Este documento recomienda una secuencia de tareas de registro de auditoría para ayudar a a mantener la seguridad y minimizar el riesgo.
Este documento no es una lista exhaustiva de recomendaciones. Por el contrario, su objetivo es para ayudarte a comprender el alcance de las actividades de registro de auditoría y planificar según corresponda.
En cada sección, se indican las acciones clave y se incluyen vínculos para complementar la lectura.
Comprende los Registros de auditoría de Cloud
Los registros de auditoría están disponibles para la mayoría de los servicios de Google Cloud. Los Registros de auditoría de Cloud proporcionan los siguientes tipos de registros de auditoría para cada Proyecto, carpeta y organización de Google Cloud:
Tipo de registro de auditoría | Configurable | Cobrable |
---|---|---|
Registros de auditoría de actividad del administrador | No; siempre escrita | No |
Registros de auditoría de acceso a los datos | Sí | Sí |
Registros de auditoría de política denegada | Sí; puedes excluir estos registros para que no se escriban en buckets de registros | Sí |
Registros de auditoría de eventos del sistema | No; siempre escrita | No |
Los registros de auditoría de acceso a los datos se encuentran inhabilitados de forma predeterminada, excepto para BigQuery. Si deseas que se escriban los registros de auditoría de acceso a los datos para Google Cloud servicios, debes habilitarlos explícitamente; para obtener más información, consulta Configura registros de auditoría de acceso a los datos en esta .
Para obtener información sobre el panorama general del registro de auditoría con Google Cloud, consulta Descripción general de los registros de auditoría de Cloud.
Controlar el acceso a los registros
Debido a la sensibilidad de los datos del registro de auditoría, es muy importante que debes configurar los controles de acceso para los usuarios de tu organización.
Según tus requisitos de cumplimiento y uso, configura estos controles de acceso. de la siguiente manera:
- Configura permisos de IAM
- Configurar vistas de registro
- Establece controles de acceso a nivel de campo en la entrada de registro
Configura los permisos de IAM
Los permisos de IAM y Los roles determinan las interacciones la capacidad de acceder a los registros de auditoría en la API de Logging, en la Explorador de registros Google Cloud CLI. Usa IAM para otorgar acceso detallado a buckets específicos de Google Cloud y evitar el acceso no deseado a otros recursos.
Los roles basados en permisos que otorgas a los usuarios dependen de sus funciones relacionadas con la auditoría dentro de tu organización. Por ejemplo, podrías otorga al director de tecnología amplios permisos administrativos, mientras que tu equipo de desarrolladores pueden requerir permisos para ver registros. Para obtener orientación sobre qué roles otorgar a los usuarios de tu organización, consulta Configurar roles para el registro de auditoría.
Cuando configures permisos de IAM, aplica el principio de seguridad de privilegio mínimo, por lo que otorgas a los usuarios solo el acceso necesario a tus recursos:
- Quita todos los usuarios que no sean esenciales.
- Otorga a los usuarios esenciales los permisos correctos y mínimos.
Si deseas obtener instrucciones para configurar permisos de IAM, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Configura vistas de registro
Se escriben todos los registros, incluidos los registros de auditoría, que recibe Logging. en contenedores de almacenamiento llamados buckets de registros. Las vistas de registros te permiten controlar quién tiene el acceso a los registros en tus buckets de registros.
Debido a que los buckets de registros pueden contener registros de varios proyectos de Google Cloud es posible que debas controlar qué proyectos de Google Cloud pueden administrar ver registros. Crea vistas de registro personalizadas, que te brindan un acceso más detallado para esos buckets.
Para obtener instrucciones sobre cómo crear y administrar vistas de registro, consulta Configura vistas de registro en un bucket de registros.
Configura controles de acceso a nivel del campo de registro
Los controles de acceso a nivel del campo te permiten ocultar a los usuarios campos individuales de LogEntry
de un proyecto de Google Cloud, lo que te brinda una forma más detallada de controlar los registros
datos a los que puede acceder un usuario. En comparación con las vistas de registros, que ocultan las
LogEntry
completo, los controles de acceso a nivel de campo ocultan campos individuales de la
LogEntry
Por ejemplo, es posible que quieras ocultar la PII externa de un usuario, como
dirección de correo electrónico de la carga útil de la entrada de registro, de la mayoría de tus
a los usuarios de tu organización.
Para obtener instrucciones sobre cómo configurar los controles de acceso a nivel de campo, consulta Configura el acceso a nivel de campo.
Configurar registros de auditoría de acceso a los datos
Cuando habilites nuevos servicios de Google Cloud, evalúa si deseas habilitarlos o no Registros de auditoría de acceso a los datos.
