Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Práticas recomendadas para os registos de auditoria do Cloud

Este documento recomenda uma sequência de tarefas de registo de auditoria para ajudar a sua organização a manter a segurança e minimizar o risco.

Este documento não é uma lista exaustiva de recomendações. Em vez disso, o objetivo é ajudar a compreender o âmbito das atividades de registo de auditoria e planear em conformidade.

Cada secção fornece ações importantes e inclui links para leitura adicional.

Compreenda os registos de auditoria do Cloud

Os registos de auditoria estão disponíveis para a maioria dos Trusted Cloud serviços. Os registos de auditoria do Google Cloud fornecem os seguintes tipos de registos de auditoria para cada Trusted Cloud projeto, conta de faturação, pasta e organização:

Tipo de registo de auditoria	Configurável	Cobrável
Registos de auditoria da atividade do administrador	Não; sempre escrito	Não
Registos de auditoria de acesso aos dados	Sim	Sim
Registos de auditoria de políticas recusadas	Sim. Pode excluir estes registos da gravação em contentores de registos	Sim
Registos de auditoria de eventos do sistema	Não; sempre escrito	Não

Os registos de auditoria de acesso a dados, exceto para o BigQuery, estão desativados por predefinição. Se quiser que os registos de auditoria de acesso a dados sejam escritos para os serviços Trusted Cloud, tem de os ativar explicitamente. Para obter detalhes, consulte a secção Configure os registos de auditoria de acesso a dados nesta página.

Para obter informações sobre o panorama geral do registo de auditoria com o Trusted Cloud, consulte a vista geral do Cloud Audit Logs.

Controle o acesso aos registos

Devido à sensibilidade dos dados de registo de auditoria, é especialmente importante configurar os controlos de acesso adequados para os utilizadores da sua organização.

Consoante os requisitos de conformidade e utilização, defina estes controlos de acesso da seguinte forma:

Defina as autorizações do IAM
Configure as visualizações de registos
Defina controlos de acesso ao nível do campo da entrada do registo

Defina autorizações de IAM

As autorizações e as funções da IAM determinam a capacidade dos utilizadores de acederem aos dados dos registos de auditoria na API Logging, no Explorador de registos e na CLI Google Cloud. Use o IAM para conceder acesso detalhado a contentores específicos e impedir o acesso indesejado a outros recursos.Trusted Cloud

As funções baseadas em autorizações que concede aos seus utilizadores dependem das respetivas funções relacionadas com a auditoria na sua organização. Por exemplo, pode conceder autorizações administrativas amplas ao seu diretor de tecnologia, enquanto os membros da sua equipa de programação podem precisar de autorizações de visualização de registos. Para orientações sobre as funções a conceder aos utilizadores da sua organização, consulte o artigo Configurar funções para o registo de auditoria.

Ao definir autorizações de IAM, aplique o princípio de segurança do privilégio mínimo, para conceder aos utilizadores apenas o acesso necessário aos seus recursos:

Remova todos os utilizadores não essenciais.
Conceda aos utilizadores essenciais as autorizações corretas e mínimas.

Para obter instruções sobre como definir autorizações de IAM, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Configure as vistas de registos

Todos os registos, incluindo os registos de auditoria, recebidos pelo Logging são escritos em contentores de armazenamento denominados buckets de registos. As visualizações de registos permitem-lhe controlar quem tem acesso aos registos nos seus contentores de registos.

Uma vez que os contentores de registos podem conter registos de vários Trusted Cloud projetos, pode ter de controlar os Trusted Cloud projetos a partir dos quais diferentes utilizadores podem ver registos. Crie vistas de registos personalizadas, que lhe dão um controlo de acesso mais detalhado para esses contentores.

Para obter instruções sobre como criar e gerir visualizações de registos, consulte o artigo Configure visualizações de registos num contentor de registos.

Defina controlos de acesso ao nível do campo de registo

Os controlos de acesso ao nível do campo permitem-lhe ocultar campos LogEntryindividuais dos utilizadores de um Trusted Cloud projeto, o que lhe dá uma forma mais detalhada de controlar os dados dos registos aos quais um utilizador pode aceder. Em comparação com as visualizações de registos, que ocultam o LogEntry inteiro, os controlos de acesso ao nível do campo ocultam campos individuais do LogEntry. Por exemplo, pode querer ocultar as PII de utilizadores externos, como um endereço de email contido na carga útil da entrada do registo, da maioria dos utilizadores da sua organização.

Para obter instruções sobre a configuração de controlos de acesso ao nível do campo, consulte o artigo Configure o acesso ao nível do campo.

Configure os registos de auditoria de acesso a dados

Quando ativar novos Trusted Cloud serviços, avalie se deve ou não ativar os registos de auditoria de acesso a dados.

Os registos de auditoria de acesso aos dados ajudam o apoio técnico da Google a resolver problemas com a sua conta. Por conseguinte, recomendamos que ative os registos de auditoria de acesso aos dados sempre que possível.

Para ativar todos os registos de auditoria para todos os serviços, siga as instruções para atualizar a política de gestão de identidade e de acesso (IAM) com a configuração indicada na política de auditoria.

