In diesem Dokument wird eine Abfolge von Audit-Logging-Aufgaben empfohlen, mit denen Sie in Ihrer Organisation für Sicherheit sorgen und Risiken minimieren können.
Dieses Dokument ist nicht als abschließende Liste von Empfehlungen zu betrachten. Er soll Ihnen stattdessen einen Überblick über den Umfang der Audit-Log-Aktivitäten bieten, damit Sie entsprechend planen können.
In jedem Abschnitt werden wichtige Aktionen und weiterführende Links aufgeführt.
Cloud-Audit-Logs
Audit-Logs sind für die meisten Google Cloud-Dienste verfügbar. Cloud-Audit-Logs bietet für jedes Google Cloud-Projekt, jedes Abrechnungskonto, jeden Ordner und jede Organisation die folgenden Arten von Audit-Logs:
| Audit-Logtyp | Konfigurierbar | Kann in Rechnung gestellt werden |
|---|---|---|
| Audit-Logs zur Administratoraktivität | Nein, immer geschrieben | Nein |
| Audit-Logs zum Datenzugriff | Ja | Ja |
| Audit-Logs zu Richtlinienverstößen | Ja. Sie können festlegen, dass diese Logs nicht in Log-Buckets geschrieben werden. | Ja |
| Audit-Logs zu Systemereignissen | Nein, immer geschrieben | Nein |
Audit-Logs zum Datenzugriff sind – außer für BigQuery – standardmäßig deaktiviert. Wenn Audit-Logs zum Datenzugriff für Google Cloud-Dienste geschrieben werden sollen, müssen Sie sie explizit aktivieren. Weitere Informationen finden Sie auf dieser Seite unter Audit-Logs zum Datenzugriff konfigurieren.
Informationen zum Gesamtbild des Audit-Loggings mit Google Cloud finden Sie unter Cloud-Audit-Logs.
Zugriff auf Logs steuern
Aufgrund der Sensibilität von Daten aus Audit-Logs ist es besonders wichtig, die entsprechenden Zugriffssteuerungen für die Nutzer Ihrer Organisation zu konfigurieren.
Legen Sie diese Zugriffssteuerungen je nach Compliance- und Nutzungsanforderungen so fest:
- IAM-Berechtigungen festlegen
- Logansichten konfigurieren
- Zugriffssteuerung auf Feldebene für Protokolleinträge festlegen
IAM-Berechtigungen festlegen
IAM-Berechtigungen und -Rollen bestimmen die Fähigkeit von Nutzern, auf Audit-Logdaten in der Logging API, dem Log-Explorer und der Google Cloud CLI zuzugreifen. Mit IAM können Sie detaillierte Zugriffsberechtigungen auf bestimmte Google Cloud-Buckets gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern.
Die rollenbasierten Berechtigungen, die Sie Ihren Nutzern gewähren, hängen von ihren prüfungsbezogenen Funktionen in Ihrer Organisation ab. So können Sie Ihrem CTO beispielsweise umfassende Administratorberechtigungen gewähren, während die Mitglieder Ihres Entwicklerteams Berechtigungen zum Ansehen von Protokollen benötigen. Informationen dazu, welche Rollen Sie den Nutzern Ihrer Organisation zuweisen sollten, finden Sie unter Rollen für das Audit-Logging konfigurieren.
Wenden Sie beim Festlegen von IAM-Berechtigungen das Sicherheitsprinzip der geringsten Berechtigung an, um Nutzern nur den erforderlichen Zugriff auf Ihre Ressourcen zu gewähren:
- Entfernen Sie alle nicht erforderlichen Nutzer.
- Wählt für die wichtigsten Nutzer die richtigen und minimalen Berechtigungen aus.
Eine Anleitung zum Festlegen von IAM-Berechtigungen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Logansichten konfigurieren
Alle von Logging empfangenen Logs, einschließlich Audit-Logs, werden in Speichercontainer geschrieben, die Log-Buckets genannt werden. Mit Logansichten können Sie steuern, wer Zugriff auf die Logs in Ihren Log-Buckets hat.
Da Log-Buckets Logs von mehreren Google Cloud-Projekten enthalten können, müssen Sie möglicherweise steuern, aus welchen Google Cloud-Projekten unterschiedliche Nutzer Logs aufrufen können. Sie können benutzerdefinierte Logansichten erstellen, die eine genauere Zugriffssteuerung für diese Buckets ermöglichen.
