In diesem Dokument wird eine Reihe von Audit-Logging-Aufgaben empfohlen, um die Sicherheit in Ihrer Organisation aufrechtzuerhalten und Risiken zu minimieren.
Dieses Dokument ist keine vollständige Liste von Empfehlungen. Es dient vielmehr dazu, Ihnen den Umfang der Audit-Logging-Aktivitäten zu erläutern und entsprechend zu planen.
In jedem Abschnitt werden wichtige Aktionen und weiterführende Links aufgeführt.
Informationen zu Cloud-Audit-Logs
Audit-Logs sind für die meisten Google Cloud-Dienste verfügbar. Cloud-Audit-Logs bieten die folgenden Arten von Audit-Logs für jedes Google Cloud-Projekt, jeden Ordner und jede Organisation:
| Audit-Log-Typ | Konfigurierbar | Kann in Rechnung gestellt werden |
|---|---|---|
| Audit-Logs zur Administratoraktivität | Nein; immer geschrieben | Nein |
| Audit-Logs zum Datenzugriff | Ja | Ja |
| Audit-Logs zu Richtlinienverstößen | Ja. Sie können festlegen, dass diese Logs nicht in Log-Buckets geschrieben werden. | Ja |
| Audit-Logs zu Systemereignissen | Nein; immer geschrieben | Nein |
Audit-Logs zum Datenzugriff sind – außer für BigQuery – standardmäßig deaktiviert. Wenn Audit-Logs zum Datenzugriff für Google Cloud-Dienste geschrieben werden sollen, müssen Sie diese explizit aktivieren. Weitere Informationen finden Sie auf dieser Seite unter Audit-Logs zum Datenzugriff konfigurieren.
Informationen zur Gesamtlandschaft für das Audit-Logging mit Google Cloud finden Sie in der Übersicht zu Cloud-Audit-Logs.
Zugriff auf Logs steuern
Aufgrund der Vertraulichkeit von Audit-Logging-Daten ist es besonders wichtig, die geeigneten Zugriffssteuerungen für die Nutzer Ihrer Organisation zu konfigurieren.
Legen Sie diese Zugriffssteuerungen je nach Compliance- und Nutzungsanforderungen so fest:
- IAM-Berechtigungen festlegen
- Logansichten konfigurieren
- Zugriffssteuerungen auf Feldebene für Logeinträge festlegen
IAM-Berechtigungen festlegen
IAM-Berechtigungen und -Rollen bestimmen, ob Nutzer in der Logging API, im Log-Explorer und in der Google Cloud CLI auf Audit-Log-Daten zugreifen können. Mit IAM können Sie detaillierten Zugriff auf bestimmte Google Cloud-Buckets gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern.
Welche berechtigungsbasierten Rollen Sie Ihren Nutzern zuweisen, hängt von deren prüfbezogenen Funktionen in Ihrer Organisation ab. Beispielsweise können Sie Ihrem CTO umfassende Administratorberechtigungen gewähren, während Mitglieder Ihres Entwicklerteams möglicherweise Berechtigungen zur Anzeige von Logs benötigen. Eine Anleitung dazu, welche Rollen den Nutzern Ihrer Organisation zugewiesen werden können, finden Sie unter Rollen für das Audit-Logging konfigurieren.
Wenden Sie beim Festlegen von IAM-Berechtigungen das Sicherheitsprinzip der geringsten Berechtigung an, damit Sie Nutzern nur den notwendigen Zugriff auf Ihre Ressourcen gewähren:
- Entfernen Sie alle nicht wichtigen Nutzer.
- Weisen Sie wichtigen Nutzern die erforderlichen und minimalen Berechtigungen zu.
Eine Anleitung zum Festlegen von IAM-Berechtigungen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Logansichten konfigurieren
Alle von Logging empfangenen Logs, einschließlich Audit-Logs, werden in Speichercontainer geschrieben, die als Log-Buckets bezeichnet werden. Mit Log-Ansichten können Sie steuern, wer Zugriff auf die Logs in Ihren Log-Buckets hat.
Da Log-Buckets Logs aus mehreren Google Cloud-Projekten enthalten können, müssen Sie möglicherweise festlegen, aus welchen Google Cloud-Projekten die einzelnen Nutzer Logs aufrufen können. Erstellen Sie benutzerdefinierte Logansichten, die Ihnen eine detailliertere Zugriffssteuerung für diese Buckets ermöglichen.
