Bonnes pratiques pour les journaux d'audit Cloud

Ce document recommande une séquence de tâches de journalisation d'audit pour aider votre organisation à assurer la sécurité et à minimiser les risques.

Ce document n'est pas une liste exhaustive de recommandations. Son objectif est plutôt de vous aider à comprendre le champ d'application des activités de journalisation d'audit et à vous organiser en conséquence.

Chaque section fournit des actions clés et inclut des liens vers une documentation complémentaire.

Comprendre Cloud Audit Logs

Les journaux d'audit sont disponibles pour la plupart des services Google Cloud. Cloud Audit Logs propose les types de journaux d'audit suivants pour chaque projet, dossier et organisation Google Cloud:

Type de journal d'audit Configurable À facturer
Journaux d'audit pour les activités d'administration Non, toujours écrit Non
Journaux d'audit pour l'accès aux données Oui Oui
Journaux d'audit des refus de règles Oui. Vous pouvez empêcher l'écriture de ces journaux dans des buckets de journaux. Oui
Journaux d'audit d'événements système Non, toujours écrit Non

Les journaux d'audit pour l'accès aux données sont désactivés par défaut (sauf dans BigQuery). Si vous souhaitez que les journaux d'audit des accès aux données soient écrits pour les services Google Cloud, vous devez les activer explicitement. Pour en savoir plus, consultez la section Configurer les journaux d'audit pour l'accès aux données sur cette page.

Pour en savoir plus sur l'environnement global des journaux d'audit avec Google Cloud, consultez la page Présentation de Cloud Audit Logs.

Contrôler l'accès aux journaux

En raison du caractère sensible des données des journaux d'audit, il est particulièrement important de configurer les contrôles d'accès appropriés pour les utilisateurs de votre organisation.

En fonction de vos exigences de conformité et d'utilisation, définissez ces contrôles d'accès comme suit:

Définir les autorisations IAM

Les autorisations et les rôles IAM déterminent la capacité des utilisateurs à accéder aux données des journaux d'audit dans l'API Logging, l'explorateur de journaux et la Google Cloud CLI. Utilisez IAM pour accorder un accès précis à des buckets Google Cloud spécifiques et empêcher tout accès indésirable à d'autres ressources.

Les rôles basés sur des autorisations que vous accordez à vos utilisateurs dépendent des fonctions liées à l'audit dans votre organisation. Par exemple, vous pouvez accorder à votre directeur de la technologie des autorisations d'administration étendues, tandis que les membres de votre équipe de développement peuvent avoir besoin d'autorisations de consultation des journaux. Pour obtenir des conseils sur les rôles à attribuer aux utilisateurs de votre organisation, consultez la page Configurer les rôles pour Audit Logging.

Lorsque vous définissez des autorisations IAM, appliquez le principe de sécurité du moindre privilège afin de n'accorder aux utilisateurs que l'accès nécessaire à vos ressources:

  • Supprimez tous les utilisateurs non essentiels.
  • Accordez aux utilisateurs essentiels les autorisations minimales et appropriées.

Pour obtenir des instructions sur la définition des autorisations IAM, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Configurer les vues de journaux

Tous les journaux, y compris les journaux d'audit, reçus par Logging sont écrits dans des conteneurs de stockage appelés buckets de journaux. Les vues de journaux vous permettent de contrôler qui a accès aux journaux dans vos buckets de journaux.

Étant donné que les buckets de journaux peuvent contenir des journaux provenant de plusieurs projets Google Cloud, vous devrez peut-être contrôler les projets Google Cloud à partir desquels différents utilisateurs peuvent consulter les journaux. créer des vues de journaux personnalisées qui vous offrent un contrôle d'accès plus précis pour ces buckets.

Pour savoir comment créer et gérer des vues de journaux, consultez la page Configurer des vues de journaux dans un bucket de journaux.

Définir des contrôles d'accès au niveau du champ de journal

Le contrôle des accès au niveau du champ vous permet de masquer des champs LogEntry individuels pour les utilisateurs d'un projet Google Cloud. Vous pouvez ainsi contrôler plus précisément les données de journaux auxquelles un utilisateur peut accéder. Par rapport aux vues de journaux, qui masquent l'intégralité de l'LogEntry, les contrôles d'accès au niveau du champ masquent les champs individuels de l'LogEntry. Par exemple, vous pouvez masquer les informations permettant d'identifier personnellement des utilisateurs externes, telles qu'une adresse e-mail contenue dans la charge utile d'entrée de journal, pour la majorité des utilisateurs de votre organisation.

Pour obtenir des instructions sur la configuration des contrôles d'accès au niveau du champ, consultez la section Configurer l'accès au niveau du champ.

Configurer les journaux d'audit pour l'accès aux données

Lorsque vous activez de nouveaux services Google Cloud, évaluez l'activation ou non des journaux d'audit pour l'accès aux données.

