En este documento, se recomienda una secuencia de tareas de registro de auditoría para ayudar a tu organización a mantener la seguridad y minimizar el riesgo.
Este documento no es una lista exhaustiva de recomendaciones. sino que el objetivo es ayudarte a comprender el alcance de las actividades de registro de auditoría y planificar en función de estas.
En cada sección, se indican las acciones clave y se incluyen vínculos para complementar la lectura.
Información sobre los Registros de auditoría de Cloud
Los registros de auditoría están disponibles para la mayoría de los servicios de Google Cloud. Los registros de auditoría de Cloud proporcionan los siguientes tipos de registros de auditoría para cada proyecto, cuenta de facturación, carpeta y organización de Google Cloud:
| Tipo de registro de auditoría | Configurable | Cobrable |
|---|---|---|
| Registros de auditoría de actividad del administrador | No, siempre se escriben. | No |
| Registros de auditoría de acceso a los datos | Sí | Sí |
| Registros de auditoría de política denegada | Sí, puedes excluir estos registros para que no se escriban en los buckets de registro. | Sí |
| Registros de auditoría de eventos del sistema | No, siempre se escriben. | No |
Los registros de auditoría de acceso a los datos se encuentran inhabilitados de forma predeterminada, excepto para BigQuery. Si deseas que se escriban los registros de auditoría de acceso a los datos para los servicios de Google Cloud, debes habilitarlos de manera explícita. Para obtener más información, consulta Configura registros de auditoría de acceso a los datos en esta página.
Para obtener información sobre el panorama general de los registros de auditoría con Google Cloud, consulta Descripción general de los registros de auditoría de Cloud.
Controlar el acceso a los registros
Debido a la sensibilidad de los datos de registro de auditoría, es de especial importancia configurar los controles de acceso adecuados para los usuarios de tu organización.
Según tus requisitos de cumplimiento y uso, configura estos controles de acceso de la siguiente manera:
- Configura los permisos de IAM.
- Configura las vistas de registro
- Establece controles de acceso a nivel de campo en la entrada de registro
Configura los permisos de IAM
Los permisos y los roles de IAM determinan la capacidad de los usuarios para acceder a los datos de registros de auditoría en la API de Logging, el Explorador de registros y Google Cloud CLI. Usa IAM para otorgar acceso detallado a buckets específicos de Google Cloud y evitar el acceso no deseado a otros recursos.
Los roles basados en permisos que otorgas a los usuarios dependen de sus funciones relacionadas con la auditoría dentro de tu organización. Por ejemplo, puedes otorgarle al CTO permisos administrativos amplios, mientras que los miembros de tu equipo de desarrolladores pueden necesitar permisos de visualización de registros. Si deseas obtener orientación sobre qué roles otorgar a los usuarios de tu organización, consulta Configura roles para el registro de auditoría.
Cuando configures los permisos de IAM, aplica el principio de seguridad de privilegio mínimo para otorgar a los usuarios solo el acceso necesario a tus recursos:
- Quita todos los usuarios no esenciales.
- Otorga a los usuarios esenciales los permisos mínimos y correctos.
Si deseas obtener instrucciones para configurar permisos de IAM, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Configura vistas de registro
Todos los registros, incluidos los de auditoría, que recibe Logging se escriben en contenedores de almacenamiento llamados buckets de registros. Las vistas de registro te permiten controlar quién tiene acceso a los registros de tus buckets de registros.
Es posible que debas controlar de qué proyectos de Google Cloud pueden ver los registros los diferentes usuarios debido a que los buckets de registro pueden contener registros de varios proyectos de Google Cloud. Crea vistas de registro personalizadas, que te brindan un control de acceso más detallado para esos buckets.
Puedes consultar las vistas de registro con el Explorador de registros o con el Análisis de registros. Para obtener más información, consulta Descripción general de consultas y visualización de registros.
Si deseas obtener instrucciones para crear y administrar vistas de registro, consulta Configura vistas de registro en un bucket de registro.
Establece controles de acceso a nivel de campo de registro
Los controles de acceso a nivel de campo te permiten ocultar campos LogEntry individuales a los usuarios
de un proyecto de Google Cloud, lo que te brinda una forma más detallada de controlar los datos de registros
a los que puede acceder un usuario. En comparación con las vistas de registros, que ocultan todo el LogEntry, los controles de acceso a nivel de campo ocultan campos individuales del LogEntry. Por ejemplo, es posible que desees ocultar la PII externa del usuario, como una dirección de correo electrónico contenida en la carga útil de la entrada de registro, de la mayoría de los usuarios de tu organización.
Si planeas usar Log Analytics para analizar tus registros de auditoría, no configures controles de acceso a nivel del campo en el bucket de registros que almacena esos registros. No puedes usar Log Analytics en buckets de registros que tengan configurados controles de acceso a nivel de campo.
