Cloud Audit Logs 的最佳做法

本指南介绍了配置 Cloud Audit Logs 的最佳做法,以满足您的组织在安全性、调查和合规性方面的日志记录需求。

简介

Cloud Audit Logs 可帮助安全、审核和合规性实体来维护 Google Cloud 中的审核跟踪记录。借助 Cloud Audit Logs,您的企业可在 Google Cloud 中如同在本地环境中一样透明地了解管理活动以及数据的访问情况。

配置 Cloud Audit Logs

  • 确定并应用组织级层的数据访问政策。如需了解详情,请参阅配置数据访问审核日志

  • 使用 Google Cloud 测试项目来验证数据访问审核日志收集的配置,然后再传递给开发者和生产项目。

  • 采用最小权限方式来授予权限。

  • 默认情况下,数据访问审核日志处于关闭状态。启用新的 Google Cloud 服务时,请评估是否为其启用数据访问审核日志。默认情况下,只有 BigQuery 启用了数据访问审核日志。

  • 考虑价格影响。

  • 在适当的 Google Cloud 资源级层为审核日志配置导出

  • 配置提醒来区分需要立即调查的事件和低优先级事件。

价格注意事项

  • 请注意,数据访问审核日志可能非常庞大,并且可能产生额外的存储成本。如需了解价格信息,请参阅价格:Logging 详情

  • 请务必排除无用的日志记录数据。

    • 例如,您不需要在开发项目中记录数据访问审核日志。

最小权限

  • 确保您已应用适当的 Identity and Access Management 控制,通过向用户授予相应的 Cloud Logging 角色来限制哪些人可以访问审核日志。

  • 使用为审核日志记录配置角色指南。

  • 对您用于导出日志的 Google Cloud 目标位置应用与日志浏览器相同的访问权限政策。

查看和理解日志

如果您需要进行问题排查,则必须能够快速查看日志:

导出配置

  • 设计汇总接收器,供您的组织查询数据,以及导出数据以便日后进行分析。

  • 大多数导出作业都是在 Google Cloud 项目级层完成的。确定需要文件夹级层导出还是组织级层导出,以便在 IAM 组织级层或文件夹级层设置接收器,以及从组织或文件夹内的所有项目导出日志。例如,您可以根据自己的导出用例考虑这些导出级层:

    • 组织级层导出。如果您的组织使用 SIEM 管理多个审核日志,则您可能需要导出组织的所有审核日志。因此,组织级层导出是有意义的。

    • 文件夹级层导出。有时您可能只希望导出部门审核日志。例如,如果您有一个“Finance”文件夹和一个“IT”文件夹,您可能只需要导出属于“Finance”文件夹的审核日志,反之亦然。

    如需了解详情,请参阅资源层次结构

  • 确定是否需要导出日志以进行长期保留;如果需要,请先设置日志接收器,然后再开始接收日志。您无法回溯性地导出在创建接收器之前写入的日志。

    • 例如,以下 gcloud 命令行工具命令会将您的整个 Google Cloud 组织中的所有管理员活动审核日志发送到单个 BigQuery 接收器:

      gcloud logging sinks create my-bq-sink bigquery.googleapis.com/projects/my-project/datasets/my_dataset --log-filter='logName: "logs/cloudaudit.googleapis.com%2Factivity"' --organization=1234 --include-children

    注意,您的导出内容可能会产生目标位置费用

  • 请遵循常见日志记录导出场景中的最佳做法。

  • 将 Compute Engine 防火墙日志导出到与审核日志相同的接收器。