Les journaux d'audit pour l'accès aux données aident l'assistance Google à résoudre les problèmes liés à votre compte. Par conséquent, nous vous recommandons d'activer les journaux d'audit des accès aux données lorsque cela est possible.

Pour activer tous les journaux d'audit pour tous les services, suivez les instructions pour mettre à jour la stratégie IAM (Identity and Access Management) avec la configuration répertoriée dans la stratégie d'audit.

Après avoir défini votre stratégie d'accès aux données au niveau de l'organisation et activé les journaux d'audit des accès aux données, utilisez un projet Google Cloud de test pour valider la configuration de votre collecte de journaux d'audit avant de créer des projets Google Cloud de développement et de production dans l'organisation.

Pour obtenir des instructions sur l'activation des journaux d'audit des accès aux données, consultez la page Activer les journaux d'audit des accès aux données.

Contrôler le stockage des journaux

Vous pouvez configurer certains aspects des buckets de votre organisation et créer des buckets définis par l'utilisateur pour centraliser ou subdiviser le stockage de journaux. En fonction de vos exigences de conformité et d'utilisation, vous pouvez personnaliser le stockage de journaux comme suit:

  • Choisissez l'emplacement de stockage de vos journaux.
  • Définissez la durée de conservation des données.
  • Protégez vos journaux avec des clés de chiffrement gérées par le client (CMEK).

Choisir l'emplacement de stockage des journaux

Dans Logging, les buckets sont des ressources régionales: l'infrastructure qui stocke, indexe et recherche vos journaux se trouve dans un emplacement géographique spécifique.

Votre organisation peut être amenée à stocker ses données de journaux dans des régions spécifiques. Les principaux facteurs qui déterminent la région dans laquelle vos journaux sont stockés consistent, entre autres, à répondre aux exigences de latence, de disponibilité ou de conformité de votre organisation.

Pour appliquer automatiquement une région de stockage particulière aux nouveaux buckets _Default et _Required créés dans votre organisation, vous pouvez configurer un emplacement de ressources par défaut.

Pour obtenir des instructions sur la configuration des emplacements de ressources par défaut, consultez la section Configurer les paramètres par défaut pour les organisations.

Définir les durées de conservation des données

Cloud Logging conserve les journaux conformément aux règles de conservation appliquées au type de bucket de journaux où ils sont conservés.

Pour répondre à vos besoins de conformité, configurez Cloud Logging de manière à conserver les journaux entre 1 et 3 650 jours. Les règles de conservation personnalisées s'appliquent à tous les journaux d'un bucket, qu'ils aient été copiés depuis un autre emplacement ou non.

Pour savoir comment définir des règles de conservation pour un bucket de journaux, consultez la section Configurer une conservation personnalisée.

Protéger vos journaux d'audit à l'aide de clés de chiffrement gérées par le client

Par défaut, Cloud Logging chiffre le contenu client stocké au repos. Votre organisation peut avoir des exigences de chiffrement avancées que le chiffrement au repos par défaut ne fournit pas. Pour répondre aux exigences de votre organisation, au lieu de laisser Google gérer les clés de chiffrement de clés qui protègent vos données, configurez des clés de chiffrement gérées par le client (CMEK) pour contrôler et gérer votre propre chiffrement.

Pour obtenir des instructions sur la configuration des CMEK, consultez la page Configurer CMEK pour le stockage des journaux.

Tarification

Cloud Logging ne facture pas l'acheminement des journaux vers une destination compatible. Toutefois, la destination peut appliquer des frais. À l'exception du bucket de journaux _Required, Cloud Logging facture la diffusion des journaux dans les buckets de journaux et leur stockage plus longtemps que la durée de conservation par défaut du bucket.

Cloud Logging ne facture pas la copie des journaux ni les requêtes émises via la page Explorateur de journaux ou Analyse de journaux.

Pour en savoir plus, consultez les documents suivants :

Lorsque vous configurez et utilisez vos journaux d'audit, nous vous recommandons de suivre les bonnes pratiques suivantes concernant la tarification:

  • Estimez vos factures en consultant vos données d'utilisation et en définissant des alertes.

  • Sachez que les journaux d'audit des accès aux données peuvent être volumineux et que le stockage peut engendrer des coûts supplémentaires.

  • Gérez vos coûts en excluant les journaux d'audit inutiles. Par exemple, vous pouvez probablement exclure les journaux d'audit des accès aux données dans les projets de développement.

Interroger et afficher les journaux d'audit

En cas de problème, vous devez pouvoir consulter rapidement les journaux. Dans la console Google Cloud, récupérez les entrées des journaux d'audit pour votre organisation à l'aide de l'explorateur de journaux:

  1. Dans le panneau de navigation de la console Google Cloud, sélectionnez Logging, puis Explorateur de journaux :

    Accéder à l'explorateur de journaux

  2. Sélectionnez votre organisation.

  3. Dans le volet Requête, procédez comme suit:

    • Dans Type de ressource, sélectionnez la ressource Google Cloud dont vous souhaitez afficher les journaux d'audit.

    • Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :

      • Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.
      • Pour les journaux d'audit des accès aux données, sélectionnez data_access.
      • Pour les journaux d'audit des événements système, sélectionnez system_event.
      • Pour les journaux d'audit des refus de règles, sélectionnez policy.

      Si ces options ne s'affichent pas, cela signifie qu'aucun journal d'audit de ce type n'est disponible dans l'organisation.

    • Dans l'éditeur de requête, spécifiez les entrées de journal d'audit que vous souhaitez afficher. Pour obtenir des exemples de requêtes courantes, consultez la page Exemples de requêtes avec l'explorateur de journaux.

  4. Cliquez sur Exécuter la requête.

Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez la page Créer des requêtes dans l'explorateur de journaux.

Surveiller les journaux d'audit

Vous pouvez utiliser Cloud Monitoring pour vous avertir lorsque les conditions que vous décrivez se produisent. Pour fournir à Cloud Monitoring les données de vos journaux, Logging vous propose des alertes basées sur les journaux. Elles vous avertissent chaque fois qu'un événement spécifique apparaît dans un journal.

Configurez des alertes pour distinguer les événements nécessitant une enquête immédiate des événements à faible priorité. Par exemple, si vous souhaitez savoir quand un journal d'audit enregistre un message d'accès aux données particulier, vous pouvez créer une alerte basée sur les journaux qui correspond au message et vous avertit lorsqu'il apparaît.

Pour obtenir des instructions sur la configuration des alertes basées sur les journaux, consultez la section Gérer ces alertes.

Acheminer les journaux vers les destinations compatibles

Votre organisation peut être confrontée à des exigences concernant la création et la conservation des journaux d'audit. À l'aide de récepteurs, vous pouvez acheminer une partie ou la totalité de vos journaux vers les destinations compatibles suivantes:

Déterminez si vous avez besoin de récepteurs au niveau du dossier ou de l'organisation, et acheminez les journaux de tous les projets Google Cloud au sein de l'organisation ou du dossier à l'aide de récepteurs agrégés. Vous pouvez, par exemple, envisager les cas d'utilisation de routage suivants:

  • Récepteur au niveau de l'organisation: si votre organisation utilise une solution SIEM pour gérer plusieurs journaux d'audit, vous pouvez acheminer tous les journaux d'audit de votre organisation. Un récepteur au niveau de l'organisation est donc logique.

  • Récepteur au niveau d'un dossier: il peut arriver que vous souhaitiez n'acheminer que les journaux d'audit d'un service. Par exemple, si vous avez un dossier "Finance" et un dossier "IT", vous pouvez choisir de n'acheminer que les journaux d'audit appartenant au dossier "Finance", ou inversement.

    Pour en savoir plus sur les dossiers et les organisations, consultez la page Hiérarchie des ressources.

Appliquez à la destination Google Cloud les mêmes stratégies d'accès que celles utilisées pour acheminer les journaux avec l'explorateur de journaux.

Pour obtenir des instructions sur la création et la gestion de récepteurs agrégés, consultez la section Collecter et acheminer les journaux au niveau de l'organisation vers les destinations compatibles.

Comprendre le format de données dans les destinations de récepteurs

Lorsque vous acheminer des journaux d'audit vers des destinations en dehors de Cloud Logging, vous devez connaître le format des données envoyées.

Par exemple, si vous acheminez les journaux vers BigQuery, Cloud Logging applique des règles pour raccourcir les noms de champs des schémas BigQuery pour les journaux d'audit et pour certains champs de charge utile structurée.

Pour comprendre et trouver les entrées de journal que vous avez acheminées depuis Cloud Logging vers des destinations compatibles, consultez la section Afficher les journaux dans les destinations de récepteur.

Copier les entrées de journal

En fonction des exigences de conformité de votre organisation, vous devrez peut-être partager les entrées des journaux d'audit avec des auditeurs en dehors de Logging. Si vous devez partager des entrées de journal déjà stockées dans des buckets Cloud Logging, vous pouvez les copier manuellement dans des buckets Cloud Storage.

Après avoir copié des entrées de journal dans Cloud Storage, les entrées de journal restent stockées dans le bucket à partir duquel elles ont été copiées.

Notez que les opérations de copie ne remplacent pas les récepteurs, qui envoient automatiquement toutes les entrées de journal entrantes vers une destination de stockage compatible présélectionnée, y compris Cloud Storage.

Pour savoir comment acheminer les journaux vers Cloud Storage de manière rétroactive, consultez la section Copier des entrées de journal.