Neste documento, recomenda-se uma sequência de tarefas de registro de auditoria para ajudar sua organização a manter a segurança e minimizar os riscos.
Este documento não é uma lista completa de recomendações. Em vez disso, o objetivo é ajudar você a entender o escopo das atividades de registro de auditoria e a planejar adequadamente.
Cada seção inclui as principais ações e links para leitura extra.
Noções básicas sobre os Registros de auditoria do Cloud
Os registros de auditoria estão disponíveis para a maioria dos serviços do Google Cloud. Os Registros de auditoria do Cloud fornecem os seguintes tipos de registros de auditoria para cada projeto, pasta e organização do Google Cloud:
| Tipo de registro de auditoria | Configurável | Sujeito a cobrança |
|---|---|---|
| Registros de auditoria de atividade do administrador | Não; sempre escrito | Não |
| Registros de auditoria de acesso a dados | Sim | Sim |
| Registros de auditoria de política negada | Sim, é possível impedir que esses registros sejam gravados em buckets | Sim |
| Registros de auditoria de eventos do sistema | Não; sempre escrito | Não |
Os registros de auditoria de acesso a dados (exceto BigQuery) são desativados por padrão. Se quiser gravar os registros de auditoria de acesso a dados para os serviços do Google Cloud, ative-os explicitamente. Para detalhes, consulte Configurar registros de auditoria de acesso a dados nesta página.
Para mais informações sobre o cenário geral da geração de registros de auditoria com o Google Cloud, consulte Visão geral dos Registros de auditoria do Cloud.
Controlar o acesso a registros
Devido à sensibilidade dos dados de registros de auditoria, é especialmente importante configurar os controles de acesso apropriados para os usuários da sua organização.
Dependendo dos requisitos de compliance e uso, defina esses controles de acesso da seguinte maneira:
- Defina as permissões do IAM
- Configurar as visualizações de registros
- Configurar controles de acesso no nível do campo para a entrada de registro
Defina as permissões do IAM
As permissões e os papéis do IAM determinam a capacidade dos usuários de acessar dados de registros de auditoria na API Logging, na Análise de registros e na Google Cloud CLI. Use o IAM para conceder acesso granular a buckets específicos do Google Cloud e impedir o acesso indesejado a outros recursos.
Os papéis baseados em permissões que você concede aos usuários dependem das funções relacionadas à auditoria na organização. Por exemplo, é possível conceder ao CTO permissões administrativas amplas, enquanto os membros da equipe de desenvolvimento podem precisar de permissões de visualização de registros. Para orientações sobre quais papéis conceder aos usuários da sua organização, consulte como configurar papéis para a geração de registros de auditoria.
Ao definir permissões do IAM, aplique o princípio de segurança de privilégio mínimo para conceder aos usuários apenas o acesso necessário aos seus recursos:
- Remova todos os usuários não essenciais.
- Conceda aos usuários essenciais as permissões corretas e mínimas.
Para instruções sobre como definir permissões do IAM, consulte Gerenciar o acesso a projetos, pastas e organizações.
Configure as visualizações de registros
Todos os registros, incluindo registros de auditoria, recebidos pelo Logging são gravados em contêineres de armazenamento chamados buckets de registros. As visualizações de registros permitem controlar quem tem acesso aos registros nos buckets.
Como os buckets de registros podem conter registros de vários projetos do Google Cloud, talvez seja necessário controlar de quais projetos do Google Cloud os diferentes usuários podem ver registros. criar visualizações de registros personalizadas, que oferecem um controle de acesso mais granular para esses buckets.
Para instruções sobre como criar e gerenciar visualizações de registros, consulte Configurar visualizações de registros em um bucket de registros.
Definir controles de acesso no nível do campo de registro
Os controles de acesso no nível do campo permitem ocultar campos LogEntry individuais dos usuários de um projeto do Google Cloud, oferecendo uma maneira mais granular de controlar os dados de registros que um usuário pode acessar. Em comparação com as visualizações de registros, que ocultam todo o LogEntry, os controles de acesso no nível do campo escondem campos individuais do LogEntry. Por exemplo, talvez você queira encobrir PII de usuários externos, como um endereço de e-mail contido no payload de entrada de registro, da maioria dos usuários da sua organização.
Para instruções sobre a configuração de controles de acesso no nível do campo, consulte Configurar acesso no nível do campo.
Configurar os registros de auditoria de acesso a dados
Ao ativar novos serviços do Google Cloud, avalie se você quer ou não ativar os registros de auditoria de acesso a dados.
