Práticas recomendadas para registros de auditoria do Cloud

Este documento recomenda uma sequência de tarefas de registro de auditoria para ajudar sua organização a manter a segurança e minimizar os riscos.

Este documento não é uma lista completa de recomendações. O objetivo dele é ajudar você a entender o escopo das atividades de geração de registros de auditoria e a fazer o planejamento adequado.

Cada seção inclui as principais ações e links para leitura extra.

Entender os registros de auditoria do Cloud

Os registros de auditoria estão disponíveis para a maioria dos serviços do Google Cloud. Os Registros de auditoria do Cloud fornecem os seguintes tipos de registros de auditoria para cada projeto, conta de faturamento, pasta e organização do Google Cloud:

Tipo de registro de auditoria	Configurável	Sujeito a cobrança
Registros de auditoria de atividade do administrador	Não, sempre gravado	Não
Registros de auditoria de acesso a dados	Sim	Sim
Registros de auditoria de política negada	Sim, é possível impedir que esses registros sejam gravados em buckets de registro.	Sim
Registros de auditoria de eventos do sistema	Não, sempre escrito	Não

Os registros de auditoria do acesso a dados (exceto BigQuery) são desativados por padrão. Se você quiser que os registros de auditoria de acesso a dados sejam gravados para serviços do Google Cloud, será necessário ativá-los explicitamente. Para saber mais, consulte Configurar registros de auditoria de acesso a dados nesta página.

Para informações sobre o cenário geral de geração de registros de auditoria com o Google Cloud, consulte Visão geral dos registros de auditoria do Cloud.

Controlar o acesso a registros

Devido à sensibilidade dos dados de registro de auditoria, é especialmente importante configurar os controles de acesso adequados para os usuários da sua organização.

Dependendo dos seus requisitos de conformidade e uso, defina esses controles de acesso da seguinte maneira:

• Defina as permissões do IAM
• Configurar as visualizações de registro
• Definir controles de acesso no nível do campo da entrada de registro

Definir permissões do IAM

As permissões e os papéis do IAM determinam a capacidade dos usuários de acessar os dados de registros de auditoria na API Logging, no Explorador de registros e na Google Cloud CLI. Use o IAM para conceder acesso granular a buckets específicos do Google Cloud e impedir o acesso indesejado a outros recursos.

Os papéis com base em permissões que você concede aos usuários dependem das funções relacionadas à auditoria na organização. Por exemplo, você pode conceder permissões administrativas amplas ao CTO, enquanto os membros da equipe de desenvolvedores podem precisar de permissões de visualização de registros. Para orientações sobre quais funções conceder aos usuários da sua organização, consulte Como configurar papéis para geração de registros de auditoria.

Ao definir permissões do IAM, aplique o princípio de segurança do privilégio mínimo para conceder aos usuários apenas o acesso necessário aos recursos:

• Remova todos os usuários não essenciais.
• Conceda aos usuários essenciais as permissões corretas e mínimas.

Para instruções sobre como definir permissões do IAM, consulte Gerenciar o acesso a projetos, pastas e organizações.

Configure as visualizações de registros

Todos os registros, incluindo os de auditoria, recebidos pelo Logging são gravados em contêineres de armazenamento chamados buckets de registro. As visualizações de registros permitem controlar quem tem acesso aos registros nos seus buckets de registros.

Como os buckets de registros podem conter registros de vários projetos do Google Cloud, talvez você precise controlar de quais projetos do Google Cloud diferentes usuários podem acessar os registros. Crie visualizações de registro personalizadas, que oferecem controle de acesso mais granular para esses buckets.

É possível consultar visualizações de registro com o Logs Explorer ou a Análise de registros. Para mais informações, consulte Visão geral dos registros de consulta e visualização.

Para instruções sobre como criar e gerenciar visualizações de registros, consulte Configurar visualizações de registros em um bucket de registros.

Definir controles de acesso no nível do campo de registro

Com os controles de acesso no nível do campo, é possível ocultar campos LogEntry individuais dos usuários de um projeto do Google Cloud e ter uma maneira mais granular de controlar os dados de registro que um usuário pode acessar. Em comparação com as visualizações de registros, que ocultam todo o LogEntry, os controles de acesso no nível do campo ocultam campos individuais do LogEntry. Por exemplo, você pode querer excluir PIIs de usuários externos, como um endereço de e-mail contido no payload da entrada de registro, da maioria dos usuários da sua organização.

Se você planeja usar o Log Analytics para analisar os registros de auditoria, não configure controles de acesso no nível do campo no bucket de registros que armazena esses registros. Não é possível usar a Análise de registros em buckets de registro que têm controles de acesso no nível do campo configurados.

