本文件建議一系列的稽核記錄工作,協助貴機構維護安全性並將風險降到最低。
這份文件僅列出部分建議,其目標是要協助您瞭解稽核記錄活動的範圍,並據以制訂方案。
各節均提供重要操作,也附上詳細資訊參考連結。
瞭解 Cloud 稽核記錄
大多數 Trusted Cloud 服務都提供稽核記錄。Cloud 稽核記錄會為每個Trusted Cloud 專案、帳單帳戶、資料夾和機構提供下列類型的稽核記錄:
| 稽核記錄類型 | 可自行設定 | 可收費 |
|---|---|---|
| 管理員活動稽核記錄 | 否,一律以文字形式撰寫 | 否 |
| 資料存取稽核記錄 | 是 | 是 |
| 政策被拒絕的稽核記錄 | 可以,您可以排除這些記錄,避免寫入記錄檔儲存空間 | 是 |
| 系統事件稽核記錄 | 否,一律以文字形式撰寫 | 否 |
資料存取稽核記錄 (除 BigQuery 以外) 預設為停用。如要為服務寫入資料存取稽核記錄,您必須明確啟用這類記錄;詳情請參閱本頁的「設定資料存取稽核記錄」一節。 Trusted Cloud
如要瞭解Trusted Cloud的稽核記錄整體情況,請參閱 Cloud 稽核記錄總覽。
控管記錄檔存取權
由於稽核記錄資料屬於機密資訊,因此請務必為貴機構使用者設定適當的存取控制項。
請根據法規遵循和使用需求,設定下列存取控制項:
設定 IAM 權限
IAM 權限和角色會決定使用者能否在 Logging API、記錄檔探索工具和 Google Cloud CLI 中存取稽核記錄資料。使用 IAM 授予特定Trusted Cloud 值區的精細存取權,並避免其他資源遭擅自存取。
您授予使用者的權限角色,取決於他們在機構內與稽核相關的職務。舉例來說,您可能會授予技術長廣泛的管理權限,而開發團隊成員可能需要記錄檢視權限。如需為貴機構使用者授予哪些角色的指引,請參閱設定稽核記錄的角色。
設定 IAM 權限時,請套用最低權限安全原則,只授予使用者必要的資源存取權:
- 移除所有非必要的使用者。
- 授予必要使用者正確且最低的權限。
如需設定 IAM 權限的操作說明,請參閱「管理專案、資料夾和機構的存取權」。
設定記錄檔檢視表
Logging 收到的所有記錄檔 (包括稽核記錄) 都會寫入稱為「記錄檔儲存空間」的儲存空間容器。記錄檢視畫面可讓您控管誰有權存取記錄 bucket 內的記錄。
由於記錄儲存區可包含多個 Trusted Cloud 專案的記錄,因此您可能需要控管不同使用者可查看哪些 Trusted Cloud 專案的記錄。建立自訂記錄檢視畫面,對這些值區進行更精細的存取權控管。
如要瞭解如何建立及管理記錄檢視畫面,請參閱「在記錄 bucket 中設定記錄檢視畫面」一文。
設定記錄欄位層級存取權控管
透過欄位層級的存取權控管機制,您可以對 Trusted Cloud 專案的使用者隱藏個別 LogEntry 欄位,更精細地控管使用者可存取的記錄資料。相較於記錄檔檢視畫面會隱藏整個 LogEntry,欄位層級的存取權控管機制會隱藏 LogEntry 的個別欄位。舉例來說,您可能想為機構內的大多數使用者,從記錄檔項目酬載中,遮蓋外部使用者 PII (例如電子郵件地址)。
如需設定欄位層級存取權控管的操作說明,請參閱「設定欄位層級存取權」。
設定資料存取稽核記錄
啟用新 Trusted Cloud 服務時,請評估是否要啟用資料存取稽核記錄。
資料存取稽核記錄可協助 Google 支援團隊排解帳戶問題。因此,建議您盡可能啟用資料存取稽核記錄。
如要為所有服務啟用所有稽核記錄,請按照操作說明更新身分與存取權管理 (IAM) 政策,並使用稽核政策中列出的設定。
定義機構層級的資料存取政策並啟用「資料存取」稽核記錄後,請先使用測試 Trusted Cloud 專案驗證稽核記錄收集作業的設定,再於機構中建立開發人員和正式版 Trusted Cloud 專案。
