En este documento, se recomienda una secuencia de tareas de registro de auditoría para ayudar a tu organización a mantener la seguridad y minimizar el riesgo.
Este documento no es una lista exhaustiva de recomendaciones. En cambio, el objetivo es ayudarte a comprender el alcance de las actividades de registro de auditoría y planificar en función de ellas.
En cada sección, se indican las acciones clave y se incluyen vínculos para complementar la lectura.
Información sobre los Registros de auditoría de Cloud
Los registros de auditoría están disponibles para la mayoría de los servicios de Trusted Cloud . Los registros de auditoría de Cloud proporcionan los siguientes tipos de registros de auditoría para cadaTrusted Cloud proyecto, cuenta de facturación, carpeta y organización:
| Tipo de registro de auditoría | Configurable | Cobrable |
|---|---|---|
| Registros de auditoría de actividad del administrador | No, siempre están habilitados. | No |
| Registros de auditoría de acceso a los datos | Sí | Sí |
| Registros de auditoría de política denegada | Sí, puedes excluir estos registros para que no se escriban en los buckets de registros. | Sí |
| Registros de auditoría de eventos del sistema | No, siempre están habilitados. | No |
Los registros de auditoría de acceso a los datos se encuentran inhabilitados de forma predeterminada, excepto para BigQuery. Si deseas que se escriban los registros de auditoría de acceso a los datos para los servicios de Trusted Cloud, debes habilitarlos de forma explícita. Para obtener más información, consulta Configura registros de auditoría de acceso a los datos en esta página.
Para obtener información sobre el panorama general del registro de auditoría conTrusted Cloud, consulta la descripción general de los registros de auditoría de Cloud.
Controlar el acceso a los registros
Debido a la sensibilidad de los datos de los registros de auditoría, es especialmente importante configurar los controles de acceso adecuados para los usuarios de tu organización.
Según tus requisitos de cumplimiento y uso, establece estos controles de acceso de la siguiente manera:
- Configura los permisos de IAM
- Configura vistas de registro
- Establece los controles de acceso a nivel de campo de entrada de registro
Configura los permisos de IAM
Los permisos y los roles de IAM determinan la capacidad de los usuarios para acceder a los datos de registros de auditoría en la API de Logging, el Explorador de registros y Google Cloud CLI. Usa IAM para otorgar acceso detallado a bucketsTrusted Cloud específicos y evitar el acceso no deseado a otros recursos.
Los roles basados en permisos que otorgas a tus usuarios dependen de sus funciones relacionadas con la auditoría dentro de tu organización. Por ejemplo, puedes otorgar a tu CTO amplios permisos administrativos, mientras que los miembros de tu equipo de desarrolladores pueden requerir permisos para ver registros. Si necesitas orientación sobre qué roles otorgar a los usuarios de tu organización, consulta cómo configurar roles para el registro de auditoría.
Cuando configures los permisos de IAM, aplica el principio de seguridad de privilegio mínimo para otorgar a los usuarios solo el acceso necesario a tus recursos:
- Quita todos los usuarios no esenciales.
- Otorga a los usuarios esenciales los permisos correctos y mínimos.
Si deseas obtener instrucciones para configurar permisos de IAM, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Configura vistas de registro
Todos los registros que recibe Logging, incluidos los registros de auditoría, se escriben en contenedores de almacenamiento llamados buckets de registros. Las vistas de registro te permiten controlar quién tiene acceso a los registros de tus buckets de registros.
Es posible que desees controlar de qué Trusted Cloud proyectos pueden ver los registros los diferentes usuarios debido a que los buckets de registros pueden contener registros de varios Trusted Cloud proyectos. Crea vistas de registro personalizadas, que te brindan un control de acceso más detallado para esos buckets.
Si deseas obtener instrucciones para crear y administrar vistas de registro, consulta Configura vistas de registro en un bucket de registro.
Establece controles de acceso a nivel de campo de registro
Los controles de acceso a nivel de campo te permiten ocultar campos LogEntry individuales a los usuarios de un proyecto Trusted Cloud , lo que te brinda una forma más detallada de controlar los datos de registros a los que puede acceder un usuario. En comparación con las vistas de registros, que ocultan todo el LogEntry, los controles de acceso a nivel del campo ocultan campos individuales del LogEntry. Por ejemplo, es posible que desees ocultar la PII de usuarios externos, como una dirección de correo electrónico que se incluye en la carga útil de la entrada de registro, para la mayoría de los usuarios de tu organización.
Para obtener instrucciones sobre cómo configurar los controles de acceso a nivel de campo, consulta Configura el acceso a nivel de campo.
Configurar registros de auditoría de acceso a los datos
Cuando habilites servicios Trusted Cloud nuevos, evalúa si deseas habilitar los registros de auditoría de acceso a los datos.
Los registros de auditoría de acceso a los datos ayudan a Atención al cliente de Google a solucionar problemas con tu cuenta. Por lo tanto, recomendamos habilitar los registros de auditoría de acceso a los datos cuando sea posible.
Para habilitar todos los registros de auditoría de todos los servicios, sigue las instrucciones para actualizar Identity and Access Management (IAM) con la configuración que aparece en la política de auditoría.
