Prácticas recomendadas para los registros de auditoría de Cloud

En esta guía, se compilan las prácticas recomendadas para configurar los registros de auditoría de Cloud a fin de satisfacer las necesidades de registro de tu organización en cuanto a seguridad, investigaciones y cumplimiento.

Introducción

Los registros de auditoría de Cloud ayudan a las entidades de seguridad, auditoría y cumplimiento a mantener los registros de auditoría en Google Cloud. Con los registros de auditoría de Cloud, tu empresa puede obtener el mismo nivel de transparencia en las actividades administrativas y en el acceso a los datos en Google Cloud que el nivel que existe en los entornos locales.

Configura los registros de auditoría de Cloud

  • Determina y aplica tu política de acceso a los datos a nivel de la organización. Para obtener más información, ve a Configura registros de auditoría de acceso a los datos.

  • Usa un proyecto de prueba de Google Cloud para validar la configuración de tu colección de registros de auditoría de acceso a los datos antes de propagarla a los proyectos de desarrollador y producción.

  • Adopta un enfoque de privilegios mínimos para otorgar permisos.

  • Los registros de auditoría de acceso a los datos están desactivados de forma predeterminada. Cuando habilites los nuevos servicios de Google Cloud, evalúa si deseas habilitar los registros de auditoría de acceso a los datos en ellos. Solo BigQuery tiene habilitados los registros de auditoría de acceso a los datos de forma predeterminada.

  • Considera las implicaciones de los precios.

  • Configura exportaciones para tus registros de auditoría en los niveles de recursos de Google Cloud correspondientes.

  • Configura alertas para distinguir entre los eventos que requieren investigación inmediata y los eventos de baja prioridad.

Consideraciones sobre los precios

  • Ten en cuenta que los registros de auditoría de acceso a los datos pueden ser bastante grandes y que podrían generarse costos adicionales por el almacenamiento. Para obtener información sobre los precios, ve a Precios: detalles de Logging.

  • Asegúrate de excluir los datos de registro que no sean útiles.

    • Por ejemplo, no deberías registrar los registros de auditoría de acceso a los datos en proyectos de desarrollo.

Privilegio mínimo

  • Asegúrate de haber aplicado los controles adecuados de Cloud Identity and Access Management para restringir quién puede acceder a los registros de auditoría mediante la asignación de las funciones de Cloud Logging adecuadas a tus usuarios.

  • Usa la orientación de la configuración de funciones para el registro de auditoría.

  • Aplica las mismas políticas de acceso al destino de Google Cloud que usas para exportar registros que las políticas que le aplicaste al visor de registros.

Visualiza e interpreta los registros

Si necesitas solucionar problemas, es un requisito que puedas interpretar los registros con rapidez.

Exportar configuración

  • Diseña receptores completos que tu organización pueda consultar a fin de exportar los datos para análisis futuros.

  • La mayoría de las exportaciones se realizan a nivel de proyecto de Google Cloud. Determina si necesitas exportaciones a nivel de carpeta o de organización a fin de configurar un receptor a nivel de organización o carpeta de Cloud IAM y exporta los registros de todos los proyectos dentro de la organización o la carpeta. Por ejemplo, puedes considerar estos niveles de exportación según tu caso práctico de exportación:

    • Exportación a nivel de organización. Si tu organización usa una herramienta de SIEM para administrar varios registros de auditoría, es posible que desees exportar todos los registros de auditoría de tu organización. Por lo tanto, se recomienda una exportación a nivel de organización.

    • Exportación a nivel de carpeta. En ocasiones, es posible que desees exportar solo los registros de auditoría departamentales. Por ejemplo, si tienes una carpeta “Finanzas” y una carpeta “TI”, es posible que te interese exportar solo los registros de auditoría que pertenecen a la carpeta “Finanzas” o viceversa.

    Para obtener más información, ve a Jerarquía de recursos.

  • Determina si necesitas exportar registros para una retención a largo plazo. Si es así, configura un receptor de registros antes de comenzar a recibir los registros. No puedes exportar de forma retroactiva los registros que se escribieron antes de que se creara el receptor.

    • Por ejemplo, el siguiente comando de la herramienta de línea de comandos de gcloud envía todos los registros de auditoría de actividad del administrador de toda tu organización de Google Cloud a un solo receptor de BigQuery:

      gcloud logging sinks create my-bq-sink bigquery.googleapis.com/projects/my-project/datasets/my_dataset --log-filter='logName: "logs/cloudaudit.googleapis.com%2Factivity"' --organization=1234 --include-children

    Ten en cuenta que es posible que se apliquen cargos de destino a tus exportaciones.

  • Sigue las prácticas recomendadas para las situaciones comunes de exportación de registros.

  • Exporta tus registros de firewall de Compute Engine al mismo receptor al que exportaste tus registros de auditoría.