Best Practices für Cloud-Audit-Logging

Diese Anleitungen enthalten Best Practices für das Konfigurieren von Cloud-Audit-Logs, mit denen die Logging-Anforderungen Ihrer Organisation im Hinblick auf Sicherheit, Prüfungen und Compliance erfüllt werden können.

Einführung

Cloud-Audit-Logging ermöglicht die Nutzung von Prüfpfaden in Google Cloud durch Sicherheits-, Prüf- und Compliance-Instanzen. Mit Cloud-Audit-Logging können Sie für Ihr Unternehmen die gleiche Transparenz in Bezug auf administrative Aktivitäten und Zugriffe auf Daten in Google Cloud wie in lokalen Umgebungen herstellen.

Cloud-Audit-Logs konfigurieren

  • Definieren Sie eine Richtlinie für den Datenzugriff auf Organisationsebene und wenden Sie sie an. Weitere Informationen finden Sie unter Datenzugriffslogs konfigurieren.

  • Prüfen Sie mit einem Google Cloud-Testprojekt die Konfiguration der Audit-Log-Sammlung für den Datenzugriff, bevor sie an Entwickler- und Produktionsprojekte weitergegeben wird.

  • Erteilen Sie Berechtigungen nach dem Grundsatz der geringsten Berechtigung.

  • Das Audit-Logging für den Datenzugriff ist standardmäßig deaktiviert. Wenn Sie neue Google Cloud-Dienste aktivieren, sollten Sie prüfen, ob Cloud-Audit-Logging für den Datenzugriff dafür aktiviert werden soll. Nur für BigQuery ist das Audit-Logging für den Datenzugriff standardmäßig aktiviert.

  • Berücksichtigen Sie mögliche Auswirkungen auf die Preise.

  • Konfigurieren Sie Exporte für Ihre Audit-Logs auf den entsprechenden Google Cloud-Ressourcenebenen.

  • Konfigurieren Sie Benachrichtigungen für die Unterscheidung von Ereignissen, die eine sofortige Prüfung erfordern, gegenüber Ereignissen mit niedriger Priorität.

Kosten

  • Beachten Sie, dass Audit-Logs für den Datenzugriff sehr umfangreich sein können und dass zusätzliche Speicherkosten anfallen können. Preisinformationen finden Sie unter Logging-Preise.

  • Nicht erforderliche Logging-Daten sollten ausgeschlossen werden.

    • Beispielsweise müssen Sie Audit-Logs für den Datenzugriff nicht in Entwicklungsprojekten protokollieren.

Geringste Berechtigung

  • Stellen Sie sicher, dass Sie die entsprechenden Steuerelemente für die Identitäts- und Zugriffsverwaltung angewendet haben, um den Zugriff auf die Audit-Logs einzuschränken, indem Sie Ihren Nutzern die entsprechenden Cloud Logging-Rollen zuweisen.

  • Weitere Informationen finden Sie unter Rollen für das Audit-Logging konfigurieren.

  • Wenden Sie auf das Google Cloud-Ziel die gleichen Zugriffsrichtlinien an, die Sie auch zum Exportieren von Logs aus der Loganzeige verwenden.

Logs aufrufen und verstehen

Wenn Sie Fehler beheben müssen, ist die Möglichkeit, Logs schnell aufrufen zu können, sehr hilfreich.

  • Informieren Sie sich über die Optionen für das Aufrufen von Audit-Logs.

  • Informieren Sie sich über die Formate von Audit-Log-Einträgen.

    • Wenn Sie nach BigQuery exportieren, müssen Sie sich mit dem Format der exportierten Daten vertraut machen und wissen, wie Sie die exportierten Daten abfragen. Weitere Informationen finden Sie unter BigQuery-Schema für exportierte Logs.
  • Informieren Sie sich über die Logging-Abfragesprache, mit der Abfragen, Senken und Benachrichtigungen konfiguriert werden können.

  • Verwenden Sie beim Erstellen von Logging-Abfragen die Tabelle zum Zuordnen von Diensten zu Ressourcentypen.

  • Schulen Sie Ihr Supportteam in der Verwendung von Audit-Logging für die Fehlerbehebung.

    • Sorgen Sie dafür, dass Ihr Supportteam auf die Audit-Logs zugreifen kann.

    • Erstellen Sie eine Kurzanleitung für die möglicherweise rotierenden Mitglieder des Supportteams, damit sie wissen, wie häufige Probleme behoben werden können.

Konfiguration exportieren

  • Erstellen Sie aggregierte Senken, mit denen Ihre Organisation die Daten für eine spätere Analyse abfragen und exportieren kann.

  • Die meisten Exporte finden auf Google Cloud-Projektebene statt. Ermitteln Sie, ob Sie Exporte auf Ordner- oder Organisationsebene benötigen, um eine Senke auf IAM-Organisation oder Ordnerebene einzurichten, und exportieren Sie Logs aus allen Projekten innerhalb der Organisation oder des Ordners. Beispielsweise sind die Exportebenen für folgende Anwendungsfälle sinnvoll:

    • Export auf Organisationsebene: Wenn Ihre Organisation mehrere Audit-Logs mit einem SIEM verwaltet, sollten Sie alle Audit-Logs Ihrer Organisation exportieren. In diesem Fall ist ein Export auf Organisationsebene sinnvoll.

    • Export auf Ordnerebene: Manchmal müssen nur Audit-Logs bestimmter Abteilungen exportiert werden. Wenn Sie beispielsweise einen Ordner "Finanzen" und einen Ordner "IT" haben, ist es eventuell sinnvoll, nur die Audit-Logs exportieren, die zum Ordner "Finanzen" gehören, und umgekehrt.

    Weitere Informationen finden Sie unter Ressourcenhierarchie.

  • Prüfen Sie, ob Sie Logs für eine längerfristige Aufbewahrung exportieren müssen. Ist dies der Fall, richten Sie eine Logsenke ein, bevor Sie mit dem Empfang von Logs beginnen. Sie können Logs, die vor dem Erstellen der Senke geschrieben wurden, nicht rückwirkend exportieren.

    • Mit dem folgenden Befehl des gcloud-Befehlszeilentools werden beispielsweise alle Audit-Logs zur Administratoraktivität in Ihrer gesamten Google Cloud-Organisation an eine einzelne BigQuery-Senke gesendet:

      gcloud logging sinks create my-bq-sink bigquery.googleapis.com/projects/my-project/datasets/my_dataset --log-filter='logName: "logs/cloudaudit.googleapis.com%2Factivity"' --organization=1234 --include-children

    Beachten Sie, dass Zielgebühren für Ihre Exporte anfallen können.

  • Folgen Sie den Best Practices für allgemeine Logging-Exportszenarien unter Entwurfsmuster zum Exportieren mit Stackdriver Logging.

  • Exportieren Sie Ihre Compute Engine-Firewall-Logs in die gleiche Senke wie Ihre Audit-Logs.