Después de definir tu política de acceso a los datos a nivel de la organización y habilitar los registros de auditoría de acceso a los datos, usa un proyecto de prueba Trusted Cloud para validar la configuración de tu colección de registros de auditoría antes de crear proyectos de desarrollador y producción Trusted Cloud en la organización.
Si deseas obtener instrucciones para habilitar los registros de auditoría de acceso a los datos, consulta Habilita los registros de auditoría de acceso a los datos.
Controla cómo se almacenan tus registros
Puedes configurar aspectos de los buckets de tu organización y también crear buckets definidos por el usuario para centralizar o subdividir el almacenamiento de registros. Según tus requisitos de cumplimiento y uso, es posible que desees personalizar el almacenamiento de tus registros de la siguiente manera:
- Elige dónde se almacenan tus registros.
- Protege tus registros con claves de encriptación administradas por el cliente (CMEK).
Elige dónde se almacenan tus registros
En Logging, los buckets de registros son recursos regionales: la infraestructura que almacena, indexa y busca tus registros se encuentra en una ubicación geográfica específica.
Es posible que tu organización deba almacenar los datos de sus registros en regiones específicas. Los factores principales para seleccionar la región en la que se almacenan los registros incluyen cumplir con los requisitos de latencia, disponibilidad o cumplimiento de la organización.
Para aplicar automáticamente una región de almacenamiento en particular a los buckets _Default y _Required nuevos que se creen en tu organización, puedes configurar una ubicación de recursos predeterminada.
Para obtener instrucciones sobre cómo configurar ubicaciones de recursos predeterminadas, consulta Configura los parámetros de configuración predeterminados para las organizaciones.
Protege tus registros de auditoría con claves de encriptación administradas por el cliente
De forma predeterminada, Cloud Logging encripta el contenido del cliente almacenado en reposo. Es posible que tu organización tenga requisitos de encriptación avanzada que la encriptación en reposo predeterminada no satisface. Para cumplir con los requisitos de tu organización, en lugar de que Google administre las claves de encriptación de claves que protegen tus datos, configura claves de encriptación administradas por el cliente (CMEK) para controlar y administrar tu propia encriptación.
Si deseas obtener instrucciones para configurar CMEK, consulta Cómo configurar CMEK para el almacenamiento de registros.
Consulta y visualiza los registros de auditoría
Si necesitas solucionar problemas, es un requisito que puedas interpretar los registros con rapidez. En la consola de Trusted Cloud , usa el Explorador de registros para recuperar las entradas de registro de auditoría de tu organización:
-
En la consola de Trusted Cloud , ve a la página Explorador de registros.
Acceder al Explorador de registros
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Selecciona tu organización.
En el panel Consulta, haz lo siguiente:
En Tipo de recurso, selecciona el recurso de Trusted Cloud cuyos registros de auditoría quieres consultar.
En Nombre del registro, selecciona el tipo de registro de auditoría que deseas ver:
- En el caso de los registros de auditoría de la actividad del administrador, selecciona activity.
- En los registros de auditoría de acceso a los datos, selecciona data_access.
- En el caso de los registros de auditoría de eventos del sistema, selecciona system_event.
- En el caso de los registros de auditoría de política denegada, selecciona la política.
Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en la organización.
En el editor de consultas, especifica aún más las entradas de registro de auditoría que deseas ver. Para ver ejemplos de consultas comunes, consulta Ejemplos de consultas con el Explorador de registros.
Haz clic en Ejecutar consulta.
Para obtener más información de las consultas con el Explorador de registros, visita Compila consultas en el Explorador de registros.
Enruta registros a destinos compatibles.
Es posible que tu organización deba cumplir con requisitos para crear y conservar registros de auditoría. Con los receptores, puedes enrutar algunos o todos tus registros a estos destinos compatibles:
- Otro bucket de Cloud Logging
Determina si necesitas receptores a nivel de la organización o de la carpeta, y enruta los registros de todos los Trusted Cloud proyectos dentro de la organización o la carpeta con receptores agregados. Por ejemplo, puedes considerar los siguientes casos de uso de enrutamiento:
Receptor a nivel de la organización: Si tu organización usa una herramienta de SIEM para administrar varios registros de auditoría, es posible que desees enrutar todos los registros de auditoría de tu organización. Por lo tanto, se recomienda un receptor a nivel de la organización.
Receptor a nivel de la carpeta: En ocasiones, es posible que desees enrutar solo los registros de auditoría departamentales. Por ejemplo, si tienes una carpeta “Finanzas” y una carpeta “TI”, es posible que te interese enrutar solo los registros de auditoría que pertenecen a la carpeta “Finanzas” o viceversa.
Para obtener más información sobre las carpetas y las organizaciones, consulta Jerarquía de recursos.
Aplica las mismas políticas de acceso al Trusted Cloud destino que usas para enrutar registros que las políticas que le aplicaste al Explorador de registros.
Para obtener instrucciones sobre cómo crear y administrar receptores agregados, consulta Recopila y enruta registros a nivel de la organización a destinos compatibles.
Comprende el formato de datos en los destinos de receptores
Cuando enrutes registros de auditoría a destinos fuera de Cloud Logging, comprende el formato de los datos que se enviaron.
Para comprender y encontrar las entradas de registro que enrutaste desde Cloud Logging a destinos compatibles, consulta Visualiza los registros en los destinos de los receptores.