Ce document recommande une séquence de tâches de journalisation d'audit pour vous aider l'organisation à maintenir la sécurité et à minimiser les risques.
Ce document n'est pas une liste exhaustive de recommandations. Son objectif est plutôt pour vous aider à comprendre le champ d'application des activités de journalisation d'audit et à planifier en conséquence.
Chaque section fournit des actions clés et inclut des liens vers une documentation complémentaire.
Comprendre Cloud Audit Logs
Les journaux d'audit sont disponibles pour la plupart des services Google Cloud. Cloud Audit Logs fournit les types de journaux d'audit suivants pour chaque Projet, dossier et organisation Google Cloud:
| Type de journal d'audit | Configurable | À facturer |
|---|---|---|
| Journaux d'audit pour les activités d'administration | Non ; toujours écrit | Non |
| Journaux d'audit pour l'accès aux données | Oui | Oui |
| Journaux d'audit des refus de règles | Oui. vous pouvez empêcher l'écriture de ces journaux dans des buckets de journaux | Oui |
| Journaux d'audit d'événements système | Non ; toujours écrit | Non |
Les journaux d'audit pour l'accès aux données sont désactivés par défaut (sauf dans BigQuery). Si vous souhaitez que les journaux d'audit des accès aux données soient écrits pour Google Cloud vous devez les activer explicitement. pour en savoir plus, consultez Configurez les journaux d'audit des accès aux données sur ce .
Pour en savoir plus sur l'environnement global des journaux d'audit avec Google Cloud, consultez la présentation de Cloud Audit Logs.
Contrôler l'accès aux journaux
En raison du caractère sensible des données des journaux d'audit, il est particulièrement important configurer les contrôles d'accès appropriés pour les utilisateurs de votre organisation.
Selon vos exigences de conformité et d'utilisation, définissez ces contrôles d'accès comme suit:
- Définir les autorisations IAM
- configurer des vues de journaux ;
- définir des contrôles d'accès au niveau du champ des entrée de journal ;
Définir les autorisations IAM
les autorisations IAM Les rôles déterminent la possibilité d'accéder aux journaux d'audit dans l'API Logging, l'explorateur de journaux et l'outil Google Cloud CLI. Utilisez Cloud IAM pour accorder un accès précis Google Cloud et empêchent tout accès indésirable aux autres ressources.
Les rôles basés sur des autorisations que vous attribuez à vos utilisateurs dépendent liées à l'audit au sein de votre organisation. Par exemple, vous pouvez accordent des autorisations administratives générales à votre directeur de la technologie, tandis que votre équipe de développeurs peuvent avoir besoin d'autorisations pour consulter les journaux. Pour savoir quels rôles accorder aux utilisateurs de votre organisation, consultez Configurer des rôles pour les journaux d'audit
Lorsque vous définissez des autorisations IAM, appliquez le principe de sécurité du principe du moindre privilège afin de n'accorder aux utilisateurs que l'accès nécessaire à vos ressources:
- Supprimez tous les utilisateurs non essentiels.
- Accordez aux utilisateurs essentiels les autorisations minimales et appropriées.
Pour obtenir des instructions sur la définition des autorisations IAM, consultez Gérer l'accès aux projets, aux dossiers et aux organisations
Configurer les vues de journaux
Tous les journaux, y compris les journaux d'audit, reçus par Logging sont écrits dans des conteneurs de stockage appelés buckets de journaux. Les vues de journaux vous permettent de contrôler qui a l'accès aux journaux dans vos buckets de journaux.
Comme les buckets de journaux peuvent contenir des journaux provenant de plusieurs projets Google Cloud, vous devrez peut-être contrôler les projets Google Cloud que les différents utilisateurs peuvent afficher les journaux. Créer des vues de journaux personnalisées, qui vous donnent un accès plus précis pour ces buckets.
Pour savoir comment créer et gérer des vues de journaux, consultez Configurez des vues de journaux sur un bucket de journaux.
Définir les contrôles d'accès au niveau des champs de journal
Les contrôles d'accès au niveau du champ vous permettent de masquer des champs LogEntry individuels pour les utilisateurs
d'un projet Google Cloud, ce qui vous offre un moyen plus précis de contrôler les journaux
données auxquelles
un utilisateur peut accéder. Par rapport aux vues de journaux, qui masquent les
l'intégralité du LogEntry, les contrôles d'accès au niveau du champ masquent les champs individuels du
LogEntry Par exemple, vous pouvez masquer les informations permettant d'identifier personnellement les utilisateurs externes,
dans la charge utile de l'entrée de journal, à partir de la majorité
les utilisateurs de votre organisation.
Pour obtenir des instructions sur la configuration des contrôles d'accès au niveau du champ, consultez Configurez l'accès au niveau du champ.