Eine Anleitung zum Erstellen und Verwalten von Logansichten finden Sie unter Logansichten für einen Log-Bucket konfigurieren.
Zugriffssteuerungen auf Logfeldebene festlegen
Mit Zugriffssteuerungen auf Feldebene können Sie einzelne LogEntry-Felder vor Nutzern eines Google Cloud-Projekts ausblenden. So lässt sich genauer steuern, auf welche Logdaten ein Nutzer zugreifen kann. Im Vergleich zu Logansichten, in denen die gesamte LogEntry ausgeblendet wird, werden bei Zugriffssteuerungen auf Feldebene einzelne Felder von LogEntry ausgeblendet. Beispielsweise haben Sie die Möglichkeit, die personenidentifizierbaren Informationen externer Nutzer, wie etwa eine in der Nutzlast des Logeintrags enthaltene E-Mail-Adresse, von den meisten Nutzern Ihrer Organisation zu entfernen.
Eine Anleitung zum Konfigurieren von Zugriffssteuerungen auf Feldebene finden Sie unter Zugriff auf Feldebene konfigurieren.
Audit-Logs für den Datenzugriff konfigurieren
Überlegen Sie beim Aktivieren neuer Google Cloud-Dienste, ob Audit-Logs zum Datenzugriff aktiviert werden sollen.
Audit-Logs zum Datenzugriff helfen dem Google-Support beim Beheben von Problemen mit Ihrem Konto. Daher empfehlen wir, Audit-Logs zum Datenzugriff nach Möglichkeit zu aktivieren.
Folgen Sie der Anleitung zum Aktualisieren der IAM-Richtlinie (Identity and Access Management) mit der in der Audit-Richtlinie aufgeführten Konfiguration, um alle Audit-Logs für alle Dienste zu aktivieren.
Nachdem Sie Ihre Datenzugriffsrichtlinie auf Organisationsebene definiert und Audit-Logs zum Datenzugriff aktiviert haben, validieren Sie mit einem Google Cloud-Testprojekt die Konfiguration Ihrer Audit-Log-Sammlung, bevor Sie Google Cloud-Entwickler- und Produktions-Google Cloud-Projekte in der Organisation erstellen.
Eine Anleitung zum Aktivieren von Audit-Logs zum Datenzugriff finden Sie unter Audit-Logs zum Datenzugriff aktivieren.
Festlegen, wie Logs gespeichert werden
Sie können Aspekte der Buckets Ihrer Organisation konfigurieren und auch benutzerdefinierte Buckets erstellen, um Ihren Logspeicher zu zentralisieren oder zu unterteilen. Abhängig von Ihren Compliance- und Nutzungsanforderungen können Sie Ihren Logspeicher so anpassen:
- Wählen Sie aus, wo die Logs gespeichert werden sollen.
- Definieren Sie die Aufbewahrungsdauer.
- Schützen Sie Ihre Logs mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK).
Speicherort der Logs auswählen
In Logging sind Buckets regionale Ressourcen: Die Infrastruktur, die Ihre Logs speichert, indexiert und durchsucht, befindet sich an einem bestimmten geografischen Standort.
Ihre Organisation muss Logdaten möglicherweise in bestimmten Regionen speichern. Einer der primären Hauptfaktoren bei der Auswahl der Region, in der Logs gespeichert werden, ist die Erfüllung der Anforderungen Ihres Unternehmens in Bezug auf Latenz, Verfügbarkeit oder Compliance.
Sie können einen Standardspeicherort für Ressourcen konfigurieren, um eine bestimmte Speicherregion automatisch auf die neuen _Default- und _Required-Buckets in Ihrer Organisation anzuwenden.
Eine Anleitung zum Konfigurieren von Standardspeicherorten finden Sie unter Standardeinstellungen für Organisationen konfigurieren.
Aufbewahrungsdauer für Daten definieren
Cloud Logging speichert Logs gemäß den Aufbewahrungsregeln für den Log-Bucket-Typ, in dem die Logs gespeichert sind.