Sie können Logansichten mit dem Log-Explorer oder mit Log Analytics abfragen. Weitere Informationen finden Sie unter Logs abfragen und ansehen.
Eine Anleitung zum Erstellen und Verwalten von Logansichten finden Sie unter Logansichten in einem Logbucket konfigurieren.
Zugriffssteuerung auf Feldebene für Protokolle festlegen
Mit den Zugriffssteuerungen auf Feldebene können Sie einzelne LogEntry-Felder für Nutzer eines Google Cloud-Projekts ausblenden, sodass Sie eine detailliertere Möglichkeit zum Festlegen der Logdaten haben, auf die ein Nutzer zugreifen kann. Im Vergleich zu Logansichten, in denen der gesamte LogEntry ausgeblendet wird, sind bei Zugriffssteuerungen auf Feldebene einzelne Felder des LogEntry ausgeblendet. So können Sie beispielsweise personenbezogene Daten externer Nutzer, z. B. eine E-Mail-Adresse in der Payload des Logeintrags, für die Mehrheit der Nutzer Ihrer Organisation entfernen.
Wenn Sie Ihre Audit-Logs mit Log Analytics analysieren möchten, konfigurieren Sie keine Zugriffssteuerungen auf Feldebene für den Log-Bucket, in dem diese Logs gespeichert werden. Sie können Log Analytics nicht für Log-Buckets verwenden, für die Zugriffssteuerungen auf Feldebene konfiguriert sind.
Eine Anleitung zum Konfigurieren von Zugriffssteuerungen auf Feldebene finden Sie unter Zugriff auf Feldebene konfigurieren.
Audit-Logs für den Datenzugriff konfigurieren
Wenn Sie neue Google Cloud-Dienste aktivieren, sollten Sie prüfen, ob Audit-Logs für den Datenzugriff aktiviert werden sollen.
Audit-Logs zum Datenzugriff helfen dem Google-Support beim Beheben von Problemen mit Ihrem Konto. Daher empfehlen wir, Audit-Logs zum Datenzugriff nach Möglichkeit zu aktivieren.
Wenn Sie alle Audit-Logs für alle Dienste aktivieren möchten, folgen Sie der Anleitung zum Aktualisieren der IAM-Richtlinie mit der in der Audit-Richtlinie aufgeführten Konfiguration.
Nachdem Sie die Datenzugriffsrichtlinie auf Organisationsebene definiert und Audit-Logs für den Datenzugriff aktiviert haben, sollten Sie mit einem Google Cloud-Testprojekt die Konfiguration der Audit-Log-Sammlung validieren, bevor Sie Entwickler- und Produktions-Google Cloud-Projekte in der Organisation erstellen.
Eine Anleitung zum Aktivieren von Audit-Logs zum Datenzugriff finden Sie unter Audit-Logs zum Datenzugriff aktivieren.
Speicherort für Protokolle festlegen
Sie können Aspekte der Buckets Ihrer Organisation konfigurieren und benutzerdefinierte Buckets erstellen, um Ihren Logspeicher zu zentralisieren oder zu unterteilen. Je nach Ihren Compliance- und Nutzungsanforderungen können Sie den Speicherort für Protokolle so anpassen:
- Wählen Sie aus, wo Ihre Protokolle gespeichert werden sollen.
- Legen Sie die Aufbewahrungsdauer für Daten fest.
- Schützen Sie Ihre Protokolle mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK).
Speicherort für Protokolle auswählen
In Logging sind Buckets regionale Ressourcen: die Infrastruktur, in der Ihre Logs gespeichert, indexiert und durchsucht werden, befindet sich an einem bestimmten geografischen Standort.
Ihre Organisation muss Logdaten möglicherweise in bestimmten Regionen speichern. Einer der primären Hauptfaktoren bei der Auswahl der Region, in der Logs gespeichert werden, ist die Erfüllung der Anforderungen Ihres Unternehmens in Bezug auf Latenz, Verfügbarkeit oder Compliance.
Wenn Sie eine bestimmte Speicherregion automatisch auf die neuen _Default- und _Required-Buckets anwenden möchten, die in Ihrer Organisation erstellt wurden, können Sie einen Standardspeicherort für Ressourcen konfigurieren.
Eine Anleitung zum Konfigurieren von Standardressourcenstandorten finden Sie unter Standardeinstellungen für Organisationen konfigurieren.