Configurer les journaux d'audit pour l'accès aux données
Lorsque vous activez de nouveaux services Google Cloud, déterminez s'il le faut ou non Journaux d'audit des accès aux données
Les journaux d'audit pour l'accès aux données aident l'assistance Google à résoudre les problèmes liés à votre compte. Par conséquent, nous vous recommandons d'activer les journaux d'audit des accès aux données dans la mesure du possible.
Pour activer tous les journaux d'audit pour l'ensemble des services, suivez les Instructions pour mettre à jour la stratégie Identity and Access Management (IAM) avec la configuration indiquée dans le règle d'audit.
Après avoir défini votre règle d'accès aux données au niveau de l'organisation et activé les données Accédez aux journaux d'audit et utilisez un projet Google Cloud de test pour valider la configuration de la collecte des journaux d'audit avant de créer projets Google Cloud de production de l'organisation.
Pour savoir comment activer les journaux d'audit des accès aux données, consultez Activez les journaux d'audit des accès aux données.
Contrôlez le stockage de vos journaux
Vous pouvez configurer certains aspects des buckets de votre organisation et créer des buckets définis par l'utilisateur pour centraliser ou subdiviser le stockage de journaux. En fonction de vos exigences en termes de conformité et d'utilisation, vous pouvez personnaliser vos journaux comme suit:
- Choisissez l'emplacement de stockage de vos journaux.
- Définissez la durée de conservation des données.
- Protégez vos journaux à l'aide de clés de chiffrement gérées par le client (CMEK).
Choisissez l'emplacement de stockage de vos journaux
Dans les buckets Logging, il s'agit de ressources régionales : qui stocke, indexe et effectue des recherches dans vos journaux se trouve dans un emplacement de leur emplacement géographique.
Votre organisation peut être amenée à stocker ses données de journaux dans des régions spécifiques. Les principaux facteurs qui déterminent la région dans laquelle vos journaux sont stockés consistent, entre autres, à répondre aux exigences de latence, de disponibilité ou de conformité de votre organisation.
Pour appliquer automatiquement une région de stockage particulière
_Default et _Required buckets créés dans votre organisation, vous pouvez
configurer un emplacement de ressource par défaut.
Pour obtenir des instructions sur la configuration des emplacements de ressources par défaut, consultez Configurez les paramètres par défaut pour les organisations.
Définir des durées de conservation des données
Cloud Logging conserve les journaux conformément aux règles de conservation appliquées au type de bucket de journaux où ils sont conservés.
Pour répondre à vos besoins de conformité, configurez Cloud Logging de façon à conserver les journaux entre 1 jour et 3 650 jours. Les règles de conservation personnalisées s'appliquent à tous les journaux d'un bucket, qu'ils aient été copiés depuis un autre emplacement ou non.
Pour savoir comment définir des règles de conservation pour un bucket de journaux, consultez Configurer des règles de conservation personnalisées
Protéger vos journaux d'audit à l'aide de clés de chiffrement gérées par le client
Par défaut, Cloud Logging chiffre le contenu client stocké au repos. Votre d'organisation peut avoir des exigences de chiffrement avancées que le chiffrement au repos ne fournit pas. Pour répondre aux exigences de votre organisation, au lieu de laisser Google gérer les clés de chiffrement de clé qui protègent vos données, configurer des clés de chiffrement gérées par le client (CMEK) pour contrôler et gérer le chiffrement.
Pour obtenir des instructions sur la configuration des CMEK, consultez Configurez une clé CMEK pour le stockage des journaux.
Tarifs
Cloud Logging ne facture pas l'acheminement des journaux vers
destination prise en charge ; Toutefois, des frais peuvent s'appliquer à la destination.
À l'exception du bucket de journaux _Required,
Cloud Logging facture l'insertion de journaux dans des buckets de journaux
pour le stockage plus longtemps que la durée
de conservation par défaut du bucket de journaux.
Cloud Logging ne facture pas la copie des journaux ni les requêtes émises via la page Explorateur de journaux ou la page Analyse de journaux.
Pour en savoir plus, consultez les documents suivants :
- Récapitulatif des tarifs de Cloud Logging
Coûts de destination:
- Frais de génération de journaux de flux VPC lorsque vous envoyez les journaux de flux de cloud privé virtuel, puis les excluez de Cloud Logging.
Lorsque vous configurez et utilisez vos journaux d'audit, nous vous recommandons de suivre ces recommandations : bonnes pratiques en matière de tarification:
Estimer vos factures en consultant votre utilisation et configurer des règles d'alerte.
Sachez que les journaux d'audit des accès aux données peuvent être volumineux et que vous pouvez entraîner des coûts de stockage supplémentaires.
Gérez vos coûts en excluant les journaux d'audit qui ne sont pas utiles. Par exemple, vous pouvez probablement exclure les journaux d'audit des accès aux données projets de développement.
Interroger et afficher des journaux d'audit
En cas de problème, vous devez pouvoir consulter rapidement les journaux. Dans la console Google Cloud, utilisez l'explorateur de journaux pour récupérer les entrées du journal d'audit de votre organisation:
-
Dans la console Google Cloud, accédez à la page Explorateur de journaux.