Os registros de auditoria de acesso a dados ajudam o Suporte do Google a resolver problemas na sua conta. Por isso, recomendamos ativar os registros de auditoria de acesso a dados quando possível.
Para ativar todos os registros de auditoria para todos os serviços, siga as instruções para atualizar a política do Identity and Access Management (IAM) com a configuração listada na política de auditoria.
Depois de definir a política de acesso a dados no nível da organização e ativar os registros de auditoria de acesso a dados, use um projeto de teste do Google Cloud para validar a configuração da coleta de registros de auditoria antes de criar projetos do Google Cloud de desenvolvedor e produção na organização.
Para instruções sobre como ativar os registros de auditoria de acesso a dados, consulte Ativar registros de auditoria de acesso a dados.
Controle como os registros são armazenados
É possível configurar aspectos dos buckets da sua organização e também criar buckets definidos pelo usuário para centralizar ou subdividir o armazenamento de registros. Dependendo dos requisitos de conformidade e uso, personalize seu armazenamento de registros da seguinte maneira:
- Escolha onde seus registros serão armazenados.
- Defina o período de armazenamento de dados.
- Proteja seus registros com chaves de criptografia gerenciadas pelo cliente (CMEK).
Escolher onde os registros são armazenados
Os buckets do Logging são recursos regionais: a infraestrutura que armazena, indexa e pesquisa seus registros está localizada em uma localização geográfica específica.
Talvez sua organização precise armazenar os dados de registros em regiões específicas. Os principais fatores para selecionar a região em que seus registros são armazenados incluem atender aos requisitos de latência, disponibilidade ou conformidade de sua organização.
Para aplicar automaticamente uma determinada região de armazenamento aos novos buckets _Default e _Required criados na organização, configure um local de recurso padrão.
Para instruções sobre como definir locais de recursos padrão, consulte Definir configurações padrão para organizações.
Definir períodos de armazenamento de dados
O Cloud Logging retém registros de acordo com as regras de retenção que se aplicam ao tipo de bucket de registros em que os registros são retidos.
Para atender às suas necessidades de conformidade, configure o Cloud Logging para reter registros entre 1 dia e 3.650 dias. As regras de retenção personalizadas se aplicam a todos os registros de um bucket, independentemente do tipo de registro ou se ele foi copiado de outro local.
Para instruções sobre como definir regras de retenção para um bucket de registros, consulte Configurar retenção personalizada.
Proteja seus registros de auditoria com chaves de criptografia gerenciadas pelo cliente
Por padrão, o Cloud Logging criptografa o conteúdo do cliente armazenado em repouso. Sua organização pode ter requisitos de criptografia avançados não atendidos pela criptografia em repouso padrão. Para atender aos requisitos da sua organização, em vez de o Google gerenciar as chaves de criptografia de chaves que protegem seus dados, configure as chaves de criptografia gerenciadas pelo cliente (CMEK) para controlar e gerenciar sua própria criptografia.
Para instruções sobre como configurar a CMEK, consulte Configurar CMEK para armazenamento de registros.
Preços
O Cloud Logging não cobra para rotear os registros para um
destino compatível. No entanto, o destino pode aplicar cobranças.
Com exceção do bucket de registros _Required,
o Cloud Logging cobra para transmitir registros para buckets de registros e
para armazenamento mais longo que o período de armazenamento padrão do bucket de registros.
O Cloud Logging não cobra pela cópia de registros ou por consultas emitidas na página Análise de registros ou na Análise de registros.
Para mais informações, consulte estes documentos:
- Resumo de preços do Cloud Logging
Custos de destino:
- As taxas da geração de registros de fluxo de VPC se aplicam quando você envia e depois exclui seus registros de fluxo da nuvem privada virtual do Cloud Logging.
Ao configurar e usar seus registros de auditoria, recomendamos as seguintes práticas recomendadas relacionadas a preços:
Estime suas faturas visualizando os dados de uso e definindo alertas.
Esteja ciente de que os registros de auditoria de acesso a dados podem ser grandes e você pode gerar custos adicionais de armazenamento.
Gerencie seus custos excluindo registros de auditoria que não são úteis. Por exemplo, é possível excluir registros de auditoria de acesso a dados em projetos de desenvolvimento.
