Cloud Audit Logs 的最佳做法

本指南介绍了配置 Cloud Audit Logs 的最佳做法，以满足您的组织在安全性、调查和合规性方面的日志记录需求。

简介

Cloud Audit Logs 可帮助安全、审核和合规性实体来维护 Google Cloud 中的审核跟踪记录。借助 Cloud Audit Logs，您的企业可在 Google Cloud 中如同在本地环境中一样透明地了解管理活动以及数据的访问情况。

配置 Cloud Audit Logs

• 确定并应用组织级层的数据访问政策。如需了解详情，请参阅配置数据访问审核日志。

• 使用 Google Cloud 测试项目来验证数据访问审核日志收集的配置，然后再传递给开发者和生产项目。

• 采用最小权限方式来授予权限。

• 默认情况下，数据访问审核日志处于关闭状态。启用新的 Google Cloud 服务时，请评估是否为其启用数据访问审核日志。默认情况下，只有 BigQuery 启用了数据访问审核日志。

• 考虑价格影响。

• 在适当的 Google Cloud 资源级层为审核日志配置导出。

• 配置提醒来区分需要立即调查的事件和低优先级事件。

价格注意事项

• 请注意，数据访问审核日志可能非常庞大，并且可能产生额外的存储成本。如需了解价格信息，请参阅价格：Logging 详情。

• 请务必排除无用的日志记录数据。

  • 例如，您不需要在开发项目中记录数据访问审核日志。

最小权限

• 确保您已应用适当的 Identity and Access Management 控制，通过向用户授予相应的 Cloud Logging 角色来限制哪些人可以访问审核日志。

• 使用为审核日志记录配置角色指南。

• 对您用于导出日志的 Google Cloud 目标位置应用与日志浏览器相同的访问权限政策。

查看和理解日志

如果您需要进行问题排查，则必须能够快速查看日志：

• 了解用于查看审核日志的选项。

  • 如需了解详情，请参阅使用日志浏览器。

• 了解审核日志条目的格式。

  • 如果要导出到 BigQuery，请了解已导出数据的格式以及如何查询已导出数据。如需了解详情，请参阅导出日志的 BigQuery 架构。

• 了解日记记录查询语言，并使用它来配置查询、接收器和提醒。

  • 使用示例 IAM 查询。

  • 使用示例安全日志记录查询。

• 如需创建日志记录查询，请使用将服务映射到资源类型表格。

• 请对您的支持团队进行培训，让其了解如何使用审核日志记录功能来协助进行问题排查。

  • 请确保您的支持团队可以访问审核日志。

  • 为可能轮替的支持团队成员提供快速方法指南，帮助他们了解如何排查常见问题。

导出配置

• 设计汇总接收器，供您的组织查询数据，以及导出数据以便日后进行分析。

• 大多数导出作业都是在 Google Cloud 项目级层完成的。确定需要文件夹级层导出还是组织级层导出，以便在 IAM 组织级层或文件夹级层设置接收器，以及从组织或文件夹内的所有项目导出日志。例如，您可以根据自己的导出用例考虑这些导出级层：

  • 组织级层导出。如果您的组织使用 SIEM 管理多个审核日志，则您可能需要导出组织的所有审核日志。因此，组织级层导出是有意义的。

  • 文件夹级层导出。有时您可能只希望导出部门审核日志。例如，如果您有一个“Finance”文件夹和一个“IT”文件夹，您可能只需要导出属于“Finance”文件夹的审核日志，反之亦然。

  如需了解详情，请参阅资源层次结构。

• 确定是否需要导出日志以进行长期保留；如果需要，请先设置日志接收器，然后再开始接收日志。您无法回溯性地导出在创建接收器之前写入的日志。

  • 例如，以下 gcloud 命令行工具命令会将您的整个 Google Cloud 组织中的所有管理员活动审核日志发送到单个 BigQuery 接收器：

    gcloud logging sinks create my-bq-sink bigquery.googleapis.com/projects/my-project/datasets/my_dataset --log-filter='logName: "logs/cloudaudit.googleapis.com%2Factivity"' --organization=1234 --include-children

  注意，您的导出内容可能会产生目标位置费用。

• 请遵循常见日志记录导出场景中的最佳做法。

• 将 Compute Engine 防火墙日志导出到与审核日志相同的接收器。