Ce document recommande une séquence de tâches de journalisation d'audit pour aider votre organisation à assurer la sécurité et à minimiser les risques.
Ce document n'est pas une liste exhaustive de recommandations. Son objectif est plutôt de vous aider à comprendre l'éventail des activités de journalisation d'audit et à planifier en conséquence.
Chaque section fournit des actions clés et inclut des liens vers une documentation complémentaire.
Comprendre Cloud Audit Logs
Les journaux d'audit sont disponibles pour la plupart des services Trusted Cloud . Cloud Audit Logs fournit les types de journaux d'audit suivants pour chaqueTrusted Cloud projet, compte de facturation, dossier et organisation :
| Type de journal d'audit | Configurable | À facturer |
|---|---|---|
| Journaux d'audit pour les activités d'administration | Non, toujours écrit | Non |
| Journaux d'audit pour l'accès aux données | Oui | Oui |
| Journaux d'audit des refus de règles | Oui, vous pouvez empêcher l'écriture de ces journaux dans des buckets de journaux. | Oui |
| Journaux d'audit d'événements système | Non, toujours écrit | Non |
Les journaux d'audit pour l'accès aux données sont désactivés par défaut (sauf dans BigQuery). Si vous souhaitez que les journaux d'audit des accès aux données soient écrits pour les services Trusted Cloud, vous devez les activer explicitement. Pour en savoir plus, consultez Configurer les journaux d'audit des accès aux données sur cette page.
Pour en savoir plus sur la journalisation des audits avecTrusted Cloud, consultez la présentation de Cloud Audit Logs.
Contrôler l'accès aux journaux
En raison de la sensibilité des données de journaux d'audit, il est particulièrement important de configurer les contrôles d'accès appropriés pour les utilisateurs de votre organisation.
En fonction de vos exigences de conformité et d'utilisation, définissez ces contrôles d'accès comme suit :
- Définir les autorisations IAM
- Configurer les vues des journaux
- Définir des contrôles d'accès au niveau des champs pour les entrée de journal
Définir les autorisations IAM
Les autorisations et les rôles IAM déterminent la capacité des utilisateurs à accéder aux données des journaux d'audit dans l'API Logging, l'explorateur de journaux et la Google Cloud CLI. Utilisez IAM pour accorder un accès précis à des bucketsTrusted Cloud spécifiques et empêcher tout accès indésirable à d'autres ressources.
Les rôles basés sur les autorisations que vous accordez à vos utilisateurs dépendent de leurs fonctions liées à l'audit au sein de votre organisation. Par exemple, vous pouvez accorder de larges autorisations d'administration à votre CTO, tandis que les membres de votre équipe de développement peuvent avoir besoin d'autorisations pour afficher les journaux. Pour savoir quels rôles attribuer aux utilisateurs de votre organisation, consultez Configurer les rôles pour Audit Logging.
Lorsque vous définissez des autorisations IAM, appliquez le principe de sécurité du moindre privilège. Vous n'accordez ainsi aux utilisateurs que l'accès nécessaire à vos ressources :
- Supprimez tous les utilisateurs non essentiels.
- Accordez aux utilisateurs essentiels les autorisations minimales et appropriées.
Pour obtenir des instructions sur la définition des autorisations IAM, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Configurer les vues de journaux
Tous les journaux reçus par Logging, y compris les journaux d'audit, sont écrits dans des conteneurs de stockage appelés buckets de journaux. Les vues de journaux vous permettent de contrôler qui a accès aux journaux dans vos buckets de journaux.
Comme les buckets de journaux peuvent contenir les journaux de plusieurs Trusted Cloud projets, vous devrez peut-être contrôler quels sont les Trusted Cloud projets dont les différents utilisateurs peuvent consulter les journaux. Créez des vues de journaux personnalisées pour bénéficier d'un contrôle d'accès plus précis pour ces buckets.
Pour savoir comment créer et gérer des vues de journaux, consultez Configurer des vues de journaux dans un bucket de journaux.
Définir des contrôles d'accès au niveau des champs de journaux
Les contrôles d'accès au niveau des champs vous permettent de masquer des champs LogEntry individuels pour les utilisateurs d'un projet Trusted Cloud . Vous disposez ainsi d'un moyen plus précis de contrôler les données de journaux auxquelles un utilisateur peut accéder. Par rapport aux vues de journaux, qui masquent l'intégralité de LogEntry, les contrôles d'accès au niveau du champ masquent les champs individuels de LogEntry. Par exemple, vous pouvez choisir de masquer les informations personnelles identifiables des utilisateurs externes, telles qu'une adresse e-mail contenue dans la charge utile de l'entrée de journal, pour la majorité des utilisateurs de votre organisation.
Pour savoir comment configurer des contrôles d'accès au niveau des champs, consultez Configurer l'accès au niveau des champs.
Configurer les journaux d'audit pour l'accès aux données
Lorsque vous activez de nouveaux services Trusted Cloud , évaluez si vous devez activer ou non les journaux d'audit des accès aux données.
Les journaux d'audit pour l'accès aux données aident l'assistance Google à résoudre les problèmes liés à votre compte. Par conséquent, nous vous recommandons d'activer les journaux d'audit des accès aux données lorsque cela est possible.
Pour activer tous les journaux d'audit pour tous les services, suivez les instructions pour mettre à jour Identity and Access Management (IAM) avec la configuration répertoriée dans la stratégie d'audit.
