En este documento, se recomienda una secuencia de tareas de registro de auditoría para ayudar a tu organización a mantener la seguridad y minimizar el riesgo.
Este documento no es una lista exhaustiva de recomendaciones. En cambio, su objetivo es ayudarte a comprender el alcance de las actividades de registro de auditoría y planificar en consecuencia.
En cada sección, se indican las acciones clave y se incluyen vínculos para complementar la lectura.
Comprende los Registros de auditoría de Cloud
Los registros de auditoría están disponibles para la mayoría de los servicios de Google Cloud. Los registros de auditoría de Cloud proporcionan los siguientes tipos de registros de auditoría para cada proyecto, carpeta y organización de Google Cloud:
| Tipo de registro de auditoría | Configurable | Cobrable |
|---|---|---|
| Registros de auditoría de actividad del administrador | No, siempre se escribe | No |
| Registros de auditoría de acceso a los datos | Sí | Sí |
| Registros de auditoría de política denegada | Sí, puedes excluir estos registros para que no se escriban en buckets de registros. | Sí |
| Registros de auditoría de eventos del sistema | No, siempre se escribe | No |
Los registros de auditoría de acceso a los datos se encuentran inhabilitados de forma predeterminada, excepto para BigQuery. Si deseas que se escriban registros de auditoría de acceso a los datos para los servicios de Google Cloud, debes habilitarlos de forma explícita. Si deseas obtener más detalles, consulta Configura registros de auditoría de acceso a los datos en esta página.
Para obtener información sobre el panorama general del registro de auditoría con Google Cloud, consulta Descripción general de los registros de auditoría de Cloud.
Controlar el acceso a los registros
Debido a la sensibilidad de los datos de registro de auditoría, es muy importante configurar los controles de acceso adecuados para los usuarios de tu organización.
Según tus requisitos de cumplimiento y uso, configura estos controles de acceso de la siguiente manera:
- Configura los permisos de IAM
- Configura las vistas de registros.
- Establecer controles de acceso a nivel de campo de entrada de registro
Configura los permisos de IAM
Los permisos y las funciones de IAM determinan la capacidad de los usuarios para acceder a los datos de registros de auditoría en la API de Logging, el Explorador de registros y el Google Cloud CLI. Usa IAM para otorgar acceso detallado a buckets específicos de Google Cloud y evitar el acceso no deseado a otros recursos.
Las funciones basadas en permisos que les otorgas a los usuarios dependen de las funciones relacionadas con la auditoría dentro de tu organización. Por ejemplo, puedes otorgarle a tu director de tecnología amplios permisos administrativos, mientras que los miembros de tu equipo de desarrolladores pueden requerir permisos para ver registros. Para obtener orientación sobre qué funciones otorgar a los usuarios de tu organización, consulta Configura funciones para el registro de auditoría.
Cuando configures los permisos de IAM, aplica el principio de seguridad de privilegio mínimo para otorgar a los usuarios solo el acceso necesario a tus recursos:
- Quita todos los usuarios no esenciales.
- Otorga a los usuarios esenciales los permisos correctos y mínimos.
Si quieres obtener instrucciones para configurar permisos de IAM, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Configura vistas de registro
Todos los registros que recibe Logging, incluidos los registros de auditoría, se escriben en contenedores de almacenamiento llamados buckets de registros. Las vistas de registros te permiten controlar quién tiene acceso a los registros dentro de tus buckets de registros.
Debido a que los buckets de registros pueden contener registros de varios proyectos de Google Cloud, es posible que debas controlar desde qué proyectos de Google Cloud pueden ver los registros los diferentes usuarios. Crear vistas de registro personalizadas, que te otorgan un control de acceso más detallado para esos buckets.
Para obtener instrucciones sobre cómo crear y administrar vistas de registro, consulta Configura vistas de registro en un bucket de registros.
Establecer controles de acceso a nivel de campo de registro
Los controles de acceso a nivel de campo te permiten ocultar campos LogEntry individuales a los usuarios de un proyecto de Google Cloud, lo que te proporciona una forma más detallada de controlar los datos de registro a los que tiene acceso un usuario. En comparación con las vistas de registros, que ocultan todas las LogEntry, los controles de acceso a nivel de campo ocultan campos individuales de LogEntry. Por ejemplo, es posible que quieras ocultar la PII de usuarios externos, como una dirección de correo electrónico contenida en la carga útil de la entrada de registro, para la mayoría de los usuarios de tu organización.
Para obtener instrucciones sobre cómo configurar los controles de acceso a nivel de campo, consulta Configura el acceso a nivel de campo.
Configurar registros de auditoría de acceso a los datos
Cuando habilites los servicios nuevos de Google Cloud, evalúa si deseas habilitar los registros de auditoría de acceso a los datos.
