Este documento recomenda uma sequência de tarefas de registro de auditoria para ajudar sua organização a manter a segurança e minimizar os riscos.
Este documento não é uma lista completa de recomendações. O objetivo dele é ajudar você a entender o escopo das atividades de registro de auditoria e planejar de acordo.
Cada seção inclui as principais ações e links para leitura extra.
Entender os registros de auditoria do Cloud
Os registros de auditoria estão disponíveis para a maioria dos Cloud de Confiance serviços. Os registros de auditoria do Cloud fornecem os seguintes tipos de registros de auditoria para cada Cloud de Confiance projeto, conta de faturamento, pasta e organização:
| Tipo de registro de auditoria | Configurável | Sujeitos a cobrança |
|---|---|---|
| Registros de auditoria de atividade do administrador | Não; sempre gravados | Não |
| Registros de auditoria de acesso a dados | Sim | Sim |
| Registros de auditoria de política negada | Sim; é possível excluir esses registros da gravação em buckets de registro | Sim |
| Registros de auditoria de eventos do sistema | Não; sempre gravados | Não |
Os registros de auditoria do acesso a dados (exceto BigQuery) são desativados por padrão. Se você quiser que os registros de auditoria de acesso a dados sejam gravados para Cloud de Confiance serviços, ative-os explicitamente. Para mais detalhes, consulte Configurar registros de auditoria de acesso a dados nesta página.
Para informações sobre o cenário geral de registro de auditoria com o Cloud de Confiance, consulte Visão geral dos registros de auditoria do Cloud.
Controlar o acesso a registros
Devido à sensibilidade dos dados de registro de auditoria, é especialmente importante configurar os controles de acesso adequados para os usuários da sua organização.
Dependendo dos requisitos de conformidade e uso, defina esses controles de acesso da seguinte maneira:
- Definir as permissões do IAM
- Configurar visualizações de registros
- Definir controles de acesso no nível do campo de entrada de registro
Definir as permissões do IAM
As permissões e os papéis do IAM determinam a capacidade dos usuários de acessar dados de registros de auditoria na API Logging, na Análise de registros e na Google Cloud CLI. Use o IAM para conceder acesso granular a buckets Cloud de Confiance específicos e impedir o acesso indesejado a outros recursos.
Os papéis baseados em permissões que você concede aos usuários dependem das funções relacionadas à auditoria na sua organização. Por exemplo, você pode conceder permissões administrativas amplas ao CTO, enquanto os membros da equipe de desenvolvimento podem exigir permissões de visualização de registros. Para orientações sobre quais papéis conceder aos usuários da sua organização, consulte Como configurar papéis para geração de registros de auditoria.
Ao definir as permissões do IAM, aplique o princípio de privilégio mínimo para conceder aos usuários apenas o acesso necessário aos recursos:
- Remova todos os usuários não essenciais.
- Conceda aos usuários essenciais as permissões corretas e mínimas.
Para instruções sobre como definir as permissões do IAM, consulte Gerenciar o acesso a projetos, pastas e organizações.
Configurar visualizações de registros
Todos os registros, incluindo os de auditoria, recebidos pelo Logging são gravados em contêineres de armazenamento chamados buckets de registro. As visualizações de registro permitem controlar quem tem acesso aos registros nos seus buckets.
Como os buckets de registros podem conter registros de vários Cloud de Confiance projetos, talvez seja necessário controlar de quais Cloud de Confiance projetos diferentes usuários podem ver os registros. Crie visualizações de registros personalizadas, que oferecem controle de acesso mais granular para esses buckets.
Para instruções sobre como criar e gerenciar visualizações de registros, consulte Configurar visualizações de registros em um bucket de registro.
Definir controles de acesso no nível do campo de registro
Com os controles de acesso no nível do campo, é possível ocultar campos LogEntry individuais dos usuários
de um Cloud de Confiance projeto e ter uma maneira mais granular de controlar os dados de registro
que um usuário pode acessar. Em comparação com as visualizações de registros, que ocultam todo o LogEntry, os controles de acesso no nível do campo ocultam campos individuais do LogEntry. Por exemplo, talvez você queira ocultar informações de identificação pessoal (PII, na sigla em inglês) de usuários externos, como um endereço de e-mail contido no payload da entrada de registro, da maioria dos usuários da sua organização.
Para instruções sobre como configurar controles de acesso no nível do campo, consulte Configurar acesso no nível do campo.
Configure os registros de auditoria de acesso a dados
Ao ativar novos Cloud de Confiance serviços, avalie se os registros de auditoria de acesso a dados serão ativados ou não .
Os registros de auditoria de acesso a dados ajudam o Suporte do Google a resolver problemas na sua conta. Portanto, recomendamos ativar os registros de auditoria de acesso a dados quando possível.
Para ativar todos os registros de auditoria de todos os serviços, siga as instruções para atualizar o Identity and Access Management (IAM) com a configuração listada na política de auditoria.
Depois de definir a política de acesso a dados no nível da organização e ativar os registros de auditoria de acesso a dados, use umprojetode teste Cloud de Confiance para validar a configuração da coleção de registros de auditoria antes de criarprojetos de desenvolvimento e produção Cloud de Confiance na organização.
Para instruções sobre como ativar os registros de auditoria de acesso a dados, consulte Ativar registros de auditoria de acesso a dados.