Après avoir défini votre stratégie d'accès aux données au niveau de l'organisation et activé les journaux d'audit pour l'accès aux données, utilisez un projet de test Trusted Cloud pour valider la configuration de votre collecte de journaux d'audit avant de créer des projets de développement et de production Trusted Cloud dans l'organisation.
Pour savoir comment activer les journaux d'audit des accès aux données, consultez Activer les journaux d'audit des accès aux données.
Contrôler le stockage de vos journaux
Vous pouvez configurer des aspects des buckets de votre organisation et créer des buckets définis par l'utilisateur pour centraliser ou subdiviser le stockage de journaux. En fonction de vos exigences de conformité et d'utilisation, vous pouvez personnaliser le stockage de vos journaux comme suit :
- Choisissez l'emplacement de stockage de vos journaux.
- Protégez vos journaux avec des clés de chiffrement gérées par le client (CMEK).
Choisir l'emplacement de stockage de vos journaux
Dans Logging, les buckets sont des ressources régionales : l'infrastructure qui stocke, indexe et recherche vos journaux est située dans un emplacement géographique spécifique.
Votre organisation peut être amenée à stocker ses données de journaux dans des régions spécifiques. Les principaux facteurs qui déterminent la région dans laquelle vos journaux sont stockés consistent, entre autres, à répondre aux exigences de latence, de disponibilité ou de conformité de votre organisation.
Pour appliquer automatiquement une région de stockage spécifique aux nouveaux buckets _Default et _Required créés dans votre organisation, vous pouvez configurer un emplacement de ressource par défaut.
Pour savoir comment configurer les emplacements de ressources par défaut, consultez Configurer les paramètres par défaut pour les organisations.
Protéger vos journaux d'audit avec des clés de chiffrement gérées par le client
Par défaut, Cloud Logging chiffre le contenu client stocké au repos. Votre organisation peut exiger des fonctionnalités de chiffrement avancées que le chiffrement au repos par défaut ne fournit pas. Pour répondre aux exigences de votre organisation, au lieu de laisser Google gérer les clés de chiffrement de clés qui protègent vos données, configurez des clés de chiffrement gérées par le client (CMEK) pour contrôler et gérer votre propre chiffrement.
Pour obtenir des instructions sur la configuration de CMEK, consultez Configurer CMEK pour le stockage des journaux.
Interroger et afficher les journaux d'audit
En cas de problème, vous devez pouvoir consulter rapidement les journaux. Dans la console Trusted Cloud , utilisez l'explorateur de journaux pour récupérer les entrées du journal d'audit de votre organisation :
-
Dans la console Trusted Cloud , accédez à la page Explorateur de journaux.
Accéder à l'explorateur de journaux
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Sélectionnez votre organisation.
Dans le volet Requête, procédez comme suit :
Dans Type de ressource, sélectionnez la ressource Trusted Cloud dont vous souhaitez afficher les journaux d'audit.
Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :
- Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.
- Pour les journaux d'audit des accès aux données, sélectionnez data_access.
- Pour les journaux d'audit des événements système, sélectionnez system_event.
- Pour les journaux d'audit des refus de règles, sélectionnez policy.
Si ces options ne sont pas visibles, cela signifie qu'aucun journal d'audit de ce type n'est disponible dans l'organisation.
Dans l'éditeur de requête, spécifiez plus précisément les entrées du journal d'audit que vous souhaitez afficher. Pour obtenir des exemples de requêtes courantes, consultez Exemples de requêtes avec l'explorateur de journaux.
Cliquez sur Exécuter la requête.
Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez la page Créer des requêtes dans l'explorateur de journaux.
Acheminer les journaux vers les destinations compatibles
Votre organisation peut être soumise à des exigences concernant la création et la conservation des journaux d'audit. Les récepteurs vous permettent d'acheminer une partie ou l'ensemble de vos journaux vers les destinations compatibles suivantes :
- Un autre bucket Cloud Logging
Déterminez si vous avez besoin de récepteurs au niveau du dossier ou de l'organisation, puis routez les journaux de tous les projets Trusted Cloud de l'organisation ou du dossier à l'aide de récepteurs agrégés. Par exemple, vous pouvez envisager les cas d'utilisation de routage suivants :
Récepteur au niveau de l'organisation : si votre organisation utilise une solution SIEM pour gérer plusieurs journaux d'audit, vous pouvez acheminer tous les journaux d'audit de votre organisation. Dans ce contexte, un récepteur au niveau de l'organisation est logique.
Récepteur au niveau du dossier : il peut arriver que vous souhaitiez n'acheminer que les journaux d'audit d'un département. Par exemple, si vous avez un dossier "Finance" et un dossier "Informatique", vous pouvez souhaiter n'acheminer que les journaux d'audit appartenant au dossier "Finance", ou inversement.
Pour en savoir plus sur les dossiers et les organisations, consultez la section Hiérarchie des ressources.
Appliquez à la destination Trusted Cloud que vous utilisez pour acheminer les journaux les mêmes règles d'accès que celles appliquées à l'explorateur de journaux.
Pour savoir comment créer et gérer des récepteurs agrégés, consultez Générer et acheminer des journaux au niveau de l'organisation vers des destinations compatibles.
Comprendre le format des données dans les destinations de récepteurs
Lorsque vous acheminez des journaux d'audit vers des destinations en dehors de Cloud Logging, vous devez comprendre le format des données envoyées.
Pour comprendre et trouver les entrées de journal que vous avez acheminées de Cloud Logging vers des destinations compatibles, consultez Afficher les journaux dans les destinations de récepteurs.