Depois de definir a política de acesso a dados ao nível da organização e ativar os registos de auditoria de acesso a dados, use um projeto de teste Trusted Cloud para validar a configuração da recolha de registos de auditoria antes de criar projetos de programador e de produção Trusted Cloud na organização.

Para obter instruções sobre como ativar os registos de auditoria de acesso a dados, consulte o artigo Ative os registos de auditoria de acesso a dados.

Controle a forma como os seus registos são armazenados

Pode configurar aspetos dos contentores da sua organização e também criar contentores definidos pelo utilizador para centralizar ou subdividir o armazenamento de registos. Consoante os seus requisitos de conformidade e utilização, pode querer personalizar o armazenamento dos registos da seguinte forma:

Escolha onde os seus registos são armazenados.

Proteja os seus registos com chaves de encriptação geridas pelo cliente (CMEK).

Escolha onde os seus registos são armazenados

Os contentores de registo são recursos regionais: a infraestrutura que armazena, indexa e pesquisa os seus registos está localizada numa localização geográfica específica.

A sua organização pode ter de armazenar os dados dos registos em regiões específicas. Os principais fatores na seleção da região onde os seus registos são armazenados incluem o cumprimento dos requisitos de latência, disponibilidade ou conformidade da sua organização.

Para aplicar automaticamente uma região de armazenamento específica aos novos contentores _Default e _Required criados na sua organização, pode configurar uma localização de recursos predefinida.

Para ver instruções sobre como configurar localizações de recursos predefinidas, consulte o artigo Configure as predefinições para organizações.

Proteja os seus registos de auditoria com chaves de encriptação geridas pelo cliente

Por predefinição, o Cloud Logging encripta o conteúdo do cliente armazenado em repouso. A sua organização pode ter requisitos de encriptação avançados que a encriptação em repouso predefinida não oferece. Para cumprir os requisitos da sua organização, em vez de a Google gerir as chaves de encriptação de chaves que protegem os seus dados, configure chaves de encriptação geridas pelo cliente (CMEK) para controlar e gerir a sua própria encriptação.

Para obter instruções sobre a configuração da CMEK, consulte o artigo Configure a CMEK para o armazenamento de registos.

Consultar e ver registos de auditoria

Se precisar de resolver problemas, a capacidade de consultar rapidamente os registos é um requisito. Na Trusted Cloud consola, use o Explorador de registos para obter as entradas do registo de auditoria da sua organização:

Na Trusted Cloud consola, aceda à página Explorador de registos:
Aceda ao Explorador de registos

Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.
Selecione a sua organização.
No painel Consulta, faça o seguinte:
- Em Tipo de recurso, selecione o Trusted Cloud recurso cujos registos de auditoria quer ver.
- Em Nome do registo, selecione o tipo de registo de auditoria que quer ver:
  - Para os registos de auditoria da atividade do administrador, selecione atividade.
  - Para os registos de auditoria de acesso a dados, selecione data_access.
  - Para os registos de auditoria de eventos do sistema, selecione system_event.
  - Para registos de auditoria de recusa de políticas, selecione política.
  Se não vir estas opções, significa que não existem registos de auditoria desse tipo disponíveis na organização.
- No editor de consultas, especifique ainda mais as entradas do registo de auditoria que quer ver. Para ver exemplos de consultas comuns, consulte o artigo Consultas de exemplo com o Explorador de registos.
Clique em Executar consulta.

Para mais informações sobre como consultar através do Explorador de registos, consulte o artigo Crie consultas no Explorador de registos.

Encaminhe registos para destinos suportados

A sua organização pode ter de cumprir requisitos para criar e preservar registos de auditoria. Com os destinos, pode encaminhar alguns ou todos os seus registos para estes destinos suportados:

Pub/Sub

Outro contentor do Cloud Logging

Determine se precisa de destinos ao nível da pasta ou da organização e encaminhe registos de todos os Trusted Cloud projetos na organização ou na pasta através de destinos agregados. Por exemplo, pode considerar os seguintes exemplos de utilização de encaminhamento:

Destino ao nível da organização: se a sua organização usar um SIEM para gerir vários registos de auditoria, é recomendável encaminhar todos os registos de auditoria da sua organização. Assim, um coletor ao nível da organização faz sentido.
Destino ao nível da pasta: por vezes, pode querer encaminhar apenas registos de auditoria departamentais. Por exemplo, se tiver uma pasta "Finanças" e uma pasta "TI", pode ser útil encaminhar apenas os registos de auditoria pertencentes à pasta "Finanças" ou vice-versa.

Para mais informações sobre pastas e organizações, consulte o artigo Hierarquia de recursos.

Aplique as mesmas políticas de acesso ao Trusted Cloud destino que usa para encaminhar registos, tal como aplicou ao Explorador de registos.

Para obter instruções sobre como criar e gerir destinos agregados, consulte o artigo Recolha e encaminhe registos ao nível da organização para destinos suportados.

Compreenda o formato dos dados nos destinos de sincronização

Quando encaminha registos de auditoria para destinos fora do Cloud Logging, compreenda o formato dos dados que foram enviados.

Para compreender e encontrar entradas de registo que encaminhou do Cloud Logging para destinos suportados, consulte o artigo Veja registos em destinos de encaminhamento.