Accéder à l'explorateur de journaux
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Sélectionnez votre organisation.
Dans le volet Requête, procédez comme suit:
Dans Type de ressource, sélectionnez la ressource Google Cloud dont vous souhaitez afficher les journaux d'audit.
Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :
- Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.
- Pour les journaux d'audit des accès aux données, sélectionnez data_access.
- Pour les journaux d'audit des événements système, sélectionnez system_event.
- Pour les journaux d'audit des refus de règles, sélectionnez policy.
Si ces options ne s'affichent pas, cela signifie qu'aucun journal d'audit n'est disponible est disponible dans l'organisation.
Dans l'éditeur de requête, spécifiez les entrées de journal d'audit que vous souhaitez pour en savoir plus. Pour obtenir des exemples de requêtes courantes, consultez Exemples de requêtes avec l'explorateur de journaux
Cliquez sur Exécuter la requête.
Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez la page Créer des requêtes dans l'explorateur de journaux.
Surveiller vos journaux d'audit
Vous pouvez utiliser Cloud Monitoring pour être informé lorsque des conditions que vous décrivez se produisent. Pour fournir à Cloud Monitoring les données de vos journaux, Logging vous permet de créer des règles d'alerte basées sur les journaux, qui vous avertissent chaque fois qu'un événement spécifique apparaît dans un journal.
Configurez des règles d'alerte pour distinguer les événements qui nécessitent une intervention l'investigation par rapport aux événements à faible priorité. Par exemple, si vous voulez savoir quand un journal d'audit enregistre un message spécifique d'accès aux données, vous pouvez créer un basée sur les journaux correspondant au message et qui vous avertit lorsque s'affiche.
Pour obtenir des instructions sur la configuration des règles d'alerte basées sur les journaux, consultez Gérer les règles d'alerte basées sur les journaux
Acheminer les journaux vers les destinations compatibles
Votre organisation peut être soumise à des exigences pour créer et conserver un audit journaux. À l'aide de récepteurs, vous pouvez router une partie tous vos journaux vers les destinations compatibles suivantes:
- Cloud Storage
- Pub/Sub, y compris des tiers tels que Splunk
- BigQuery
- Un autre bucket Cloud Logging
déterminer si vous avez besoin de récepteurs au niveau du dossier ou de l'organisation ; acheminer les journaux de tous les projets Google Cloud de l'organisation à l'aide de récepteurs agrégés. Pour exemple, vous pouvez envisager ces cas d'utilisation de routage:
Récepteur au niveau de l'organisation: si votre organisation utilise un outil SIEM pour gérer plusieurs journaux d'audit, vous pouvez router tous les journaux d'audit les journaux d'audit. Ainsi, un récepteur au niveau de l'organisation est judicieux.
Récepteur au niveau du dossier: il peut arriver que vous souhaitiez uniquement router les journaux d'audit. Par exemple, si vous avez une adresse dossier et un « IT » vous pouvez opter pour le routage des journaux d'audit uniquement appartenant au groupe "Finance" d'un dossier, ou l'inverse.
Pour en savoir plus sur les dossiers et les organisations, consultez Hiérarchie des ressources.
Appliquez à la destination Google Cloud les mêmes stratégies d'accès que celles que vous avez pour acheminer les journaux comme vous l'avez appliqué à l'explorateur de journaux.
Pour obtenir des instructions sur la création et la gestion de récepteurs agrégés, consultez Rassemblez et acheminez les journaux au niveau de l'organisation vers des destinations compatibles.
Comprendre le format des données dans les destinations des récepteurs
Lorsque vous acheminez des journaux d'audit vers des destinations extérieures à Cloud Logging, comprendre le format des données qui ont été envoyées.
Par exemple, si les journaux sont acheminés vers BigQuery, applique des règles pour raccourcir les noms de champs des schémas BigQuery journaux d'audit et, pour certaines des champs de charge utile structurée.
Pour comprendre et trouver les entrées de journal à partir desquelles vous avez acheminé Cloud Logging vers les destinations compatibles, consultez Affichez les journaux dans les destinations de récepteurs.
Copier les entrées de journal
En fonction des besoins de conformité de votre organisation, vous devrez peut-être partager les entrées de journaux d'audit avec des auditeurs extérieurs à Logging. Si vous avez besoin pour partager les entrées de journal déjà stockées dans des buckets Cloud Logging, vous pouvez les copier manuellement dans des buckets Cloud Storage.
Après avoir copié des entrées de journal dans Cloud Storage, les entrées de journal restent stockées dans le bucket à partir duquel elles ont été copiées.
Notez que les opérations de copie ne remplacent pas qui envoient automatiquement toutes les entrées de journal entrantes vers destination de stockage compatible, y compris Cloud Storage.
Pour savoir comment acheminer les journaux vers Cloud Storage rétroactivement, consultez la section Copier des entrées de journal.