如要瞭解如何啟用資料存取稽核記錄,請參閱「啟用資料存取稽核記錄」一文。
控管記錄檔的儲存方式
您可以設定機構的 bucket 各個層面,也可以建立使用者定義的 bucket,集中或細分記錄儲存空間。視法規遵循和使用需求而定,您可能需要自訂記錄儲存空間,方法如下:
- 選擇記錄的儲存位置。
- 使用客戶自行管理的加密金鑰 (CMEK) 保護記錄。
選擇記錄的儲存位置
記錄檔值區是區域資源:儲存、建立索引及搜尋記錄檔的基礎架構位於特定地理位置。
貴機構可能需要將記錄檔資料儲存在特定區域。選擇記錄儲存區域時,主要考量因素包括是否符合貴機構的延遲時間、可用性或法規遵循要求。
如要自動將特定儲存空間區域套用至機構中建立的新 _Default 和 _Required bucket,您可以設定預設資源位置。
如要瞭解如何設定預設資源位置,請參閱「調整機構的預設設定」。
使用客戶管理的加密金鑰保護稽核記錄
根據預設,Cloud Logging 會加密靜態儲存的客戶內容。貴機構可能對加密有進階要求,而預設的靜態資料加密功能無法滿足這些要求。為滿足貴機構的需求,請設定客戶自行管理的加密金鑰 (CMEK),自行控管及管理加密作業,而不是由 Google 管理用來保護您資料的金鑰加密金鑰。
如需設定 CMEK 的操作說明,請參閱「為記錄儲存空間設定 CMEK」。
查詢及查看稽核記錄
如要進行疑難排解,快速查看記錄是必要條件。在 Trusted Cloud 控制台中,使用記錄檔探索工具擷取貴機構的稽核記錄項目:
-
前往 Trusted Cloud 控制台的「Logs Explorer」頁面:
如果您是使用搜尋列尋找這個頁面,請選取子標題為「Logging」的結果。
選取您的機構。
在「Query」(查詢) 窗格中,執行下列操作:
在「資源類型」中,選取要查看稽核記錄的 Trusted Cloud 資源。
在「記錄名稱」中,選取要查看的稽核記錄類型:
- 如要查看管理員活動稽核記錄,請選取「activity」。
- 如要查看資料存取稽核記錄,請選取「data_access」data_access。
- 如要查看系統事件稽核記錄,請選取「system_event」system_event。
- 如要查看「政策遭拒」稽核記錄,請選取「policy」。
如果沒有看到這些選項,表示機構中沒有這類型的稽核記錄。
在查詢編輯器中,進一步指定要查看的稽核記錄項目。如需常見查詢的範例,請參閱「使用記錄檔探索工具的查詢範例」。
點選「執行查詢」
如要進一步瞭解如何使用記錄檔探索工具查詢,請參閱「在記錄檔探索工具中建構查詢」。
將記錄檔轉送至支援的目的地
貴機構可能需要建立及保存稽核記錄檔。您可以使用接收器,將部分或所有記錄傳送至下列支援的目的地:
- 其他 Cloud Logging 值區
判斷您需要資料夾層級或機構層級的接收器,並使用匯總接收器,從機構或資料夾內的所有 Trusted Cloud 專案轉送記錄。舉例來說,您可以考慮下列轉送用途:
機構層級的接收器:如果貴機構使用 SIEM 管理多個稽核記錄,您可能需要轉送貴機構的所有稽核記錄。因此,機構層級的接收器是合理的選擇。
資料夾層級的接收器:有時您可能只想傳送部門稽核記錄。舉例來說,如果您有「財務」和「IT」資料夾,可能只會想將「財務」資料夾的稽核記錄或反向記錄傳送至其他位置。
如要進一步瞭解資料夾和機構,請參閱「資源階層」。
將您套用到記錄檔探索工具的存取政策,套用到您用來將記錄檔傳送至目的地的政策。 Trusted Cloud
如需建立及管理匯總接收器的操作說明,請參閱「彙整機構層級記錄並轉送至支援的目的地」。
瞭解接收器目的地中的資料格式
將稽核記錄轉送至 Cloud Logging 以外的目的地時,請瞭解傳送的資料格式。
如要瞭解及尋找從 Cloud Logging 轉送至支援目的地的記錄項目,請參閱「查看接收器目的地中的記錄檔」。