Consultar e acessar registros de auditoria
Se você precisar resolver problemas, a capacidade de analisar registros rapidamente é exigida. No console do Google Cloud, use a Análise de registros para recuperar as entradas registro de auditoria da sua organização:
-
No painel de navegação do console do Google Cloud, selecione Logging e clique em Análise de registros:
Selecione a organização.
No painel Consulta, faça o seguinte:
Em Tipo de recurso, selecione o recurso do Google Cloud com os registros de auditoria que você quer consultar.
Em Nome do registro, selecione o tipo de registro de auditoria que você quer consultar.
- Para os registros de auditoria da atividade do administrador, selecione Atividade.
- Para os registros de auditoria de acesso a dados, selecione data_access.
- Para os registros de auditoria de eventos do sistema, selecione system_event.
- Em "Registros de auditoria de política negada", selecione policy.
Se você não vir essas opções, isso significa que não há registros de auditoria desse tipo disponíveis na organização.
No editor de consultas, especifique ainda mais as entradas de registro de auditoria que você quer ver. Para exemplos de consultas comuns, acesse Exemplos de consultas usando a Análise de registros.
Clique em Executar consulta.
Para mais informações sobre como consultar usando a Análise de Registros, consulte Criar consultas na Análise de Registros.
Monitorar seus registros de auditoria
É possível usar o Cloud Monitoring para notificar quando ocorrerem as condições descritas. Para fornecer ao Cloud Monitoring dados de seus registros, o Logging oferece alertas com base em registros, que notificam você sempre que um evento específico aparece em um registro.
Configure alertas para distinguir entre eventos que exigem investigação imediata e eventos de baixa prioridade. Por exemplo, se você quiser saber quando um registro de auditoria grava uma mensagem de acesso a dados específica, crie um alerta com base em registros que corresponda à mensagem e envie uma notificação quando ela aparecer.
Para instruções sobre a configuração de alertas baseados em registros, consulte Como gerenciar alertas baseados em registros.
Encaminhar registros para destinos compatíveis
Sua organização pode enfrentar requisitos para criar e preservar registros de auditoria. Com os coletores, é possível rotear alguns ou todos os registros para estes destinos compatíveis:
- Cloud Storage
- Pub/Sub, incluindo terceiros como o Splunk
- BigQuery
- Outro bucket do Cloud Logging
Determine se você precisa de coletores no nível da pasta ou da organização e roteie os registros de todos os projetos do Google Cloud dentro da organização ou da pasta usando coletores agregados. Por exemplo, considere estes casos de uso de roteamento:
Coletor no nível da organização: se sua organização usa um SIEM para gerenciar vários registros de auditoria, é possível rotear todos eles. Por isso, faz sentido usar um coletor no nível da organização.
Coletor no nível de pasta: às vezes, talvez você queira rotear apenas registros de auditoria departamentais. Por exemplo, se você tiver uma pasta "Finanças" e uma "TI", poderá ser útil apenas rotear os registros de auditoria que pertencem à pasta "Finanças" ou vice-versa.
Para mais informações sobre pastas e organizações, consulte Hierarquia de recursos.
Aplique as mesmas políticas de acesso ao destino do Google Cloud usado para rotear os registros aplicados à Análise de registros.
Para instruções sobre como criar e gerenciar coletores agregados, consulte Agrupar e rotear registros no nível da organização para destinos compatíveis.
Entender o formato de dados nos destinos do coletor
Ao rotear registros de auditoria para destinos fora do Cloud Logging, entenda o formato dos dados que foram enviados.
Por exemplo, se você rotear registros para o BigQuery, o Cloud Logging aplicará regras para encurtar os nomes de campo do esquema do BigQuery para registros de auditoria e para determinados campos de payload estruturado.
Para entender e encontrar entradas de registro que você roteou do Cloud Logging para destinos compatíveis, consulte Visualizar registros nos destinos do coletor.
Copiar entradas de registro
Dependendo das necessidades de conformidade da sua organização, talvez seja necessário compartilhar entradas de registro de auditoria com auditores fora do Logging. Se você precisar compartilhar entradas de registro que já estão armazenadas em buckets do Cloud Logging, copie-as manualmente para os buckets do Cloud Storage.
Quando você copia as entradas de registro para o Cloud Storage, elas também permanecem no bucket de registro em que foram copiadas.
Observe que as operações de cópia não substituem coletores, que enviam automaticamente todas as entradas de registro recebidas para um destino de armazenamento compatível pré-selecionado, incluindo o Cloud Storage.
Para instruções sobre como rotear registros para o Cloud Storage retroativamente, consulte Copiar entradas de registro.