acceso necesario a tus recursos:
- Quita todos los usuarios que no sean esenciales.
- Otorga a los usuarios esenciales los permisos correctos y mínimos.
Si quieres obtener instrucciones para configurar permisos de IAM, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Configura vistas de registro
Todos los registros que recibe Logging, incluidos los de auditoría, se escriben en contenedores de almacenamiento llamados buckets de registros. Las vistas de registros te permiten controlar quién tiene acceso a los registros dentro de tus buckets de registros.
Debido a que los buckets de registros pueden contener registros de varios proyectos de Google Cloud, es posible que debas controlar desde qué proyectos de Google Cloud los distintos usuarios pueden ver los registros. Crea vistas de registro personalizadas, lo que te brinda un control de acceso más detallado para esos buckets.
Para obtener instrucciones sobre cómo crear y administrar vistas de registro, consulta Configura vistas de registro en un bucket de registros.
Configura controles de acceso a nivel del campo de registro
Los controles de acceso a nivel de campo te permiten ocultar campos LogEntry individuales de los usuarios de un proyecto de Google Cloud, lo que te proporciona una forma más detallada de controlar los datos de registros a los que puede acceder un usuario. En comparación con las vistas de registros, que ocultan todo el LogEntry, los controles de acceso a nivel de campo ocultan campos individuales de LogEntry. Por ejemplo, es posible que desees ocultar la PII externa del usuario, como una dirección de correo electrónico que se encuentra en la carga útil de la entrada de registro, de la mayoría de los usuarios de tu organización.
Si quieres obtener instrucciones para configurar los controles de acceso a nivel de campo, consulta Configura el acceso a nivel de campo.
Configurar registros de auditoría de acceso a los datos
Cuando habilites los servicios nuevos de Google Cloud, evalúa si debes habilitar o no los registros de auditoría de acceso a los datos.
Los registros de auditoría de acceso a los datos ayudan a Atención al cliente de Google a solucionar problemas con tu cuenta. Por lo tanto, recomendamos habilitar los registros de auditoría de acceso a los datos cuando sea posible.
Si quieres habilitar todos los registros de auditoría para todos los servicios, sigue las instrucciones para actualizar Identity and Access Management (IAM) con la configuración que aparece en la política de auditoría.
Después de definir tu política de acceso a los datos a nivel de la organización y habilitar los registros de auditoría de acceso a los datos, usa un proyecto de prueba de Google Cloud para validar la configuración de la recopilación de registros de auditoría antes de crear proyectos de Google Cloud para desarrolladores y producción en la organización.
Si quieres obtener instrucciones para habilitar los registros de auditoría de acceso a los datos, consulta Habilita los registros de auditoría de acceso a los datos.
Controla cómo se almacenan tus registros
Puedes configurar aspectos de los buckets de tu organización y también crear buckets definidos por el usuario para centralizar o subdividir el almacenamiento de registros. Según tus requisitos de cumplimiento y uso, es posible que desees personalizar el almacenamiento de registros de la siguiente manera:
- Elige dónde se almacenan tus registros.
- Define el período de retención de datos.
- Protege tus registros con claves de encriptación administradas por el cliente (CMEK).
Elige dónde se almacenan tus registros
En los buckets de Logging son recursos regionales: la infraestructura que almacena, indexa y busca tus registros se encuentra en una ubicación geográfica específica.
Es posible que tu organización deba almacenar los datos de sus registros en regiones específicas. Los factores principales para seleccionar la región en la que se almacenan los registros incluyen cumplir con los requisitos de latencia, disponibilidad o cumplimiento de la organización.
Para aplicar de forma automática una región de almacenamiento en particular a los buckets nuevos _Default y _Required creados en tu organización, puedes configurar una ubicación predeterminada para los recursos.
Para obtener instrucciones sobre cómo configurar las ubicaciones predeterminadas de los recursos, consulta Establece la configuración predeterminada para las organizaciones.
Define períodos de retención de datos
Cloud Logging retiene registros de acuerdo con las reglas de retención que se aplican al tipo de bucket de registros en el que se almacenan los registros.
A fin de satisfacer tus necesidades de cumplimiento, configura Cloud Logging para conservar los registros entre 1 y 3,650 días. Las reglas de retención personalizadas se aplican a todos los registros de un bucket, sin importar el tipo de registro o si ese registro se copió de otra ubicación.
Si quieres obtener instrucciones para configurar las reglas de retención de un bucket de registros, consulta Configura la retención personalizada.
Protege tus registros de auditoría con claves de encriptación administradas por el cliente
De forma predeterminada, Cloud Logging encripta el contenido del cliente almacenado en reposo. Es posible que tu organización tenga requisitos de encriptación avanzada que la encriptación en reposo predeterminada no satisface. Para cumplir con los requisitos de tu organización, en lugar de que Google administre las claves de encriptación de claves que protegen tus datos, configura las claves de encriptación administradas por el cliente (CMEK) para controlar y administrar tu propia encriptación.
Si quieres obtener instrucciones para configurar CMEK, consulta Configura CMEK para el almacenamiento de registros.
Precios
Cloud Logging no cobra por enrutar los registros a un destino admitido. Sin embargo, el destino puede aplicar cargos.
A excepción del bucket de registros _Required, Cloud Logging cobra por transmitir registros a buckets de registros y por el almacenamiento por más tiempo que el período de retención predeterminado del bucket de registros.
Cloud Logging no cobra por copiar registros ni por las consultas emitidas a través de la página Explorador de registros o la página Análisis de registros.