Los registros de auditoría de acceso a los datos ayudan a Atención al cliente de Google a solucionar problemas con tu cuenta. Por lo tanto, te recomendamos habilitar los registros de auditoría de acceso a los datos cuando sea posible.
Si deseas habilitar todos los registros de auditoría para todos los servicios, sigue las instrucciones para actualizar Identity and Access Management (IAM) con la configuración que aparece en la política de auditoría.
Después de definir la política de acceso a los datos a nivel de la organización y habilitar los registros de auditoría de acceso a los datos, usa un proyecto de Google Cloud de prueba para validar la configuración de la recopilación de registros de auditoría antes de crear proyectos de Google Cloud de desarrollador y producción en la organización.
Si quieres obtener instrucciones para habilitar los registros de auditoría de acceso a los datos, consulta Habilita los registros de auditoría de acceso a los datos.
Controla cómo se almacenan tus registros
Puedes configurar aspectos de los buckets de tu organización y también crear buckets definidos por el usuario para centralizar o subdividir el almacenamiento de registros. Según tus requisitos de cumplimiento y uso, te recomendamos que personalices tu almacenamiento de registros de la siguiente manera:
- Elige dónde se almacenan tus registros.
- Define el período de retención de datos.
- Protege tus registros con claves de encriptación administradas por el cliente (CMEK).
Elige dónde se almacenan tus registros
En los buckets de Logging, los buckets son recursos regionales: la infraestructura que almacena, indexa y busca tus registros se encuentra en una ubicación geográfica específica.
Es posible que tu organización deba almacenar los datos de sus registros en regiones específicas. Los factores principales para seleccionar la región en la que se almacenan los registros incluyen cumplir con los requisitos de latencia, disponibilidad o cumplimiento de la organización.
Para aplicar automáticamente una región de almacenamiento en particular a los nuevos buckets _Default y _Required creados en tu organización, puedes configurar una ubicación de recursos predeterminada.
Si quieres obtener instrucciones para establecer las ubicaciones predeterminadas de los recursos, consulta Establece la configuración predeterminada para las organizaciones.
Definir períodos de retención de datos
Cloud Logging retiene registros según las reglas de retención que se aplican al tipo de bucket de registros en el que se conservan los registros.
A fin de satisfacer tus necesidades de cumplimiento, configura Cloud Logging para retener registros entre 1 y 3,650 días. Las reglas de retención personalizadas se aplican a todos los registros de un bucket, sin importar el tipo de registro o si el registro se copió de otra ubicación.
Si quieres obtener instrucciones para configurar reglas de retención para un bucket de registros, consulta Configura la retención personalizada.
Protege tus registros de auditoría con claves de encriptación administradas por el cliente
De forma predeterminada, Cloud Logging encripta el contenido del cliente almacenado en reposo. Es posible que tu organización tenga requisitos de encriptación avanzada que la encriptación en reposo predeterminada no satisface. Para cumplir con los requisitos de tu organización, en lugar de que Google administre las claves de encriptación de claves que protegen tus datos, configura claves de encriptación administradas por el cliente (CMEK) para controlar y administrar tu propia encriptación.
Si quieres obtener instrucciones para configurar CMEK, consulta Configura CMEK para el almacenamiento de registros.
Precios
Cloud Logging no cobra por enrutar los registros a un destino compatible. Sin embargo, el destino puede aplicar cargos.
A excepción del bucket de registros _Required, Cloud Logging cobra por transmitir registros a buckets de registros y por el almacenamiento más largo que el período de retención predeterminado del bucket de registros.
Cloud Logging no cobra por la copia de registros ni por las consultas emitidas a través de la página Explorador de registros o la página de Análisis de registros.
Para obtener más información, consulta los siguientes documentos:
- Resumen de precios de Cloud Logging
Costos de destino:
- Los cargos de generación de registros de flujo de VPC se aplican cuando envías y, luego, excluyes tus registros de flujo de nube privada virtual de Cloud Logging.
A medida que configuras y usas los registros de auditoría, sugerimos las siguientes prácticas recomendadas relacionadas con los precios:
Calcula tus facturas mediante la visualización de los datos de uso y la configuración de alertas.
Ten en cuenta que los registros de auditoría de acceso a los datos pueden ser grandes y que se pueden generar costos adicionales por el almacenamiento.
Para administrar tus costos, excluye los registros de auditoría que no sean útiles. Por ejemplo, es probable que puedas excluir los registros de auditoría de acceso a los datos en proyectos de desarrollo.
Consulta y visualiza registros de auditoría
Si necesitas solucionar problemas, es un requisito que puedas interpretar los registros con rapidez. En la consola de Google Cloud, usa el Explorador de registros para recuperar las entradas de los registros de auditoría de tu organización.
