שיטות מומלצות לשימוש ביומני ביקורת של Cloud

במסמך הזה מומלצת רצף של משימות לרישום ביומן ביקורת, כדי לעזור לארגון לשמור על האבטחה ולצמצם את הסיכון.

זו רשימה חלקית של המלצות. המטרה היא לעזור לכם להבין את היקף הפעילויות של רישום הביקורת ולתכנן בהתאם.

כל קטע מציג פעולות חשובות וכולל קישורים לקריאה נוספת.

הסבר על יומני ביקורת ב-Cloud

יומני ביקורת זמינים לרוב Cloud de Confiance השירותים. ב-Cloud Audit Logs יש את סוגי יומני הביקורת הבאים לכלCloud de Confiance פרויקט, חשבון לחיוב, תיקייה וארגון:

סוג יומן הביקורת ניתן להגדרה לחיוב
יומני הביקורת Admin Activity לא, תמיד נכתב לא
יומני ביקורת של גישה לנתונים כן כן
יומני ביקורת של Policy Denied כן, אפשר להחריג את היומנים האלה כך שלא ייכתבו לקטגוריות יומנים כן
יומני הביקורת System Event לא, תמיד נכתב לא

יומני הביקורת Data Access מושבתים כברירת מחדל, למעט יומני הביקורת של BigQuery. אם רוצים שיומני הביקורת Data Access ייכתבו עבור שירותים של Cloud de Confiance, צריך להפעיל אותם באופן מפורש. פרטים מופיעים במאמר הגדרת יומני ביקורת Data Access בדף הזה.

למידע על התמונה הכוללת של יומני ביקורת ב-Cloud de Confiance, אפשר לעיין במאמר סקירה כללית על יומני ביקורת של Cloud.

שליטה בגישה ליומנים

הנתונים ביומני הביקורת הם רגישים, ולכן חשוב במיוחד להגדיר את אמצעי בקרת הגישה המתאימים למשתמשים בארגון.

בהתאם לדרישות התאימות והשימוש שלכם, מגדירים את אמצעי בקרת הגישה האלה באופן הבא:

הגדרת הרשאות IAM

ההרשאות והתפקידים ב-IAM קובעים את אפשרויות הגישה של המשתמשים לנתוני יומני הביקורת ב-Logging API, ב-Logs Explorer וב-Google Cloud CLI. אפשר להשתמש ב-IAM כדי להעניק גישה מפורטת למאגריCloud de Confiance ספציפיים ולמנוע גישה לא רצויה למשאבים אחרים.

התפקידים שמבוססים על הרשאות שאתם מקצים למשתמשים תלויים בפונקציות שקשורות לביקורת בארגון שלכם. לדוגמה, יכול להיות שתעניקו למנהל הטכנולוגיה הראשי (CTO) שלכם הרשאות אדמין רחבות, בעוד שחברי צוות הפיתוח שלכם יזדקקו להרשאות לצפייה ביומנים. לקבלת הנחיות לגבי התפקידים שכדאי להקצות למשתמשים בארגון, אפשר לעיין במאמר בנושא הגדרת תפקידים לרישום ביומן ביקורת.

כשמגדירים הרשאות IAM, חשוב להחיל את עקרון האבטחה של הרשאות מינימליות, כדי להעניק למשתמשים רק את הגישה הדרושה למשאבים:

  • הסרת כל המשתמשים הלא חיוניים.
  • נותנים למשתמשים חיוניים את ההרשאות הנכונות והמינימליות.

הוראות להגדרת הרשאות IAM מופיעות במאמר ניהול הגישה לפרויקטים, לתיקיות ולארגונים.

הגדרת תצוגות ביומן

כל היומנים, כולל יומני הביקורת, שמתקבלים ב-Logging נכתבים במאגרי אחסון שנקראים קטגוריות יומנים. הגדרת הרשאות גישה ליומנים מאפשרת לכם לקבוע למי תהיה גישה ליומנים בדלי היומנים.

מאחר שקטגוריות של יומנים יכולות להכיל יומנים מכמה Cloud de Confiance פרויקטים, יכול להיות שתצטרכו לקבוע אילו Cloud de Confiance פרויקטים משתמשים שונים יכולים לראות יומנים מהם. Cloud de Confiance ליצור תצוגות מותאמות אישית של יומנים, שמאפשרות לכם שליטה פרטנית יותר בגישה לדליים האלה.

הוראות ליצירה ולניהול של תצוגות יומנים מפורטות במאמר הגדרת תצוגות יומנים מפורטות בקטגוריית יומנים.

הגדרת אמצעי בקרה על הגישה ברמת השדה ביומן

אמצעי בקרה לגישה ברמת השדה מאפשרים לכם להסתיר שדות ספציפיים LogEntry ממשתמשים Cloud de Confiance בפרויקט, וכך לקבל שליטה פרטנית יותר על נתוני היומנים שהמשתמש יכול לגשת אליהם. בניגוד לתצוגות של יומנים, שבהן מוסתרת כל LogEntry, אמצעי בקרה על גישה ברמת השדה מסתירים שדות ספציפיים של LogEntry. לדוגמה, יכול להיות שתרצו להסתיר את הפרטים האישיים המזהים של משתמשים חיצוניים, כמו כתובת אימייל שמופיעה במטען הייעודי (payload) של רשומת היומן, מרוב המשתמשים בארגון.

הוראות להגדרת בקרת גישה ברמת השדה מופיעות במאמר הגדרת גישה ברמת השדה.

הגדרת יומני ביקורת של גישה לנתונים

כשמפעילים שירותים חדשים של Cloud de Confiance , כדאי להעריך אם להפעיל יומני ביקורת של גישה לנתונים.

יומני בקרת הרשאות הגישה לנתונים עוזרים לתמיכה של Google לפתור בעיות בחשבון שלכם. לכן, מומלץ להפעיל את יומני הביקורת Data Access כשזה אפשרי.