Para obtener más información, consulta los siguientes documentos:
- Resumen de precios de Cloud Logging
Costos de destino:
- Los cargos de generación de registros de flujo de VPC se aplican cuando envías y, luego, excluyes los registros de flujo de la nube privada virtual de Cloud Logging.
Cuando configures y uses tus registros de auditoría, recomendamos las siguientes prácticas recomendadas en relación con los precios:
Calcula tus facturas; para ello, visualiza tus datos de uso y configura políticas de alertas.
Ten en cuenta que los registros de auditoría de acceso a los datos pueden ser extensos y que podrían generarse costos adicionales por el almacenamiento.
Administra tus costos. Para ello, excluye los registros de auditoría que no son útiles. Por ejemplo, es probable que puedas excluir los registros de auditoría de acceso a los datos en proyectos de desarrollo.
Consulta y visualiza registros de auditoría
Si necesitas solucionar problemas, es un requisito que puedas interpretar los registros con rapidez. En la consola de Google Cloud, usa el Explorador de registros para recuperar las entradas de registro
-
En la consola de Google Cloud, ve a la página Explorador de registros:
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Selecciona tu organización.
En el panel Consulta, haz lo siguiente:
En Tipo de recurso, selecciona el recurso de Google Cloud cuyos registros de auditoría deseas ver.
En Nombre del registro, selecciona el tipo de registro de auditoría que deseas ver:
- En el caso de los registros de auditoría de la actividad del administrador, selecciona activity.
- En los registros de auditoría de acceso a los datos, selecciona data_access.
- En el caso de los registros de auditoría de eventos del sistema, selecciona system_event.
- En el caso de los registros de auditoría de política denegada, selecciona policy.
Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en la organización.
En el editor de consultas, especifica aún más las entradas del registro de auditoría que deseas ver. Para ver ejemplos de consultas comunes, revisa Consultas de muestra con el Explorador de registros.
Haz clic en Ejecutar consulta.
Para obtener más información de las consultas con el Explorador de registros, visita Compila consultas en el Explorador de registros.
Supervisa tus registros de auditoría
Puedes usar Cloud Monitoring para notificarte cuando ocurren las condiciones que describes. Para proporcionar datos de tus registros a Cloud Monitoring, Logging te permite crear políticas de alertas basadas en registros, que te notifican cada vez que aparece un evento específico en un registro.
Configura políticas de alertas para distinguir entre los eventos que requieren investigación inmediata y los eventos de prioridad baja. Por ejemplo, si deseas saber cuándo un registro de auditoría registra un mensaje de acceso a los datos en particular, puedes crear una política de alertas basada en registros que coincida con el mensaje y te notifique cuando aparezca.
Si deseas obtener instrucciones para configurar políticas de alertas basadas en registros, consulta Administra políticas de alertas basadas en registros.
Enruta registros a destinos compatibles.
Es posible que tu organización deba enfrentar requisitos para crear y conservar registros de auditoría. Con receptores, puedes enrutar algunos o todos tus registros a estos destinos compatibles:
- Cloud Storage
- Pub/Sub, incluidos terceros como Splunk
- BigQuery
- Otro bucket de Cloud Logging
Determina si necesitas receptores a nivel de carpeta o de organización y enruta registros de todos los proyectos de Google Cloud dentro de la organización o carpeta mediante receptores agregados. Por ejemplo, puedes considerar estos casos de uso de enrutamiento:
Receptor a nivel de la organización: Si tu organización usa una SIEM para administrar varios registros de auditoría, se recomienda enrutar todos los registros de auditoría de tu organización. Por lo tanto, un receptor a nivel de organización tiene sentido.
Receptor a nivel de carpeta: A veces, es posible que desees enrutar solo los registros de auditoría departamentales. Por ejemplo, si tienes una carpeta “Finanzas” y una carpeta “TI”, puede resultarte útil enrutar solo los registros de auditoría que pertenecen a la carpeta “Finanzas”, o viceversa.
Para obtener más información sobre las carpetas y organizaciones, consulta Jerarquía de recursos.
Aplica las mismas políticas de acceso al destino de Google Cloud que usas para enrutar los registros que aplicaste al Explorador de registros.
Para obtener instrucciones sobre cómo crear y administrar receptores agregados, consulta Recopila y enruta registros a nivel de la organización a destinos compatibles.
Comprende el formato de datos en los destinos de receptores
Cuando enrutas los registros de auditoría a destinos fuera de Cloud Logging, debes comprender el formato de los datos que se enviaron.
Por ejemplo, si enrutas los registros a BigQuery, Cloud Logging aplica reglas a fin de acortar los nombres de campo del esquema de BigQuery para los registros de auditoría y para ciertos campos de carga útil estructurada.
Para comprender y encontrar las entradas de registro que enrutaste desde Cloud Logging a destinos compatibles, consulta Visualiza registros en destinos de receptores.
Copiar las entradas de registro
Según las necesidades de cumplimiento de tu organización, es posible que debas compartir entradas de registro de auditoría con auditores fuera de Logging. Si necesitas compartir entradas de registro que ya están almacenadas en buckets de Cloud Logging, puedes copiarlas de forma manual en los buckets de Cloud Storage.
Cuando copias las entradas de registro en Cloud Storage, las entradas de registro también permanecen en el bucket de registros desde el que se copiaron.
Ten en cuenta que las operaciones de copia no reemplazan a los receptores, que envían de forma automática todas las entradas de registro entrantes a un destino de almacenamiento compatible y preseleccionado, incluido Cloud Storage.
Si quieres obtener instrucciones para enrutar registros a Cloud Storage de forma retroactiva, consulta Copia entradas de registro.