Konfigurieren Sie Cloud Logging so, dass Logs zwischen einem und 3.650 Tagen aufbewahrt werden, um Ihre Complianceanforderungen zu erfüllen. Benutzerdefinierte Aufbewahrungsregeln gelten für alle Logs in einem Bucket, unabhängig vom Logtyp oder davon, ob dieses Log von einem anderen Speicherort kopiert wurde.
Eine Anleitung zum Festlegen von Aufbewahrungsregeln für einen Log-Bucket finden Sie unter Benutzerdefinierte Aufbewahrung konfigurieren.
Audit-Logs mit vom Kunden verwalteten Verschlüsselungsschlüsseln schützen
Standardmäßig verschlüsselt Cloud Logging inaktive Kundeninhalte. Ihre Organisation hat möglicherweise erweiterte Verschlüsselungsanforderungen, die die Standardverschlüsselung inaktiver Daten nicht bietet. Um die Anforderungen Ihrer Organisation zu erfüllen, konfigurieren Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) so, dass Ihre eigene Verschlüsselung gesteuert und verwaltet wird, anstatt Google die Schlüsselverschlüsselungsschlüssel zum Schutz Ihrer Daten verwalten zu lassen.
Eine Anleitung zum Konfigurieren von CMEK finden Sie unter CMEK für den Logspeicher konfigurieren.
Preise
Das Weiterleiten von Logs an ein unterstütztes Ziel ist in Cloud Logging kostenlos. Für das Ziel können jedoch Gebühren anfallen.
Mit Ausnahme des Log-Buckets _Required berechnet Cloud Logging Gebühren für das Streamen von Logs in Log-Buckets und für eine längere Speicherdauer als die standardmäßige Aufbewahrungsdauer des Log-Buckets.
Bei Cloud Logging fallen keine Kosten für das Kopieren von Logs oder für Abfragen an, die über die Seite Log-Explorer oder Loganalysen ausgeführt werden.
Weitere Informationen finden Sie in folgenden Dokumenten:
- Preisübersicht für Cloud Logging
Zielkosten:
- Gebühren für das Generieren von VPC-Flusslogs fallen an, wenn Sie Ihre Virtual Private Cloud-Flusslogs senden und dann von Cloud Logging ausschließen.
Für die Konfiguration und Verwendung Ihrer Audit-Logs empfehlen wir die folgenden preisbezogenen Best Practices:
Schätzen Sie Ihre Rechnungen, indem Sie sich Ihre Nutzungsdaten ansehen und Benachrichtigungen einrichten.
Beachten Sie, dass Audit-Logs zum Datenzugriff groß sein können und dass zusätzliche Speicherkosten anfallen können.
Verwalten Sie Ihre Kosten, indem Sie nicht nützliche Audit-Logs ausschließen. Beispielsweise können Sie Audit-Logs zum Datenzugriff in Entwicklungsprojekten wahrscheinlich ausschließen.
Audit-Logs abfragen und ansehen
Wenn Sie Fehler beheben müssen, ist die Möglichkeit, Logs schnell aufrufen zu können, sehr hilfreich. Rufen Sie in der Google Cloud Console mit dem Log-Explorer die Audit-Logeinträge für Ihre Organisation ab:
-
Wählen Sie im Navigationsbereich der Google Cloud Console Logging und anschließend Log-Explorer aus:
Wählen Sie Ihre Organisation aus.
Führen Sie im Bereich Abfrage die folgenden Schritte aus:
Wählen Sie unter Ressourcentyp die Google Cloud-Ressource aus, deren Audit-Logs angezeigt werden sollen.
Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten:
- Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.
- Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.
- Wählen Sie für Audit-Logs zu Systemereignissen die Option system_event aus.
- Wählen Sie für Audit-Logs zu Richtlinienverstößen die Option policy aus.
Wenn diese Optionen nicht angezeigt werden, sind in der Organisation keine Audit-Logs dieses Typs verfügbar.
Geben Sie im Abfrageeditor die Audit-Logeinträge, die Sie sehen möchten, weiter an. Beispiele für häufig verwendete Abfragen finden Sie unter Beispielabfragen mit dem Log-Explorer.
Klicken Sie auf Abfrage ausführen.
Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen.
