Cloud 감사 로그 권장사항

이 가이드에서는 Cloud 감사 로그를 구성하여 보안, 조사, 규정 준수와 관련된 조직의 로깅 요구사항을 충족하도록 권장사항을 컴파일합니다.

소개

Cloud 감사 로그는 Google Cloud에서 보안, 감사, 규정 준수 항목의 감사 추적을 유지관리하는 데 도움이 됩니다. Cloud 감사 로그를 통해 엔터프라이즈는 Google Cloud에서의 관리자 활동 및 데이터 액세스에 대해 온프레미스 환경과 동일한 수준의 투명성을 확보할 수 있습니다.

Cloud 감사 로그 구성

  • 조직 수준의 데이터 액세스 정책을 결정하고 적용합니다. 자세한 내용은 데이터 액세스 감사 로그 구성을 참조하세요.

  • 개발자 및 프로덕션 프로젝트에 적용하기 전에 테스트 Google Cloud 프로젝트를 사용하여 데이터 액세스 감사 로그 수집의 구성을 확인합니다.

  • 권한 부여에는 최소 권한 접근 방식을 사용합니다.

  • 데이터 액세스 감사 로그는 기본적으로 사용 중지되어 있습니다. 새 Google Cloud 서비스를 사용 설정할 때 새 서비스에 대한 데이터 액세스 감사 로그를 사용 설정할지 여부를 평가합니다. BigQuery에만 데이터 액세스 감사 로그가 기본적으로 설정되어 있습니다.

  • 가격에 미치는 영향을 고려합니다.

  • 적절한 Google Cloud 리소스 수준에서 감사 로그 내보내기를 구성합니다.

  • 즉각적인 조사를 필요로 하는 이벤트와 우선순위가 낮은 이벤트를 구분하도록 알림을 구성합니다.

가격 책정 고려사항

  • 데이터 액세스 감사 로그는 상당히 대용량일 수 있으며 추가 스토리지 비용이 발생할 수 있습니다. 가격 정보를 보려면 가격 책정: Logging 세부정보를 참조하세요.

  • 사용하지 않는 데이터 로깅은 제외해야 합니다.

    • 예를 들어 개발 프로젝트에서 데이터 액세스 감사 로그를 로깅할 필요는 없습니다.

최소 권한

  • 적절한 ID 및 액세스 관리 제어를 적용하고 사용자에게 적절한 Cloud Logging 역할을 부여하여 감사 로그에 액세스할 수 있는 사용자를 제한합니다.

  • 감사 로깅에 대한 역할 구성 안내를 참조하세요.

  • 로그 탐색기에 적용된 로그를 내보내는 데 사용하는 것과 동일한 액세스 정책을 Google Cloud 대상에 적용합니다.

로그 보기 및 이해

문제를 해결하려면 로그를 빠르게 확인해야 합니다.

  • 감사 로그 보기 옵션에 대해 알아봅니다.

  • 감사 로그 항목의 형식을 이해합니다.

    • BigQuery로 내보내는 경우 내보낸 데이터의 형식과 내보낸 데이터를 쿼리하는 방법을 이해합니다. 자세한 내용은 내보낸 로그의 BigQuery 스키마를 참조하세요.
  • 로깅 쿼리 언어를 이해하고 사용하여 쿼리, 싱크, 알림을 구성합니다.

  • 로깅 쿼리를 만들 때 리소스 유형에 대한 서비스 매핑 표를 사용합니다.

  • 지원팀에 감사 로깅을 사용하여 문제를 해결하는 방법을 교육합니다.

    • 지원팀이 감사 로그에 액세스할 수 있는지 확인합니다.

    • 고객 지원팀의 구성원이 교대 시 일반적인 문제를 해결하는 방법을 알 수 있도록 신속한 안내 가이드를 작성합니다.

구성 내보내기

  • 조직에서 향후 분석을 위해 데이터를 쿼리하고 내보낼 수 있는 전체 싱크를 설계합니다.

  • 대부분의 내보내기는 Google Cloud 프로젝트 수준에서 이루어집니다. IAM 조직 또는 폴더 수준에서 싱크를 설정하는 데 폴더 수준 또는 조직 수준 내보내기가 필요한지를 결정하고 조직이나 폴더 내 모든 프로젝트에서 로그를 내보냅니다. 예를 들어 내보내기 사용 사례에 따라 다음과 같은 내보내기 수준을 고려할 수 있습니다.

    • 조직 수준 내보내기. 조직에서 SIEM을 사용하여 여러 감사 로그를 관리하는 경우 조직의 모든 감사 로그를 내보내야 합니다. 따라서 조직 수준의 내보내기가 적합합니다.

    • 폴더 수준 내보내기. 경우에 따라 부서별 감사 로그 내보내기만 필요할 수도 있습니다. 예를 들어 'Finance' 폴더와 'IT' 폴더가 있는 경우 'Finance' 폴더에 속한 감사 로그만 내보내거나 그 반대 경우만 필요할 수 있습니다.

    자세한 내용은 리소스 계층 구조를 참조하세요.

  • 장기 보관을 위해 로그를 내보낼지 여부를 결정합니다. 그렇다면 로그 수신을 시작하기 전에 로그 싱크를 설정하세요. 싱크가 생성되기 전에 작성된 로그는 소급해서 내보낼 수 없습니다.

    • 예를 들어 다음 gcloud 명령줄 도구 명령어는 전체 Google Cloud 조직의 모든 관리자 활동 감사 로그를 단일 BigQuery 싱크로 보냅니다.

      gcloud logging sinks create my-bq-sink bigquery.googleapis.com/projects/my-project/datasets/my_dataset --log-filter='logName: "logs/cloudaudit.googleapis.com%2Factivity"' --organization=1234 --include-children

    대상 요금이 내보내기에 적용될 수 있습니다.

  • 일반적인 로깅 내보내기 시나리오에 대한 권장사항을 따르세요.

  • Compute Engine 방화벽 로그를 감사 로그와 동일한 싱크로 내보냅니다.