Cloud 감사 로그 권장사항

이 가이드에서는 Cloud 감사 로그를 구성하여 보안, 조사, 규정 준수와 관련된 조직의 로깅 요구사항을 충족하도록 권장사항을 컴파일합니다.

소개

Cloud 감사 로그는 Google Cloud에서 보안, 감사, 규정 준수 항목의 감사 추적을 유지관리하는 데 도움이 됩니다. Cloud 감사 로그를 통해 엔터프라이즈는 Google Cloud에서의 관리자 활동 및 데이터 액세스에 대해 온프레미스 환경과 동일한 수준의 투명성을 확보할 수 있습니다.

Cloud 감사 로그 구성

  • 조직 수준의 데이터 액세스 정책을 결정하고 적용합니다. 자세한 내용은 데이터 액세스 감사 로그 구성을 참조하세요.

  • 개발자 및 프로덕션 프로젝트에 적용하기 전에 테스트 Google Cloud 프로젝트를 사용하여 데이터 액세스 감사 로그 수집의 구성을 확인합니다.

  • 권한 부여에는 최소 권한 접근 방식을 사용합니다.

  • 데이터 액세스 감사 로그는 기본적으로 사용 중지되어 있습니다. 새 Google Cloud 서비스를 사용 설정할 때 새 서비스에 대한 데이터 액세스 감사 로그를 사용 설정할지 여부를 평가합니다. BigQuery에만 데이터 액세스 감사 로그가 기본적으로 설정되어 있습니다.

  • 가격에 미치는 영향을 고려합니다.

  • 적절한 Google Cloud 리소스 수준에서 감사 로그 내보내기를 구성합니다.

  • 즉각적인 조사를 필요로 하는 이벤트와 우선순위가 낮은 이벤트를 구분하도록 알림을 구성합니다.

가격 책정 고려사항

  • 데이터 액세스 감사 로그는 상당히 대용량일 수 있으며 추가 스토리지 비용이 발생할 수 있습니다. 가격 정보를 보려면 가격 책정: Logging 세부정보를 참조하세요.

  • 사용하지 않는 데이터 로깅은 제외해야 합니다.

    • 예를 들어 개발 프로젝트에서 데이터 액세스 감사 로그를 로깅할 필요는 없습니다.

최소 권한

  • 적절한 Cloud Logging 역할을 사용자에게 부여하여 감사 로그 액세스를 제한할 수 있는 적절한 Cloud Identity and Access Management 제어를 적용했는지 확인합니다.

  • 감사 로깅에 대한 역할 구성 안내를 참조하세요.

  • 로그 뷰어에 적용한 것과 동일한 액세스 정책을 로그를 내보내는 데 사용하는 Google Cloud 대상 위치에 적용합니다.

로그 보기 및 이해

문제를 해결하려면 로그를 빠르게 확인해야 합니다.

구성 내보내기

  • 조직에서 향후 분석을 위해 데이터를 쿼리하고 내보낼 수 있는 전체 싱크를 설계합니다.

  • 대부분의 내보내기는 Google Cloud 프로젝트 수준에서 이루어집니다. Cloud IAM 조직 또는 폴더 수준에서 싱크를 설정하려면 폴더 수준 또는 조직 수준 내보내기가 필요한지 판단하고 조직 또는 폴더 내의 모든 프로젝트에서 로그를 내보냅니다. 예를 들어 내보내기 사용 사례에 따라 다음과 같은 내보내기 수준을 고려할 수 있습니다.

    • 조직 수준 내보내기. 조직에서 SIEM을 사용하여 여러 감사 로그를 관리하는 경우 조직의 모든 감사 로그를 내보내야 합니다. 따라서 조직 수준의 내보내기가 적합합니다.

    • 폴더 수준 내보내기. 경우에 따라 부서별 감사 로그 내보내기만 필요할 수도 있습니다. 예를 들어 'Finance' 폴더와 'IT' 폴더가 있는 경우 'Finance' 폴더에 속한 감사 로그만 내보내거나 그 반대 경우만 필요할 수 있습니다.

    자세한 내용은 리소스 계층 구조를 참조하세요.

  • 장기 보관을 위해 로그를 내보낼지 여부를 결정합니다. 그렇다면 로그 수신을 시작하기 전에 로그 싱크를 설정하세요. 싱크가 생성되기 전에 작성된 로그는 소급해서 내보낼 수 없습니다.

    • 예를 들어 다음 gcloud 명령줄 도구 명령어는 전체 Google Cloud 조직의 모든 관리자 활동 감사 로그를 단일 BigQuery 싱크로 보냅니다.

      gcloud logging sinks create my-bq-sink bigquery.googleapis.com/projects/my-project/datasets/my_dataset --log-filter='logName: "logs/cloudaudit.googleapis.com%2Factivity"' --organization=1234 --include-children

    대상 요금이 내보내기에 적용될 수 있습니다.

  • 일반적인 로깅 내보내기 시나리오에 대한 권장사항을 따르세요.

  • Compute Engine 방화벽 로그를 감사 로그와 동일한 싱크로 내보냅니다.