Para obtener instrucciones sobre cómo configurar los controles de acceso a nivel de campo, consulta Configura el acceso a nivel de campo.
Configurar registros de auditoría de acceso a los datos
Cuando habilites los nuevos servicios de Google Cloud, evalúa si deseas habilitar los registros de auditoría de acceso a los datos.
Los registros de auditoría de acceso a los datos ayudan a Atención al cliente de Google a solucionar problemas con tu cuenta. Por lo tanto, recomendamos habilitar los registros de auditoría de acceso a los datos cuando sea posible.
Para habilitar todos los registros de auditoría de todos los servicios, sigue las instrucciones para actualizar Identity and Access Management (IAM) con la configuración que aparece en la política de auditoría.
Después de definir tu política de acceso a los datos a nivel de la organización y habilitar los registros de auditoría de acceso a los datos, usa un proyecto de prueba de Google Cloud para validar la configuración de tu colección de registros de auditoría antes de crear proyectos de Google Cloud de desarrollador y producción en la organización.
Si quieres obtener instrucciones para habilitar los registros de auditoría de acceso a los datos, consulta Habilita los registros de auditoría de acceso a los datos.
Controla cómo se almacenan tus registros
Puedes configurar aspectos de los buckets de tu organización y también crear buckets definidos por el usuario para centralizar o subdividir el almacenamiento de registros. Según tus requisitos de cumplimiento y uso, te recomendamos que personalices el almacenamiento de tus registros de la siguiente manera:
- Elige dónde se almacenan tus registros.
- Define el período de retención de datos.
- Protege tus registros con claves de encriptación administradas por el cliente (CMEK).
Elige dónde se almacenan tus registros
En Logging, los buckets son recursos regionales: la infraestructura que almacena, indexa y busca tus registros se encuentra en una ubicación geográfica específica.
Es posible que tu organización deba almacenar los datos de sus registros en regiones específicas. Los factores principales para seleccionar la región en la que se almacenan los registros incluyen cumplir con los requisitos de latencia, disponibilidad o cumplimiento de la organización.
Para aplicar automáticamente una región de almacenamiento en particular a los nuevos buckets _Default y _Required creados en tu organización, puedes configurar una ubicación de recursos predeterminada.
Si deseas obtener instrucciones para configurar ubicaciones de recursos predeterminadas, consulta Configura la configuración predeterminada para las organizaciones.
Define períodos de retención de datos
Cloud Logging retiene los registros según las reglas de retención que se aplican al tipo de bucket de registro en el que se almacenan.
Para satisfacer tus necesidades de cumplimiento, configura Cloud Logging para retener registros entre 1 día y 3,650 días. Las reglas de retención personalizadas se aplican a todos los registros de un bucket, independientemente del tipo de registro o si se copió desde otra ubicación.
Para obtener instrucciones sobre cómo configurar reglas de retención para un bucket de registros, consulta Configura la retención personalizada.
Protege tus registros de auditoría con claves de encriptación administradas por el cliente
De forma predeterminada, Cloud Logging encripta el contenido del cliente almacenado en reposo. Es posible que tu organización tenga requisitos de encriptación avanzada que la encriptación en reposo predeterminada no proporciona. Para cumplir con los requisitos de tu organización, en lugar de que Google administre las claves de encriptación de claves que protegen tus datos, configura claves de encriptación administradas por el cliente (CMEK) para controlar y administrar tu propia encriptación.
Si deseas obtener instrucciones para configurar CMEK, consulta Cómo configurar CMEK para el almacenamiento de registros.
Precios
Cloud Logging no cobra por enrutar registros a un
destino compatible. Sin embargo, es posible que el destino aplique cargos.
Con la excepción del bucket de registros _Required,
Cloud Logging cobra por transmitir registros a buckets de registros y
almacenarlos durante más tiempo que el período de retención predeterminado del bucket de registros.
Cloud Logging no cobra por copiar registros, definir alcances de registros ni ejecutar consultas a través de las páginas Explorador de registros o Análisis de registros.
Para obtener más información, consulta los siguientes documentos:
- Resumen de precios de Cloud Logging
Costos de destino:
- Los cargos de generación de registros de flujo de VPC se aplican cuando envías y, luego, excluyes los registros de flujo de la nube privada virtual de Cloud Logging.
Cuando configures y uses tus registros de auditoría, te recomendamos las siguientes prácticas recomendadas relacionadas con los precios:
Estima tu facturación. Para ello, consulta tus datos de uso y configura políticas de alertas.
Ten en cuenta que los registros de auditoría de acceso a los datos pueden ser grandes y que podrías generar costos adicionales por el almacenamiento.
Para administrar tus costos, excluye los registros de auditoría que no sean útiles. Por ejemplo, es probable que puedas excluir los registros de auditoría de acceso a los datos en proyectos de desarrollo.
