Questo documento consiglia una sequenza di attività di audit logging per aiutare la tua organizzazione a mantenere la sicurezza e ridurre al minimo i rischi.
Questo documento non costituisce un elenco esaustivo di consigli. Il suo scopo è aiutarti a comprendere l'ambito delle attività di audit logging e pianificare di conseguenza.
Ogni sezione fornisce le azioni chiave e include i link per ulteriori approfondimenti.
Informazioni su Cloud Audit Logs
I log di controllo sono disponibili per la maggior parte dei servizi. Cloud de Confiance Cloud Audit Logs fornisce i seguenti tipi di audit log per ogni Cloud de Confiance progetto, account di fatturazione, cartella e organizzazione:
| Tipo di audit log | Configurabile | Addebitabile |
|---|---|---|
| Audit log delle attività di amministrazione | No, sempre scritte | No |
| Audit log degli accessi ai dati | Sì | Sì |
| Audit log negati da criteri | Sì, puoi escludere questi log dalla scrittura nei bucket di log | Sì |
| Audit log degli eventi di sistema | No, sempre scritte | No |
Gli audit log per l'accesso ai dati, tranne quelli di BigQuery, sono disabilitati per impostazione predefinita. Se vuoi che gli audit log di accesso ai dati vengano scritti per i servizi Cloud de Confiance, devi abilitarli esplicitamente. Per maggiori dettagli, consulta la sezione Configurare gli audit log di accesso ai dati in questa pagina.
Per informazioni sul panorama generale dell'audit logging con Cloud de Confiance, consulta la panoramica di Cloud Audit Logs.
Controllo dell'accesso ai log
A causa della sensibilità dei dati di audit logging, è particolarmente importante configurare i controlli dell'accesso appropriati per gli utenti della tua organizzazione.
A seconda dei requisiti di conformità e utilizzo, imposta questi controlli dell'accesso come segue:
- Imposta le autorizzazioni IAM
- Configura le visualizzazioni log
- Impostare i controlli dell'accesso a livello di campo per le voci di voce di log
Imposta autorizzazioni IAM
Le autorizzazioni e i ruoli IAM determinano la capacità degli utenti di accedere ai dati degli audit log nell'API Logging, in Esplora log e nella Google Cloud CLI. Utilizza IAM per concedere un accesso granulare a bucket Cloud de Confiance specifici e impedire l'accesso indesiderato ad altre risorse.
I ruoli basati sulle autorizzazioni che concedi ai tuoi utenti dipendono dalle loro funzioni relative all'audit all'interno della tua organizzazione. Ad esempio, potresti concedere al tuo CTO ampie autorizzazioni amministrative, mentre i membri del team di sviluppatori potrebbero richiedere autorizzazioni di visualizzazione dei log. Per indicazioni sui ruoli da concedere agli utenti della tua organizzazione, vedi Configurare i ruoli per la registrazione dei controlli.
Quando imposti le autorizzazioni IAM, applica il principio di sicurezza del privilegio minimo, in modo da concedere agli utenti solo l'accesso necessario alle tue risorse:
- Rimuovi tutti gli utenti non essenziali.
- Concedi agli utenti essenziali le autorizzazioni corrette e minime.
Per istruzioni sull'impostazione delle autorizzazioni IAM, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Configurazione delle visualizzazioni log
Tutti i log, inclusi gli audit log, ricevuti da Logging vengono scritti in contenitori di archiviazione chiamati bucket di log. Le visualizzazioni dei log ti consentono di controllare chi può accedere ai log all'interno dei bucket di log.
Poiché i bucket di log possono contenere log di più progetti, potrebbe essere necessario controllare da quali progetti i diversi utenti possono visualizzare i log. Cloud de Confiance Cloud de Confiance Crea visualizzazioni dei log personalizzate, che ti offrono un controllo dell'accesso più granulare per questi bucket.
Per istruzioni sulla creazione e la gestione delle visualizzazioni dei log, vedi Configurare le visualizzazioni dei log in un bucket di log.
Impostare i controlli di accesso a livello di campo dei log
I controlli dell'accesso a livello di campo consentono di nascondere i singoli campi LogEntry agli utenti di un progetto Cloud de Confiance , offrendoti un modo più granulare per controllare i dati dei log a cui un utente può accedere. Rispetto alle visualizzazioni dei log, che nascondono l'intero LogEntry, i controlli dell'accesso a livello di campo nascondono i singoli campi di LogEntry. Ad esempio, potresti voler oscurare le PII degli utenti esterni, come un indirizzo email contenuto nel payload della voce di log, per la maggior parte degli utenti della tua organizzazione.
Per istruzioni sulla configurazione dei controlli dell'accesso a livello di campo, vedi Configurare l'accesso a livello di campo.
Configurazione degli audit log di accesso ai dati
Quando abiliti nuovi servizi Cloud de Confiance , valuta se abilitare o meno gli audit log di accesso ai dati.
Gli audit log dell'accesso ai dati aiutano l'assistenza Google a risolvere i problemi relativi al tuo account. Pertanto, ti consigliamo di abilitare gli audit log di accesso ai dati, se possibile.
Per attivare tutti gli audit log per tutti i servizi, segui le istruzioni per aggiornare Identity and Access Managementi (IAM) con la configurazione elencata nel criterio di controllo.
Dopo aver definito la policy di accesso ai dati a livello di organizzazione e aver attivato i log di controllo dell'accesso ai dati, utilizza un progetto Cloud de Confiance di test per convalidare la configurazione della raccolta dei log di controllo prima di creare progetti Cloud de Confiance di sviluppo e di produzione nell'organizzazione.