Para instruções sobre como configurar controles de acesso no nível do campo, consulte Configurar o acesso no nível do campo.

Configurar os registros de auditoria de acesso a dados

Ao ativar novos serviços do Google Cloud, avalie se os registros de auditoria de acesso a dados serão ativados ou não.

Os registros de auditoria de acesso a dados ajudam o Suporte do Google a resolver problemas na sua conta. Portanto, recomendamos ativar os registros de auditoria de acesso a dados quando possível.

Para ativar todos os registros de auditoria para todos os serviços, siga as instruções para atualizar o Identity and Access Management (IAM) com a configuração listada na política de auditoria.

Depois de definir a política de acesso a dados no nível da organização e ativar os registros de auditoria de acesso a dados, use um projeto de teste do Google Cloud para validar a configuração da sua coleção de registros de auditoria antes de criar projetos de desenvolvimento e produção do Google Cloud na organização.

Para instruções sobre como ativar os registros de auditoria de acesso a dados, consulte Ativar os registros de auditoria de acesso a dados.

Controlar como os registros são armazenados

É possível configurar aspectos dos buckets da sua organização e também criar buckets definidos pelo usuário para centralizar ou subdividir o armazenamento de registros. Dependendo dos requisitos de compliance e uso, é possível personalizar o armazenamento de registros da seguinte maneira:

• Escolha onde os registros são armazenados.

• Defina o período de armazenamento de dados.

• Proteja seus registros com chaves de criptografia gerenciadas pelo cliente (CMEK).

Escolher onde os registros são armazenados

Os buckets de registro são recursos regionais: a infraestrutura que armazena, indexa e pesquisa seus registros está localizada em uma localização geográfica específica.

Talvez sua organização precise armazenar os dados de registros em regiões específicas. Os principais fatores para selecionar a região em que seus registros são armazenados incluem atender aos requisitos de latência, disponibilidade ou conformidade de sua organização.

Para aplicar automaticamente uma região de armazenamento específica aos novos buckets _Default e _Required criados na sua organização, é possível configurar um local de recurso padrão.

Para instruções sobre como configurar locais de recursos padrão, consulte Configurar configurações padrão para organizações.

Definir períodos de armazenamento de dados

O Cloud Logging retém registros de acordo com as regras de retenção que se aplicam ao tipo de bucket de registros em que os registros são retidos.

Para atender às suas necessidades de compliance, configure o Cloud Logging para reter registros por um período entre 1 e 3.650 dias. As regras de retenção personalizadas se aplicam a todos os registros de um bucket, independentemente do tipo de registro ou se ele foi copiado de outro local.

Para instruções sobre como definir regras de retenção para um bucket de registros, consulte Configurar a retenção personalizada.

Proteger seus logs de auditoria com chaves de criptografia gerenciadas pelo cliente

Por padrão, o Cloud Logging criptografa o conteúdo do cliente armazenado em repouso. Sua organização pode ter requisitos de criptografia avançados que a criptografia em repouso padrão não oferece. Para atender aos requisitos da sua organização, em vez de deixar que o Google gerencie as chaves de criptografia que protegem seus dados, configure chaves de criptografia gerenciadas pelo cliente (CMEK) para controlar e gerenciar sua própria criptografia.

Para instruções sobre como configurar a CMEK, consulte Configurar a CMEK para armazenamento de registros.

Preços

O Cloud Logging não cobra pelo encaminhamento de registros para um destino compatível. No entanto, o destino pode aplicar cobranças. Com exceção do bucket de registros _Required, o Cloud Logging cobra para transmitir registros em buckets de registro e para armazenamento por mais tempo do que o período de armazenamento padrão do bucket de registros.

O Cloud Logging não cobra pela cópia de registros, pela definição de escopos de registro ou por consultas emitidas nas páginas Explorer de registros ou Análise de dados de registros.

Para mais informações, consulte estes documentos:

• Resumo dos preços do Cloud Logging

• Custos de destino:

  • Preços do Cloud Storage
  • Preços do BigQuery
  • Preços do Pub/Sub
  • Preços do Cloud Logging
• Cobranças de geração de registros de fluxo da VPC são aplicadas quando você envia e exclui seus registros de fluxo da nuvem privada virtual do Cloud Logging.

Ao configurar e usar seus registros de auditoria, recomendamos as seguintes práticas recomendadas relacionadas a preços:

• Estime suas faturas conferindo seus dados de uso e configurando políticas de alerta.

• Os registros de auditoria de acesso a dados podem ser grandes e resultar em mais custos de armazenamento.

• Gerencie seus custos excluindo registros de auditoria que não são úteis. Por exemplo, você provavelmente pode excluir registros de auditoria de acesso a dados em projetos de desenvolvimento.

