Este tópico descreve como configurar autorizações de gestão de identidade e acesso para um conjunto de cenários de auditoria de exemplo. Fornece orientações sobre as funções de IAM a conceder às funções funcionais relacionadas com a auditoria na sua empresa para cada cenário. Os exemplos neste tópico destinam-se principalmente a administradores de segurança, auditores e funcionários que gerem tarefas de auditoria para uma organização.
Para saber mais sobre os registos de auditoria do Trusted Cloud by S3NS, consulte os registos de auditoria do Cloud. Para saber mais sobre os registos de auditoria que o IAM gera, consulte o artigo Registo de auditoria do IAM para contas de serviço.
Cenário: monitorização operacional
Neste cenário, uma organização tem uma equipa de segurança central que tem a capacidade de rever registos que podem conter informações confidenciais no Cloud Logging e quando armazenados no armazenamento a longo prazo.
Os dados de auditoria do histórico são armazenados no Cloud Storage. A organização usa uma aplicação para fornecer acesso aos dados de auditoria do histórico. A aplicação usa uma conta de serviço para aceder aos dados de registo. Devido à sensibilidade de alguns dos dados do registo de auditoria, estes são ocultados através da proteção de dados confidenciais antes de serem disponibilizados para visualização.
A tabela abaixo explica as funções de IAM que têm de ser concedidas ao CTO, à equipa de segurança e à conta de serviço, bem como o nível do recurso no qual as funções são concedidas.
| Função | Recurso | Principal | Descrição |
|---|---|---|---|
| resourcemanager.organizationAdmin | Organização | CTO | A função resourcemanager.organizationAdmin dá ao diretor técnico a capacidade de atribuir autorizações à equipa de segurança e à conta de serviço. |
| logging.viewer | Organização | Equipa de segurança | A função logging.viewer dá à equipa de administração de segurança a capacidade de ver os registos de atividade do administrador. |
| logging.privateLogViewer | Organização | Equipa de segurança | A função logging.privateLogViewer permite ver os registos de acesso aos dados. |
Depois de as entradas do registo serem exportadas, o acesso às cópias exportadas é controlado inteiramente pelas autorizações e funções do IAM em qualquer um dos destinos: Cloud Storage, BigQuery ou Pub/Sub. Neste cenário, o Cloud Storage é o destino para o armazenamento a longo prazo dos registos de auditoria.
| Função | Recurso | Principal | Descrição |
|---|---|---|---|
| logging.viewer | Organização | Conta de serviço | A função logging.viewer permite que a conta de serviço leia os registos de atividade do administrador no Cloud Logging. |
Os dados nos registos de acesso a dados são considerados informações de identificação pessoal (IIP) para esta organização. A integração da aplicação com a proteção de dados confidenciais permite ocultar dados de PII confidenciais quando visualiza registos de acesso a dados, quer estejam nos registos de acesso a dados ou no arquivo do histórico no Cloud Storage.
| Função | Recurso | Principal | Descrição |
|---|---|---|---|
| storage.objectViewer | Grupo | Conta de serviço | A função storage.objectViewer permite que a conta de serviço leia os registos de atividade do administrador exportados. |
A política de permissão associada ao recurso da organização para este cenário é semelhante à seguinte:
{
"bindings": [{
"role": "roles/resourcemanager.organizationAdmin",
"members": [
"principal://iam.googleapis.com/locations/global/workforcePools/example-pool/subject/cto@example.com"
]
},
{
"role": "roles/logging.viewer",
"members": [
"principalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/security-team",
"serviceAccount:prod-logviewer@admin-resources.s3ns-system.iam.gserviceaccount.com"
]
},
{
"role": "roles/logging.privateLogViewer",
"members": [
"principalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/security-team"
]
}
]
}
A política de permissão associada ao contentor configurado como o destino para este cenário terá um aspeto semelhante ao seguinte:
{
"bindings": [{
"role": "roles/storage.objectViewer",
"members": [
"serviceAccount:prod-logviewer@admin-resources.s3ns-system.iam.gserviceaccount.com"
]
}]
}
Cenário: equipas de desenvolvimento a monitorizar os respetivos registos de auditoria
Neste cenário, os programadores da organização têm de analisar os registos de auditoria gerados durante o desenvolvimento das respetivas aplicações. Não têm permissão para rever os registos de produção, a menos que tenham sido ocultados através da proteção de dados confidenciais. Está disponível uma aplicação de painel de controlo para os programadores que oferece acesso apenas de visualização aos dados de produção exportados. A equipa de segurança da organização tem acesso a todos os registos na produção e no ambiente de desenvolvimento.