Per istruzioni sull'attivazione degli audit log di accesso ai dati, consulta Abilita gli audit log di accesso ai dati.
Controllare la modalità di archiviazione dei log
Puoi configurare gli aspetti dei bucket della tua organizzazione e creare bucket definiti dall'utente per centralizzare o suddividere lo spazio di archiviazione dei log. A seconda dei requisiti di conformità e utilizzo, potresti voler personalizzare l'archiviazione dei log nel seguente modo:
- Scegli dove archiviare i log.
- Definisci il periodo di conservazione dei dati.
- Proteggi i tuoi log con chiavi di crittografia gestite dal cliente (CMEK).
Scegliere dove archiviare i log
Nei bucket di Logging le risorse sono regionali: l'infrastruttura che archivia, indicizza e cerca i log si trova in una specifica posizione geografica.
La tua organizzazione potrebbe essere tenuta ad archiviare i dati dei log in regioni specifiche. I fattori principali nella selezione della regione in cui vengono archiviati i log includono il rispetto dei requisiti di latenza, disponibilità o conformità della tua organizzazione.
Per applicare automaticamente una determinata regione di archiviazione ai nuovi bucket _Default e _Required creati nella tua organizzazione, puoi configurare una località risorsa predefinita.
Per istruzioni su come configurare le località delle risorse predefinite, consulta Configurare le impostazioni predefinite per le organizzazioni.
Definisci i periodi di conservazione dei dati
Cloud Logging conserva i log in base alle regole di conservazione applicate al tipo di bucket di log in cui sono archiviati.
Per soddisfare le tue esigenze di conformità, configura Cloud Logging in modo che conservi i log per un periodo compreso tra 1 giorno e 400 days. Le regole di conservazione personalizzate si applicano a tutti i log di un bucket, indipendentemente dal tipo di log o dal fatto che sia stato copiato da un'altra posizione.
Per istruzioni su come impostare le regole di conservazione per un bucket di log, vedi Configurare la conservazione personalizzata.
Proteggere i log di controllo con chiavi di crittografia gestite dal cliente
Per impostazione predefinita, Cloud Logging cripta i contenuti dei clienti archiviati a riposo. La tua organizzazione potrebbe avere requisiti di crittografia avanzati che lacrittografia at-restst predefinita non fornisce. Per soddisfare i requisiti della tua organizzazione, invece di Google che gestisce le chiavi di crittografia della chiave che proteggono i tuoi dati, configura le chiavi di crittografia gestite dal cliente (CMEK) per controllare e gestire la tua crittografia.
Per istruzioni sulla configurazione di CMEK, consulta Configurare CMEK per l'archiviazione dei log.
Esegui query e visualizza gli audit log
Se devi risolvere i problemi, la possibilità di esaminare rapidamente i log è un requisito. Nella console Cloud de Confiance , utilizza Esplora log per recuperare le voci di audit log per la tua organizzazione:
-
Nella console Cloud de Confiance , vai alla pagina Esplora log:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
Seleziona la tua organizzazione.
Nel riquadro Query, segui questi passaggi:
In Tipo di risorsa seleziona la risorsa Cloud de Confiance di cui vuoi visualizzare gli audit log.
In Nome log seleziona il tipo di audit log che vuoi visualizzare:
- Per gli audit log Attività di amministrazione, seleziona activity.
- Per gli audit log Accesso ai dati, seleziona data_access.
- Per gli audit log Evento di sistema, seleziona system_event.
- Per gli audit log Policy negata, seleziona policy.
Se non vedi queste opzioni, significa che non sono disponibili audit log di questo tipo nell'organizzazione.
Nell'editor di query, specifica ulteriormente le voci del log di controllo che vuoi visualizzare. Per esempi di query comuni, vedi Query di esempio con Esplora log.
Fai clic su Esegui query.
Per saperne di più sull'esecuzione di query utilizzando Esplora log, consulta Crea query in Esplora log.
Instrada i log verso destinazioni supportate
La tua organizzazione potrebbe dover rispettare requisiti per la creazione e la conservazione dei log di controllo. Utilizzando i sink, puoi instradare alcuni o tutti i log verso queste destinazioni supportate:
- Un altro bucket Cloud Logging
Determina se hai bisogno di sink a livello di cartella o organizzazione e instrada i log da tutti i Cloud de Confiance progetti all'interno dell'organizzazione o della cartella utilizzando sink aggregati. Ad esempio, potresti prendere in considerazione i seguenti casi d'uso per il routing:
Sink a livello di organizzazione: se la tua organizzazione utilizza un SIEM per gestire più audit log, potresti voler indirizzare tutti gli audit log dell'organizzazione. Pertanto, un sink a livello di organizzazione è la soluzione ideale.
Sink a livello di cartella: a volte, potresti voler indirizzare solo i log audit del reparto. Ad esempio, se hai una cartella "Finanze" e una cartella "IT", potresti trovare utile indirizzare solo i log di controllo appartenenti alla cartella "Finanze" o viceversa.
Per saperne di più su cartelle e organizzazioni, consulta Gerarchia delle risorse.
Applica le stesse policy di accesso alla destinazione Cloud de Confiance che utilizzi per instradare i log come hai fatto per Esplora log.
Per istruzioni sulla creazione e la gestione dei sink aggregati, consulta Raccogliere e instradare i log a livello di organizzazione verso destinazioni supportate.
Informazioni sul formato dei dati nelle destinazioni sink
Quando esegui il routing dei log di controllo verso destinazioni esterne a Cloud Logging, comprendi il formato dei dati inviati.
Per comprendere e trovare le voci di log instradate da Cloud Logging a destinazioni supportate, consulta Visualizza i log nelle destinazioni sink.