Consulta y visualiza los registros de auditoría
Si necesitas solucionar problemas, es un requisito que puedas interpretar los registros con rapidez. En la consola de Google Cloud, usa el Explorador de registros para recuperar las entradas de registro de auditoría de tu organización:
-
En la consola de Google Cloud, ve a la página Explorador de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Selecciona tu organización.
En el panel Consulta, haz lo siguiente:
En Tipo de recurso, selecciona el recurso de Google Cloud cuyos registros de auditoría deseas ver.
En Nombre del registro, selecciona el tipo de registro de auditoría que deseas ver:
- En el caso de los registros de auditoría de la actividad del administrador, selecciona activity.
- En los registros de auditoría de acceso a los datos, selecciona data_access.
- En el caso de los registros de auditoría de eventos del sistema, selecciona system_event.
- En el caso de los registros de auditoría de política denegada, selecciona la política.
Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en la organización.
En el editor de consultas, especifica con más detalle las entradas de registro de auditoría que deseas ver. Para ver ejemplos de consultas comunes, consulta Consultas de muestra con el Explorador de registros.
Haz clic en Ejecutar consulta.
Para obtener más información de las consultas con el Explorador de registros, visita Compila consultas en el Explorador de registros.
Supervisa tus registros de auditoría
Puedes usar Cloud Monitoring para recibir notificaciones cuando se produzcan las condiciones que describes. Para proporcionar a Cloud Monitoring datos de tus registros, Logging te permite crear políticas de alertas basadas en registros, que te notifican cada vez que aparece un evento específico en un registro.
Configura políticas de alertas para distinguir entre los eventos que requieren investigación inmediata y los eventos de baja prioridad. Por ejemplo, si deseas saber cuándo un registro de auditoría registra un mensaje de acceso a los datos en particular, puedes crear una política de alertas basada en registros que coincida con el mensaje y te notifique cuando aparezca.
Para obtener instrucciones sobre cómo configurar políticas de alertas basadas en registros, consulta Administra políticas de alertas basadas en registros.
Enruta registros a destinos compatibles.
Es posible que tu organización deba cumplir con requisitos para crear y conservar registros de auditoría. Con los receptores, puedes enrutar algunos o todos tus registros a estos destinos compatibles:
- Otro bucket de Cloud Logging
Determina si necesitas receptores a nivel de la carpeta o de la organización, y enruta los registros de todos los proyectos de Google Cloud dentro de la organización o la carpeta con receptores agregados. Por ejemplo, puedes considerar estos casos de uso de enrutamiento:
Sink a nivel de la organización: Si tu organización usa una herramienta de SIEM para administrar varios registros de auditoría, es posible que desees enrutar todos los registros de auditoría de tu organización. Por lo tanto, se recomienda un receptor a nivel de la organización.
Sumidero a nivel de la carpeta: En ocasiones, es posible que desees enrutar solo los registros de auditoría departamentales. Por ejemplo, si tienes una carpeta “Finanzas” y una carpeta “TI”, es posible que te interese enrutar solo los registros de auditoría que pertenecen a la carpeta “Finanzas” o viceversa.
Para obtener más información sobre las carpetas y las organizaciones, consulta Jerarquía de recursos.
Aplica las mismas políticas de acceso al destino de Google Cloud que usas para enrutar registros que las políticas que le aplicaste al explorador de registros.
Para obtener instrucciones sobre cómo crear y administrar receptores agregados, consulta Recopila y enruta registros a nivel de la organización a destinos compatibles.
Comprende el formato de datos en los destinos de receptores
Cuando enrutes registros de auditoría a destinos fuera de Cloud Logging, comprende el formato de los datos que se enviaron.
Por ejemplo, si enrutas registros a BigQuery, Cloud Logging aplica reglas para acortar los nombres de campo del esquema de BigQuery para los registros de auditoría y para ciertos campos de carga útil estructurados.
Para comprender y encontrar las entradas de registro que enrutaste desde Cloud Logging a destinos compatibles, consulta Visualiza los registros en los destinos de los receptores.
Copiar las entradas de registro
Según las necesidades de cumplimiento de tu organización, es posible que debas compartir entradas de registro de auditoría con auditores fuera de Logging. Si necesitas compartir entradas de registro que ya están almacenadas en buckets de Cloud Logging, puedes copiarlas de forma manual en buckets de Cloud Storage.
Cuando copias entradas de registro a Cloud Storage, estas también permanecen en el bucket de registros del que se copiaron.
Ten en cuenta que las operaciones de copia no reemplazan a los destinos de eliminación, que envían automáticamente todas las entradas de registro entrantes a un destino de almacenamiento compatible preseleccionado, incluido Cloud Storage.
Si deseas obtener instrucciones para enrutar registros a Cloud Storage de forma retroactiva, consulta Copia entradas de registro.