Los registros de auditoría de acceso a los datos ayudan a Atención al cliente de Google a solucionar problemas con tu cuenta. Por lo tanto, recomendamos habilitar los registros de auditoría de acceso a los datos cuando sea posible.
Si deseas habilitar todos los registros de auditoría para todos los servicios, sigue las instrucciones para actualizar la política de Identity and Access Management (IAM) con la configuración que aparece en el política de auditoría.
Después de definir tu política de acceso a los datos a nivel de la organización y habilitar Accede a los registros de auditoría, usa un proyecto de prueba de Google Cloud para validar configuración de la recopilación de registros de auditoría antes de crear proyectos de Google Cloud de producción en la organización.
Si deseas obtener instrucciones para habilitar los registros de auditoría de acceso a los datos, consulta Habilita los registros de auditoría de acceso a los datos.
Controla cómo se almacenan tus registros
Puedes configurar aspectos de los buckets de tu organización y crear en buckets definidos por los usuarios para centralizar o subdividir el almacenamiento de registros. Según tus requisitos de cumplimiento y uso, te recomendamos que personalices el almacenamiento de tus registros de la siguiente manera:
- Elige dónde se almacenan tus registros.
- Define el período de retención de datos.
- Protege tus registros con claves de encriptación administradas por el cliente (CMEK).
Elige dónde se almacenan tus registros
En Logging, los buckets son recursos regionales: la infraestructura que almacena, indexa y busca tus registros se encuentra en una ubicación geográfica específica.
Es posible que tu organización deba almacenar los datos de sus registros en regiones específicas. Los factores principales para seleccionar la región en la que se almacenan los registros incluyen cumplir con los requisitos de latencia, disponibilidad o cumplimiento de la organización.
Para aplicar automáticamente una región de almacenamiento en particular al nuevo
_Default
y _Required
buckets creados en tu organización, puedes
configurar la ubicación predeterminada de un recurso.
Si deseas obtener instrucciones para configurar las ubicaciones de recursos predeterminadas, consulta Establece la configuración predeterminada para las organizaciones.
Define períodos de retención de datos
Cloud Logging retiene registros de acuerdo con las reglas de retención que se aplican al registro el tipo de bucket en el que se guardan los registros.
Para satisfacer tus necesidades de cumplimiento, configura Cloud Logging para retener registros entre 1 día y 3,650 días. Las reglas de retención personalizadas se aplican a todos los registros en un bucket, sin importar el tipo de registro o si ese registro copiado desde otra ubicación.
Para obtener instrucciones sobre cómo configurar las reglas de retención para un bucket de registros, consulta Configura la retención personalizada.
Protege tus registros de auditoría con claves de encriptación administradas por el cliente
De forma predeterminada, Cloud Logging encripta el contenido del cliente almacenado en reposo. Tu organización podría tener requisitos de encriptación avanzados que la configuración la encriptación en reposo no lo proporciona. Para cumplir con los requisitos de tu organización, en lugar de que Google administre las claves de encriptación de claves que protegen tus datos configura claves de encriptación administradas por el cliente (CMEK) para controlar y administrar las tuyas la encriptación.
Si quieres obtener instrucciones para configurar CMEK, consulta Configura CMEK para el almacenamiento de registros.
Precios
Cloud Logging no cobra por enrutar los registros a una
destino admitido; Sin embargo, es posible que el destino aplique cargos.
Con la excepción del bucket de registros _Required
,
Cloud Logging cobra por transmitir registros a buckets de registros y
almacenarlos durante más tiempo que el período de retención predeterminado del bucket de registros.
Cloud Logging no cobra por copiar registros, definir alcances de registros ni emitir consultas a través de las páginas Explorador de registros o Análisis de registros.
Para obtener más información, consulta los siguientes documentos:
- Resumen de precios de Cloud Logging
Costos de destino:
- Los cargos de generación de registros de flujo de VPC se aplican cuando envías y, luego, excluyes los registros de flujo de la nube privada virtual de Cloud Logging.
Cuando configures y uses tus registros de auditoría, te recomendamos lo siguiente prácticas recomendadas relacionadas con los precios:
Consulta tu uso para estimar tus facturas y configurar políticas de alertas.
Ten en cuenta que los registros de auditoría de acceso a los datos pueden ser extensos generan costos adicionales de almacenamiento.
Administra tus costos. Para ello, excluye los registros de auditoría que no son útiles. Por ejemplo, puedes excluir los registros de auditoría de acceso a los datos en proyectos de desarrollo de software.
Consulta y visualiza registros de auditoría
Si necesitas solucionar problemas, es un requisito que puedas interpretar los registros con rapidez. En la consola de Google Cloud, usa el Explorador de registros para recuperar las entradas de registro de auditoría de tu organización:
-
En la consola de Google Cloud, ve a la página Explorador de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Selecciona tu organización.