A tabela abaixo explica as funções de IAM que têm de ser concedidas à equipa de segurança, aos programadores e à conta de serviço, bem como o nível de recurso no qual as funções são concedidas.
| Função | Recurso | Principal | Descrição |
|---|---|---|---|
| logging.viewer | Organização | Equipa de segurança | A função logging.viewer dá à equipa de administração de segurança a capacidade de ver os registos de atividade do administrador. |
| logging.privateLogViewer | Organização | Equipa de segurança | A função logging.privateLogViewer permite ver os registos de acesso aos dados. |
| logging.viewer | Pasta | Equipa de programadores | A função logging.viewer dá à equipa de programadores a capacidade de ver os registos de atividade de administrador gerados pelos projetos de programadores contidos numa pasta onde todos os projetos de programadores estão localizados. |
| logging.privateLogViewer | Pasta | Equipa de programadores | A função logging.privateLogViewer permite ver os registos de acesso aos dados. |
O acesso às cópias exportadas é controlado inteiramente pelas autorizações e funções do IAM em qualquer um dos destinos: Cloud Storage, BigQuery ou Pub/Sub. Neste cenário, o BigQuery é o destino para o armazenamento de registos de auditoria.
| Função | Recurso | Principal | Descrição |
|---|---|---|---|
| bigquery.dataViewer | Conjunto de dados do BigQuery | Conta de serviço do painel de controlo | A função bigquery.dataViewer permite que a conta de serviço usada pela aplicação de painel de controlo leia os registos de atividade do administrador exportados. |
A política de permissão associada ao recurso de pasta da equipa de desenvolvimento para este cenário será semelhante ao seguinte:
{
"bindings": [{
"role": "roles/logging.viewer",
"members": [
"principalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/developer-team"
]
},
{
"role": "roles/logging.privateLogViewer",
"members": [
"principalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/developer-team"
]
}]
}
A política de permissão associada ao recurso da organização para este cenário é semelhante à seguinte:
{
"bindings": [{
"role": "roles/logging.viewer",
"members": [
"principalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/security-team"
]
},
{
"role": "roles/logging.privateLogViewer",
"members": [
"principalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/security-team"
]
}]
}
A política de autorização associada ao conjunto de dados do BigQuery configurado como o destino para este cenário é semelhante à seguinte:
{
"bindings": [{
"role": "roles/bigquery.dataViewer",
"members": [
"serviceAccount:prod-project-dashboard@admin-resources.s3ns-system.iam.gserviceaccount.com"
]
}]
}
Cenário: auditores externos
Neste cenário, os registos de auditoria de uma organização são agregados e exportados para uma localização de destino central. É concedido acesso a um auditor externo várias vezes por ano para rever os registos de auditoria da organização. O auditor não tem autorização para ver dados PII nos registos de atividade do administrador. Para agir em conformidade com este requisito, está disponível um painel de controlo que fornece acesso aos registos históricos armazenados no BigQuery e, mediante pedido, aos registos de atividade de administrador do Cloud Logging.
A organização cria um grupo para estes auditores externos e adiciona o auditor atual ao grupo. Este grupo é monitorizado e, normalmente, é concedido acesso à aplicação de painel de controlo.
Durante o acesso normal, o grupo de auditores só tem acesso para ver os registos históricos armazenados no BigQuery. Se forem detetadas anomalias, o grupo recebe autorização para ver os registos de atividade do administrador do Cloud Logging reais através do modo de acesso elevado do painel de controlo. No final de cada período de auditoria, o acesso do grupo é revogado.
Os dados são ocultados através da proteção de dados confidenciais antes de ficarem acessíveis para visualização através da aplicação de painel de controlo.
A tabela abaixo explica as funções de registo do IAM que um administrador da organização pode conceder à conta de serviço usada pelo painel de controlo, bem como o nível de recurso ao qual a função é concedida.
| Função | Recurso | Principal | Descrição |
|---|---|---|---|
| logging.viewer | Organização | Conta de serviço do painel de controlo | A função logging.viewer permite que a conta de serviço leia os registos de atividade do administrador no Cloud Logging. |
| bigquery.dataViewer | Conjunto de dados do BigQuery | Conta de serviço do painel de controlo | A função bigquery.dataViewer permite que a conta de serviço usada pela aplicação de painel de controlo leia os registos de atividade do administrador exportados. |
A política de permissão associada ao recurso da organização para este cenário é semelhante à seguinte:
{
"bindings": [{
"role": "roles/logging.viewer",
"members": [
"serviceAccount:prod-project-dashboard@admin-resources.s3ns-system.iam.gserviceaccount.com"
]
}]
}
A política de autorização associada ao conjunto de dados do BigQuery configurado como o destino para este cenário é semelhante à seguinte:
{
"bindings": [{
"role": "roles/bigquery.dataViewer",
"members": [
"serviceAccount:prod-project-dashboard@admin-resources.s3ns-system.iam.gserviceaccount.com"
]
}]
}