Controlar como os registros são armazenados
É possível configurar aspectos dos buckets da sua organização e também criar buckets definidos pelo usuário para centralizar ou subdividir o armazenamento de registros. Dependendo dos requisitos de conformidade e uso, talvez você queira personalizar o armazenamento de registros da seguinte maneira:
- Escolha onde os registros são armazenados.
- Defina o período de armazenamento de dados.
- Proteja os registros com chaves de criptografia gerenciadas pelo cliente (CMEK).
Escolha onde os registros são armazenados
No Logging, os buckets são recursos regionais: a infraestrutura que armazena, indexa e pesquisa seus registros está localizada em uma localização geográfica específica.
Talvez sua organização precise armazenar os dados de registros em regiões específicas. Os principais fatores para selecionar a região em que seus registros são armazenados incluem atender aos requisitos de latência, disponibilidade ou conformidade de sua organização.
Para aplicar automaticamente uma região de armazenamento específica aos novos buckets _Default e _Required criados na sua organização, configure um local de recurso padrão.
Para obter instruções sobre como configurar locais de recursos padrão, consulte Configurar as configurações padrão para organizações.
Definir períodos de retenção de dados
O Cloud Logging retém registros de acordo com as regras de retenção que se aplicam ao tipo de bucket de registros em que os registros são retidos.
Para atender às necessidades de conformidade, configure o Cloud Logging para reter registros entre 1 dia e 400 days. As regras de retenção personalizadas se aplicam a todos os registros de um bucket, independentemente do tipo de registro ou se ele foi copiado de outro local.
Para instruções sobre como definir regras de retenção para um bucket de registros, consulte Configurar a retenção personalizada.
Proteger os registros de auditoria com chaves de criptografia gerenciadas pelo cliente
Por padrão, o Cloud Logging criptografa o conteúdo do cliente armazenado em repouso. Sua organização pode ter requisitos de criptografia avançados não atendidos pela criptografia em repouso padrão. Para cumprir os requisitos da sua organização, em vez de deixar que o Google gerencie as chaves de criptografia que protegem seus dados, configure chaves de criptografia gerenciadas pelo cliente (CMEK) para controlar e gerenciar sua própria criptografia.
Para instruções sobre como configurar a CMEK, consulte Configurar a CMEK para armazenamento de registros.
Consultar e exibir registros de auditoria
Se você precisar resolver problemas, a capacidade de analisar registros rapidamente é exigida. No Cloud de Confiance console do, use a Análise de registros para acessar as entradas registro de auditoria da sua organização:
-
No Cloud de Confiance console do, acesse a página Análise de registros:
Acessar a Análise de registros
Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.
Selecione a organização.
No painel Consulta, faça o seguinte:
Em Tipo de recurso, selecione o Cloud de Confiance recurso do com os registros de auditoria que você quer acessar.
Em Nome do registro, selecione o tipo de registro de auditoria que você quer acessar:
- Para os registros de auditoria da atividade do administrador, selecione Atividade.
- Para os registros de auditoria de acesso a dados, selecione data_access.
- Para os registros de auditoria de eventos do sistema, selecione system_event.
- Em "Registros de auditoria de política negada", selecione policy.
Se você não vir essas opções, então não há registros de auditoria desses tipos disponíveis na organização.
No editor de consultas, especifique ainda mais as entradas de registro de auditoria que você quer ver. Para exemplos de consultas comuns, consulte Amostra de consultas usando a Análise de registros.
Clique em Executar consulta.
Para mais informações sobre como consultar usando a Análise de Registros, consulte Criar consultas na Análise de Registros.
Encaminhar registros para destinos compatíveis
Sua organização pode enfrentar requisitos para criar e preservar registros de auditoria. Usando coletores, é possível rotear alguns ou todos os registros para estes destinos compatíveis:
- Outro bucket do Cloud Logging
Determine se você precisa de coletores no nível da pasta ou da organização e encaminhe registros de todos os Cloud de Confiance projetos dentro da organização ou pasta usando coletores agregados. Por exemplo, considere estes casos de uso de roteamento:
Coletor no nível da organização: se sua organização usa um SIEM para gerenciar vários registros de auditoria, talvez você queira encaminhar todos os registros de auditoria da sua organização. Assim, um coletor no nível da organização faz sentido.
Coletor no nível da pasta: às vezes, convém encaminhar apenas registros de auditoria departamental. Por exemplo, se você tiver uma pasta "Finanças" e uma pasta "TI", pode ser útil encaminhar apenas os registros de auditoria pertencentes à pasta "Finanças" ou vice-versa.
Para mais informações sobre pastas e organizações, consulte Hierarquia de recursos.
Aplique as mesmas políticas de acesso ao Cloud de Confiance destino que você usa para encaminhar registros, conforme aplicadas à Análise de registros.
Para instruções sobre como criar e gerenciar coletores agregados, consulte Agrupar e rotear registros no nível da organização para destinos compatíveis.
Entender o formato de dados nos destinos do coletor
Ao encaminhar registros de auditoria para destinos fora do Cloud Logging, entenda o formato dos dados que foram enviados.
Para entender e encontrar entradas de registro que você encaminhou do Cloud Logging para destinos compatíveis, consulte Ver registros em destinos do coletor.