Audit-Logs überwachen
Sie können Cloud Monitoring verwenden, um sich benachrichtigen zu lassen, wenn von Ihnen beschriebene Bedingungen eintreten. Damit Cloud Monitoring Daten aus Ihren Logs zur Verfügung stellt, können Sie sich in Logging über logbasierte Benachrichtigungen informieren lassen, wenn ein bestimmtes Ereignis in einem Log aufgeführt wird.
Konfigurieren Sie Benachrichtigungen, um zwischen Ereignissen, die eine sofortige Untersuchung erfordern, und Ereignissen mit niedriger Priorität zu unterscheiden. Wenn Sie beispielsweise wissen möchten, wann eine bestimmte Nachricht über den Datenzugriff in einem Audit-Log aufgezeichnet wird, können Sie eine logbasierte Benachrichtigung erstellen, die der Nachricht entspricht und Sie benachrichtigt, wenn sie angezeigt wird.
Eine Anleitung zum Konfigurieren logbasierter Benachrichtigungen finden Sie unter Logbasierte Benachrichtigungen verwalten.
Logs an unterstützte Ziele weiterleiten
Möglicherweise müssen in Ihrer Organisation Audit-Logs erstellt und aufbewahrt werden. Mithilfe von Senken können Sie einige oder alle Logs an diese unterstützten Ziele weiterleiten:
- Cloud Storage
- Pub/Sub, einschließlich Drittanbieter wie Splunk
- BigQuery
- Einen weiteren Cloud Logging-Bucket
Bestimmen Sie, ob Sie Senken auf Ordner- oder Organisationsebene benötigen, und leiten Sie Logs aus allen Google Cloud-Projekten innerhalb der Organisation oder des Ordners mithilfe von aggregierten Senken weiter. Hier sind einige Anwendungsfälle für das Routing:
Senke auf Organisationsebene: Wenn Ihre Organisation mehrere Audit-Logs mit einem SIEM verwaltet, sollten Sie alle Audit-Logs Ihrer Organisation weiterleiten. Daher ist eine Senke auf Organisationsebene sinnvoll.
Senke auf Ordnerebene: Manchmal möchten Sie vielleicht nur Audit-Logs der Abteilung weiterleiten. Wenn Sie beispielsweise einen Ordner „Finanzen“ und einen Ordner „IT“ haben, kann es sinnvoll sein, nur die Audit-Logs aus dem Ordner „Finanzen“ weiterzuleiten oder umgekehrt.
Weitere Informationen zu Ordnern und Organisationen finden Sie unter Ressourcenhierarchie.
Wenden Sie dieselben Zugriffsrichtlinien auf das Google Cloud-Ziel an, das Sie zum Weiterleiten von Logs aus dem Log-Explorer verwenden.
Eine Anleitung zum Erstellen und Verwalten aggregierter Senken finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten.
Datenformat in Senkenzielen verstehen
Informieren Sie sich über das Format der gesendeten Daten, wenn Sie Audit-Logs an Ziele außerhalb von Cloud Logging weiterleiten.
Beim Routing von Logs an BigQuery werden in Cloud Logging beispielsweise Regeln zum Kürzen von BigQuery-Schemafeldnamen für Audit-Logs und für bestimmte strukturierte Nutzlastfelder angewendet.
Informationen zu Logeinträgen, die Sie von Cloud Logging an unterstützte Ziele weitergeleitet haben, finden Sie unter Logs in Senkenzielen ansehen.
Logeinträge kopieren
Je nach den Complianceanforderungen Ihrer Organisation müssen Sie Audit-Logeinträge möglicherweise für Auditoren außerhalb von Logging freigeben. Wenn Sie Logeinträge freigeben müssen, die bereits in Cloud Logging-Buckets gespeichert sind, können Sie sie manuell in Cloud Storage-Buckets kopieren.
Wenn Sie Logeinträge nach Cloud Storage kopieren, bleiben die Logeinträge auch in dem Log-Bucket erhalten, aus dem sie kopiert wurden
Beachten Sie, dass Kopiervorgänge keine Senken ersetzen, die automatisch alle eingehenden Logeinträge an ein vorausgewähltes unterstütztes Speicherziel, einschließlich Cloud Storage, senden.
Eine Anleitung zum rückwirkenden Routing von Logs an Cloud Storage finden Sie unter Logeinträge kopieren.