Aufbewahrungsdauer für Daten definieren
Cloud Logging speichert Logs gemäß den Aufbewahrungsregeln für den Log-Bucket-Typ, in dem die Logs gespeichert sind.
Konfigurieren Sie Cloud Logging so, dass Logs zwischen 1 Tag und 3.650 Tagen aufbewahrt werden, um die Complianceanforderungen zu erfüllen. Benutzerdefinierte Aufbewahrungsregeln gelten für alle Logs in einem Bucket, unabhängig vom Logtyp oder davon, ob dieses Log von einem anderen Speicherort kopiert wurde.
Eine Anleitung zum Festlegen von Aufbewahrungsregeln für einen Log-Bucket finden Sie unter Benutzerdefinierte Aufbewahrung konfigurieren.
Prüfprotokolle mit vom Kunden verwalteten Verschlüsselungsschlüsseln schützen
Cloud Logging verschlüsselt inaktive Kundendaten standardmäßig. Ihre Organisation hat möglicherweise erweiterte Verschlüsselungsanforderungen, die die Standardverschlüsselung inaktiver Daten nicht anspricht. Anstatt die Schlüsselverschlüsselungsschlüssel, die Ihre Daten schützen, von Google verwalten zu lassen, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) zur angepassten Steuerung und Verwaltung Ihrer Verschlüsselung konfigurieren.
Eine Anleitung zum Konfigurieren von CMEK finden Sie unter CMEK für den Protokollspeicher konfigurieren.
Preise
Für das Weiterleiten von Logs an ein unterstütztes Ziel fallen in Cloud Logging keine Gebühren an. Es können jedoch Gebühren am Ziel erhoben werden.
Mit Ausnahme des _Required-Log-Buckets fallen in Cloud Logging Kosten für das Streamen von Logs in Log-Buckets und für die Speicherung über die standardmäßige Aufbewahrungsdauer des Log-Buckets hinaus an.
Für das Kopieren von Logs, das Definieren von Log-Bereichen oder das Ausführen von Abfragen über die Seiten Log-Explorer oder Log Analytics fallen in Cloud Logging keine Gebühren an.
Weitere Informationen finden Sie in folgenden Dokumenten:
- Preisübersicht für Cloud Logging
Kosten für Zielvorhaben:
- Gebühren für die Erzeugung von VPC-Flusslogs werden berechnet, wenn Sie Ihre Virtual Private Cloud-Flusslogs senden und dann von Cloud Logging ausschließen.
Wir empfehlen die folgenden preisbezogenen Best Practices für die Konfiguration und Verwendung von Audit-Logs:
Rechnungen schätzen, indem Sie Ihre Nutzungsdaten aufrufen und Benachrichtigungsrichtlinien konfigurieren.
Beachten Sie, dass Audit-Logs für den Datenzugriff groß sein können und dass zusätzliche Speicherkosten anfallen können.
Sie können Ihre Kosten verwalten, indem Sie nicht benötigte Prüfprotokolle ausschließen. Beispielsweise können Sie Audit-Logs zum Datenzugriff in Entwicklungsprojekten ausschließen.
Audit-Logs abfragen und aufrufen
Wenn Sie Fehler beheben müssen, ist ein schnelles Aufrufen von Logs erforderlich. Rufen Sie in der Google Cloud Console mit dem Log-Explorer die Audit-Logeinträge für Ihre Organisation ab:
-
Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.
Wählen Sie Ihre Organisation aus.
Führen Sie im Bereich Abfrage die folgenden Schritte aus:
Wählen Sie unter Ressourcentyp die Google Cloud-Ressource aus, deren Audit-Logs angezeigt werden sollen.
Wählen Sie unter Logname den Audit-Logtyp aus, den Sie sehen möchten:
- Wählen Sie für Audit-Logs zu Administratoraktivitäten die Option activity aus.
- Wählen Sie für Audit-Logs zum Datenzugriff die Option data_access aus.
- Wählen Sie für Audit-Logs zu Systemereignissen die Option system_event aus.
- Wählen Sie für Audit-Logs zu Richtlinienverstößen die Option policy aus.
Wenn diese Optionen nicht angezeigt werden, sind in der Organisation keine Audit-Logs dieses Typs verfügbar.
Geben Sie im Abfrageeditor die gewünschten Audit-Logeinträge an. Beispiele für häufig verwendete Abfragen finden Sie unter Beispielabfragen mit dem Log-Explorer.
Klicken Sie auf Abfrage ausführen.
Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen.
Audit-Logs überwachen
Mit Cloud Monitoring können Sie sich benachrichtigen lassen, wenn von Ihnen beschriebene Bedingungen auftreten. Um Cloud Monitoring Daten aus Ihren Logs bereitzustellen, können Sie mit Logging logbasierte Benachrichtigungsrichtlinien erstellen, die Sie benachrichtigen, sobald ein bestimmtes Ereignis in einem Log auftaucht.
Konfigurieren Sie Benachrichtigungsrichtlinien für die Unterscheidung von Ereignissen, die eine sofortige Prüfung erfordern, gegenüber Ereignissen mit niedriger Priorität. Wenn Sie beispielsweise wissen möchten, wann in einem Audit-Log eine bestimmte Nachricht zum Datenzugriff aufgezeichnet wird, können Sie eine logbasierte Benachrichtigungsrichtlinie erstellen, die mit der Nachricht übereinstimmt und Sie benachrichtigt, wenn die Nachricht angezeigt wird.
Eine Anleitung zum Konfigurieren von logbasierten Benachrichtigungsrichtlinien finden Sie unter Logbasierte Benachrichtigungsrichtlinien verwalten.
Logs an unterstützte Ziele weiterleiten
Ihre Organisation muss möglicherweise Anforderungen zum Erstellen und Speichern von Prüfprotokollen erfüllen. Mithilfe von Senken können Sie einige oder alle Logs an die folgenden unterstützten Ziele weiterleiten:
- Ein weiterer Cloud Logging-Bucket
Prüfen Sie, ob Sie Senken auf Ordner- oder Organisationsebene benötigen, und leiten Sie Logs aus allen Google Cloud-Projekten innerhalb der Organisation oder des Ordners mithilfe von aggregierten Senken weiter. Beispiele für Anwendungsfälle für das Routing:
Senke auf Organisationsebene: Wenn Ihre Organisation mehrere Audit-Logs mit einem SIEM verwaltet, sollten Sie alle Audit-Logs Ihrer Organisation weiterleiten. In diesem Fall ist eine Senke auf Organisationsebene sinnvoll.
Auf Ordnerebene: Manchmal möchten Sie nur Audit-Logs für Abteilungen weiterleiten. Wenn Sie beispielsweise einen Ordner „Finanzen“ und einen Ordner „IT“ haben, ist es eventuell sinnvoll, nur die Audit-Logs zu leiten, die zum Ordner „Finanzen“ gehören, und umgekehrt.
Weitere Informationen zu Ordnern und Organisationen finden Sie unter Ressourcenhierarchie.
Wenden Sie auf das Google Cloud-Ziel, das Sie zum Routing von Logs verwenden, dieselben Zugriffsrichtlinien an, die Sie auch für den Log-Explorer verwendet haben.
Eine Anleitung zum Erstellen und Verwalten aggregierter Senken finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten.
Datenformat in Senkenzielen
Wenn Sie Prüfprotokolle an Ziele außerhalb von Cloud Logging weiterleiten, müssen Sie sich mit dem Format der gesendeten Daten vertraut machen.
Wenn Sie Logs beispielsweise an BigQuery weiterleiten, wendet Cloud Logging Regeln zum Kürzen der BigQuery-Schemafeldnamen für Audit-Logs und für bestimmte strukturierte Nutzlastfelder an.
Informationen zu Logeinträgen, die Sie von Cloud Logging an unterstützte Ziele weitergeleitet haben, finden Sie unter Logs an Senkenzielen ansehen.
Logeinträge kopieren
Je nach den Complianceanforderungen Ihrer Organisation müssen Sie möglicherweise Prüfprotokolleinträge für Prüfer außerhalb von Logging freigeben. Wenn Sie Logeinträge freigeben möchten, die bereits in Cloud Logging-Buckets gespeichert sind, können Sie sie manuell in Cloud Storage-Buckets kopieren.
Wenn Sie Logeinträge nach Cloud Storage kopieren, bleiben die Logeinträge auch in dem Log-Bucket erhalten, aus dem sie kopiert wurden
Beachten Sie, dass Kopiervorgänge keine Senken ersetzen, die automatisch alle eingehenden Logeinträge an ein vorab ausgewähltes Speicherziel senden, einschließlich Cloud Storage.
Eine Anleitung zum rückwirkenden Weiterleiten von Logs an Cloud Storage finden Sie unter Logeinträge kopieren.