-
En el panel de navegación de la consola de Google Cloud, elige Logging y, luego, Explorador de registros:
Selecciona tu organización.
En el panel Consulta, haz lo siguiente:
En Tipo de recurso, selecciona el recurso de Google Cloud cuyos registros de auditoría deseas ver.
En Nombre del registro, selecciona el tipo de registro de auditoría que deseas ver:
- En el caso de los registros de auditoría de la actividad del administrador, selecciona activity.
- En los registros de auditoría de acceso a los datos, selecciona data_access.
- En el caso de los registros de auditoría de eventos del sistema, selecciona system_event.
- En el caso de los registros de auditoría de política denegada, selecciona policy.
Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en la organización.
En el editor de consultas, especifica aún más las entradas de registro de auditoría que deseas ver. Si quieres ver ejemplos de consultas comunes, lee Muestras de consultas con el Explorador de registros.
Haz clic en Ejecutar consulta.
Para obtener más información de las consultas con el Explorador de registros, visita Compila consultas en el Explorador de registros.
Supervisa tus registros de auditoría
Puedes usar Cloud Monitoring para recibir notificaciones cuando ocurran las condiciones que describes. Para proporcionarle a Cloud Monitoring los datos de tus registros, Logging te ofrece alertas basadas en registros, que te notifican cada vez que aparece un evento específico en un registro.
Configura alertas para distinguir entre eventos que requieren investigación inmediata y eventos de baja prioridad. Por ejemplo, si deseas saber cuándo un registro de auditoría registra un mensaje de acceso a los datos en particular, puedes crear una alerta basada en registros que coincida con el mensaje y te avise cuando aparezca.
Para obtener instrucciones sobre cómo configurar alertas basadas en registros, consulta Administra alertas basadas en registros.
Enruta registros a destinos compatibles.
Es posible que tu organización se enfrente a requisitos para crear y conservar registros de auditoría. Con receptores, puedes enrutar algunos o todos los registros a estos destinos compatibles:
- Cloud Storage
- Pub/Sub, incluidos los terceros, como Splunk
- BigQuery
- Otro bucket de Cloud Logging
Determina si necesitas receptores a nivel de la carpeta o de la organización y enruta los registros de todos los proyectos de Google Cloud dentro de la organización o la carpeta mediante receptores agregados. Por ejemplo, puedes considerar los siguientes casos de uso de enrutamiento:
Receptor a nivel de organización: si tu organización usa una SIEM para administrar varios registros de auditoría, te recomendamos enrutar todos los registros de auditoría de tu organización. Por lo tanto, un receptor a nivel de organización tiene sentido.
Receptor a nivel de carpeta: a veces, es posible que solo quieras enrutar los registros de auditoría departamentales. Por ejemplo, si tienes una carpeta "Finanzas" y una carpeta "TI", es posible que encuentres valor en el enrutamiento solo de los registros de auditoría que pertenecen a la carpeta "Finanzas" o viceversa.
Para obtener más información sobre las carpetas y las organizaciones, consulta Jerarquía de recursos.
Aplica las mismas políticas de acceso al destino de Google Cloud que usas para enrutar los registros y aplicaste al Explorador de registros.
Para obtener instrucciones sobre cómo crear y administrar receptores agregados, consulta Recopila y enruta registros a nivel de la organización a destinos compatibles.
Comprende el formato de datos en los destinos de los receptores
Cuando enrutas los registros de auditoría a destinos fuera de Cloud Logging, comprende el formato de los datos que se enviaron.
Por ejemplo, si se enrutan registros a BigQuery, Cloud Logging aplica reglas a fin de acortar los nombres de campo del esquema de BigQuery para los registros de auditoría y ciertos campos de carga útil estructurada.
Para comprender y encontrar las entradas de registro que enrutaste desde Cloud Logging a los destinos compatibles, consulta Visualiza registros en destinos de receptores.
Copiar las entradas de registro
Según las necesidades de cumplimiento de la organización, es posible que debas compartir las entradas de registro de auditoría con auditores fuera de Logging. Si necesitas compartir entradas de registro que ya están almacenadas en buckets de Cloud Logging, puedes copiarlas de forma manual en los buckets de Cloud Storage.
Cuando copias entradas de registro en Cloud Storage, las entradas de registro también permanecen en el bucket de registros del que se copiaron.
Ten en cuenta que las operaciones de copia no reemplazan los receptores, que envían automáticamente todas las entradas de registro entrantes a un destino de almacenamiento compatible preseleccionado, incluido Cloud Storage.
Si deseas obtener instrucciones para enrutar los registros a Cloud Storage de forma retroactiva, consulta Copia entradas de registro.