En el panel Consulta, haz lo siguiente:
En Tipo de recurso, selecciona el recurso de Google Cloud cuyos registros de auditoría deseas ver.
En Nombre del registro, selecciona el tipo de registro de auditoría que deseas ver:
- En el caso de los registros de auditoría de la actividad del administrador, selecciona activity.
- En los registros de auditoría de acceso a los datos, selecciona data_access.
- En el caso de los registros de auditoría de eventos del sistema, selecciona system_event.
- En el caso de los registros de auditoría de política denegada, selecciona la política.
Si no ves estas opciones, significa que no hay registros de auditoría tipo disponible en la organización.
En el editor de consultas, especifica con más detalle las entradas de registro de auditoría que deseas ver. Para ver ejemplos de consultas comunes, visita Consultas de muestra con el Explorador de registros.
Haz clic en Ejecutar consulta.
Para obtener más información de las consultas con el Explorador de registros, visita Compila consultas en el Explorador de registros.
Supervisa tus registros de auditoría
Puedes usar Cloud Monitoring para notificarte cuando las condiciones que describas de que ocurran cambios. Para proporcionarle a Cloud Monitoring datos de tus registros, Logging permite crear políticas de alertas basadas en registros, que te notifican cada vez que aparece un evento específico en un registro.
Configura políticas de alertas para distinguir entre eventos que requieren acciones en comparación con los eventos de baja prioridad. Por ejemplo, si quieres saber cuándo un registro de auditoría registra un mensaje de acceso a los datos en particular, puedes crear basada en registros que coincida con el mensaje y te notifique cuando aparecerá un mensaje.
Si deseas obtener instrucciones para configurar políticas de alertas basadas en registros, consulta Administra políticas de alertas basadas en registros.
Enruta registros a destinos compatibles.
Es posible que tu organización deba enfrentar requisitos para crear y conservar auditorías de datos. Con los receptores, puedes enrutar algunos o todos tus registros a estos destinos compatibles:
- Cloud Storage
- Pub/Sub, incluidos terceros como Splunk
- BigQuery
- Otro bucket de Cloud Logging
Determina si necesitas receptores a nivel de carpeta o de organización. enrutar registros de todos los proyectos de Google Cloud dentro de la organización o con receptores agregados. Para ejemplo, podrías considerar estos casos de uso de enrutamiento:
Receptor a nivel de organización: si tu organización usa una SIEM o varios registros de auditoría, puedes enrutar todos los registros de auditoría de tu registros de auditoría de Cloud. Por lo tanto, un receptor a nivel de organización tiene sentido.
Receptor a nivel de carpeta: a veces, quizás quieras enrutar registros de auditoría de Cloud. Por ejemplo, si tienes una carpeta “Finanzas” y una carpeta “TI”, es posible que te interese enrutar solo los registros de auditoría que pertenecen a la carpeta “Finanzas” o viceversa.
Para obtener más información sobre carpetas y organizaciones, consulta Jerarquía de recursos.
Aplica las mismas políticas de acceso al destino de Google Cloud que usar para enrutar los registros como los aplicaste al Explorador de registros.
Si deseas obtener instrucciones para crear y administrar receptores agregados, consulta Recopila y enruta registros a nivel de la organización a destinos compatibles.
Comprende el formato de datos en los destinos de receptores
Cuando enrutes registros de auditoría a destinos fuera de Cloud Logging, comprender el formato de los datos que se enviaron.
Por ejemplo, si enrutas registros a BigQuery, Cloud Logging aplica reglas para acortar los nombres de campo del esquema de BigQuery para registros de auditoría y para determinados de carga útil estructurada.
Para comprender y encontrar las entradas de registro que enrutaste Cloud Logging en destinos compatibles, consulta Visualiza registros en destinos de receptores.
Copiar las entradas de registro
Según las necesidades de cumplimiento de tu organización, es posible que debas compartir entradas de registro de auditoría con auditores fuera de Logging. Si necesitas para compartir entradas de registro que ya están almacenadas en buckets de Cloud Logging, puedes copiarlos manualmente a buckets de Cloud Storage.
Cuando copias entradas de registro a Cloud Storage, estas también permanecen en el bucket de registro del que se copiaron.
Ten en cuenta que las operaciones de copia no reemplazan a los destinos de eliminación, que envían automáticamente todas las entradas de registro entrantes a un destino de almacenamiento compatible preseleccionado, incluido Cloud Storage.
Para obtener instrucciones sobre cómo enrutar registros a Cloud Storage de forma retroactiva, Consulta Copia entradas de registro.