Geração de registros de auditoria

Nesta página, descrevemos como usar a geração de registros de auditoria com o VPC Service Controls.

Por padrão, o VPC Service Controls registra todos os acessos que foram negados devido a violações da política de segurança ao Cloud Logging. Os registros de auditoria são armazenados com segurança na infraestrutura do Google e estão disponíveis para análise futura. Cada registro gerado é dedicado a um destinatário. Somente esse destinatário tem acesso ao registro, que não é visível para nenhuma outra entidade. Um destinatário pode ser um projeto, uma pasta ou uma organização.

O conteúdo do registro de auditoria está disponível por projeto no Console do Google Cloud. O registro de auditoria do VPC Service Controls é gravado no fluxo de geração de registros do "recurso auditado" e está disponível no Cloud Logging.

Como gerar o registro de auditoria

Cada solicitação negada devido à violação da política de segurança pode resultar em mais de um registro de auditoria. Esses registros gerados serão idênticos, mas serão encaminhados a destinatários diferentes. Geralmente, cada solicitação contém vários URLs de recursos. Cada um desses recursos tem um proprietário, que pode ser um projeto, uma pasta ou uma organização. A API VPC Service Control determinará os proprietários de cada recurso participante da solicitação com falha e gerará um registro para cada um.

Conteúdo do registro de auditoria

Cada registro de auditoria contém informações que podem ser divididas em duas categorias principais: as informações sobre a chamada original e as informações sobre violações da política de segurança. Elas são preenchidas pela API VPC Service Controls da seguinte maneira:

Campo do registro de auditoria Significado
service_name O nome do serviço que processa a chamada que resultou na criação desse registro de auditoria.
method_name O nome da chamada de método que resultou na violação da política de segurança descrita nesse registro.
authentication_info.principal_email Endereço de e-mail do usuário que está emitindo a chamada original.
resource_name Destinatário pretendido desse registro de auditoria, que pode ser um projeto, uma pasta ou uma organização.
request_metadata.caller_ip O endereço IP de onde se originou a chamada.
request_metadata.caller_is_gce_client Verdadeiro se a chamada original foi feita de uma rede do Compute Engine. Falso, em outros casos.
request_metadata.caller_gce_network_project_number Número do projeto correspondente à rede do Compute Engine de onde a chamada original foi feita, se ela foi feita de uma rede do Compute Engine.
request_metadata.caller_internal_gce_vnid VNID interno do autor da chamada do Compute Engine se a chamada foi feita de uma rede do Compute Engine.
status O status geral de processamento de uma operação descrita nesse registro.
metadata Uma instância do tipo protobuf google.cloud.audit.VpcServiceControlAuditMetadata, serializada como uma estrutura JSON. O respectivo campo "resource_names" conterá uma lista de todos os URLs de recursos que participam da verificação da política do VPC Service Controls com falha.

Como acessar o registro de auditoria

O conteúdo do registro de auditoria está disponível por projeto no Console do Google Cloud. O registro de auditoria do VPC Service Controls é gravado no fluxo de geração de registros do “recurso auditado” e está disponível no Cloud Logging.