Consultar e visualizar registros de auditoria

Se você precisar resolver problemas, a capacidade de analisar registros rapidamente é exigida. No console do Google Cloud, use o Explorador de registros para recuperar as entradas de registro de auditoria da sua organização:

1. No console do Google Cloud, acesse a página Análise de registros:

   Acessar a Análise de registros

   Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.

2. Selecione a organização.

3. No painel Consulta, faça o seguinte:

   • Em Tipo de recurso, selecione o recurso do Google Cloud com os registros de auditoria que você quer consultar.

   • Em Nome do registro, selecione o tipo de registro de auditoria que você quer consultar.

     • Para os registros de auditoria da atividade do administrador, selecione Atividade.
     • Para os registros de auditoria de acesso a dados, selecione data_access.
     • Para os registros de auditoria de eventos do sistema, selecione system_event.
     • Em "Registros de auditoria de política negada", selecione policy.

     Se você não encontrar essas opções, não há registros de auditoria desse tipo disponíveis na organização.

   • No editor de consultas, especifique ainda mais as entradas de registro de auditoria que você quer ver. Para exemplos de consultas comuns, consulte Exemplos de consultas usando o Explorador de registros.

4. Clique em Executar consulta.

Para mais informações sobre como consultar usando a Análise de Registros, consulte Criar consultas na Análise de Registros.

Monitorar seus registros de auditoria

Você pode usar o Cloud Monitoring para receber notificações quando as condições descritas ocorrerem. Para fornecer dados do Cloud Monitoring dos seus registros, o Logging permite criar políticas de alertas com base em registros, que notificam você sempre que um evento específico aparece em um registro.

Configure políticas de alertas para distinguir eventos que exigem investigação imediata e eventos de baixa prioridade. Por exemplo, se você quiser saber quando um registro de auditoria registra uma mensagem de acesso a dados específica, crie uma política de alertas baseada em registro que corresponda à mensagem e notifique você quando ela aparecer.

Para instruções sobre como configurar políticas de alertas com base em registros, consulte Como gerenciar políticas de alertas com base em registros.

Encaminhar registros para destinos compatíveis

Sua organização pode enfrentar requisitos para criar e preservar registros de auditoria. Usando coletores, é possível rotear alguns ou todos os registros para estes destinos compatíveis:

• Cloud Storage

• Pub/Sub, incluindo terceiros, como o Splunk

• BigQuery

• Outro bucket do Cloud Logging

Determine se você precisa de coletores no nível da pasta ou da organização e redirecione os registros de todos os projetos do Google Cloud na organização ou pasta usando coletores agregados. Por exemplo, considere estes casos de uso de roteamento:

• Coletor no nível da organização: se a organização usa um SIEM para gerenciar vários registros de auditoria, talvez você queira encaminhar todos os registros de auditoria dela. Portanto, um coletor no nível da organização faz sentido.

• Sink no nível da pasta: às vezes, convém encaminhar apenas registros de auditoria departamentais. Por exemplo, se você tiver uma pasta "Finanças" e uma pasta "TI", pode ser útil encaminhar apenas os registros de auditoria pertencentes à pasta "Finanças" ou vice-versa.

  Para mais informações sobre pastas e organizações, consulte Hierarquia de recursos.

Aplique as mesmas políticas de acesso ao destino do Google Cloud que você usa para encaminhar registros, conforme aplicadas ao Explorador de registros.

Para instruções sobre como criar e gerenciar coletores agregados, consulte Agrupar e rotear registros no nível da organização para destinos compatíveis.

Entender o formato de dados nos destinos do coletor

Ao encaminhar registros de auditoria para destinos fora do Cloud Logging, entenda o formato dos dados enviados.

Por exemplo, se o roteamento de registros para o BigQuery, o Cloud Logging aplica regras para encurtar os nomes de campo do esquema do BigQuery para registros de auditoria e para determinados campos de payload estruturados.

Para entender e encontrar entradas de registro roteadas do Cloud Logging para destinos compatíveis, consulte Visualizar registros nos destinos do coletor.

Copiar entradas de registro

Dependendo das necessidades de compliance da sua organização, talvez seja necessário compartilhar entradas de registro de auditoria com auditores fora do Logging. Se você precisar compartilhar entradas de registro que já estão armazenadas em buckets do Cloud Logging, copie-as manualmente para buckets do Cloud Storage.

Quando você copia as entradas de registro para o Cloud Storage, elas também permanecem no bucket de registro em que foram copiadas.

As operações de cópia não substituem os coletores, que enviam automaticamente todas as entradas de registro de entrada para um destino de armazenamento com suporte pré-selecionado, incluindo o Cloud Storage.

Para instruções sobre como rotear registros para o Cloud Storage de forma retroativa, consulte Copiar entradas de registro.