Bonnes pratiques pour les journaux d'audit Cloud

Ce guide répertorie les bonnes pratiques à suivre pour configurer les journaux d'audit Cloud afin de répondre aux besoins de journalisation de votre organisation en matière de sécurité, d'enquêtes et de conformité.

Présentation

La fonctionnalité de journaux d'audit Cloud permet aux entités chargées de la sécurité, de l'audit et de la conformité de gérer les outils d'audit dans Google Cloud. Grâce aux journaux d'audit Cloud, votre entreprise peut atteindre le même niveau de transparence sur les activités d'administration et d'accès aux données dans Google Cloud que dans les environnements sur site.

Configurer les journaux d'audit Cloud

  • Déterminez et appliquez vos règles d'accès aux données au niveau de l'organisation. Pour en savoir plus, consultez la page Configurer les journaux d'audit pour l'accès aux données.

  • Utilisez un projet Google Cloud de test afin de valider la configuration de votre collecte de journaux d'audit pour l'accès aux données avant de la propager aux projets de développement et de production.

  • Adoptez une approche basée sur le principe du moindre privilège pour accorder des autorisations.

  • Par défaut, les journaux d'audit pour l'accès aux données sont désactivés. Lorsque vous activez de nouveaux services Google Cloud, évaluez si vous devez activer ou non des journaux d'audit d'accès aux données pour ces nouveaux services. BigQuery est le seul service pour lequel les journaux d'audit d'accès aux données sont activés par défaut.

  • Tenez compte des implications en termes de coûts.

  • Configurez les exportations pour vos journaux d'audit aux niveaux de ressources Google Cloud appropriés.

  • Configurez des alertes en distinguant les événements nécessitant une enquête immédiate des événements à faible priorité.

Remarques sur les tarifs

  • Notez que les journaux d'audit pour l'accès aux données peuvent être très volumineux et générer des coûts de stockage supplémentaires. Pour en savoir plus sur les tarifs, consultez la section Tarifs : Informations sur Logging.

  • Veillez à exclure les données de journalisation inutiles.

    • Par exemple, vous ne devriez pas avoir besoin de consigner les journaux d'audit pour l'accès aux données dans les projets de développement.

Moindre privilège

  • Assurez-vous d'avoir appliqué les contrôles de gestion de l'authentification et des accès appropriés pour limiter l'accès aux journaux d'audit en attribuant les rôles Cloud Logging adaptés à vos utilisateurs.

  • Suivez les conseils de la page Configurer les rôles pour Audit Logging.

  • Appliquez à la destination Google Cloud que vous utilisez pour exporter les journaux les mêmes règles d'accès que celles que vous avez appliquées à la visionneuse de journaux.

Afficher et comprendre les journaux

En cas de problème, vous devez pouvoir consulter rapidement les journaux :

Exporter la configuration

  • Concevez des récepteurs agrégés à partir desquels votre organisation peut interroger et exporter les données pour les analyser ultérieurement.

  • La plupart des exportations sont effectuées au niveau du projet Google Cloud. Déterminez si vous avez besoin d'exportations au niveau du dossier ou de l'organisation pour configurer un récepteur au niveau de l'organisation ou du dossier IAM, et exportez les journaux de tous les projets de l'organisation ou du dossier. Par exemple, vous pouvez envisager les niveaux d'exportation ci-dessous en fonction de votre cas d'utilisation :

    • Exportation au niveau de l'organisation. Si votre organisation utilise une solution SIEM pour gérer plusieurs journaux d'audit, vous pouvez souhaiter exporter la totalité des journaux d'audit de votre organisation. Dans ce contexte, une exportation au niveau de l'organisation est logique.

    • Exportation au niveau d'un dossier. Vous pouvez être amené à exporter uniquement les journaux d'audit d'un service. Par exemple, si vous avez un dossier "Finance" et un dossier "Informatique", vous pouvez souhaiter exporter uniquement les journaux d'audit appartenant au dossier "Finance", ou inversement.

    Pour en savoir plus, consultez la page Hiérarchie des ressources.

  • Déterminez si vous devez exporter les journaux pour une conservation à plus long terme. Si c'est le cas, configurez un récepteur de journaux avant de commencer à recevoir des journaux. Vous ne pouvez pas exporter de manière rétroactive les journaux qui ont été écrits avant la création du récepteur.

    • Par exemple, la commande suivante de l'outil de ligne de commande gcloud transmet tous les journaux d'audit des activités d'administration provenant de l'ensemble de votre organisation Google Cloud vers un unique récepteur BigQuery :

      gcloud logging sinks create my-bq-sink bigquery.googleapis.com/projects/my-project/datasets/my_dataset --log-filter='logName: "logs/cloudaudit.googleapis.com%2Factivity"' --organization=1234 --include-children

    Notez que des frais de destination peuvent s'appliquer à vos exportations.

  • Suivez les bonnes pratiques d'exportation de journaux pour des scénarios courants.

  • Exportez vos journaux de pare-feu Compute Engine vers le même récepteur que vos journaux d'audit.