הסבר על יומני Access Transparency ושימוש בהם
בדף הזה מתואר התוכן של הרשומות ביומן Access Transparency ומוסבר איך לצפות בהן ולהשתמש בהן.
פרטים על יומני Access Transparency
אפשר לשלב בין יומני Access Transparency לבין הכלים הקיימים לניהול אירועים ופרטי אבטחה (SIEM) כדי להפוך את הביקורות על Google הצוות שניגש לתוכן שלכם לאוטומטיות. יומני Access Transparency זמינים במסוף Google Cloud יחד עם יומני Cloud Audit Logs.
הרשומות ביומן Access Transparency כוללות את סוגי הפרטים הבאים:
- המשאב והפעולה שהושפעו
- מועד ביצוע הפעולה
- הסיבות לביצוע הפעולה (לדוגמה, מספר הפנייה לתמיכת לקוחות).
- נתונים לגבי מי שמשתמש בתוכן (לדוגמה, מיקום העובד). Google
הפעלת Access Transparency
מידע על הפעלת Access Transparency בארגון Google Cloud מופיע במאמר הפעלת Access Transparency.
צפייה ביומנים של Access Transparency
אחרי שמגדירים את Access Transparency בארגון, אפשר להקצות למשתמש או לקבוצה את התפקיד Private Logs Viewer כדי לקבוע למי תהיה גישה ליומני Access Transparency. Google Cloud פרטים נוספים זמינים במדריך בקרת הגישה ל-Cloud Logging.
כדי לצפות ביומנים של Access Transparency, משתמשים במסנן היומנים הבא של Google Cloud Observability.
logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
מידע על צפייה ביומני Access Transparency ב-Logs Explorer זמין במאמר שימוש ב-Logs Explorer.
אפשר גם לעקוב אחרי היומנים באמצעות Cloud Monitoring API או באמצעות פונקציות של Cloud Run. כדי להתחיל, תוכלו להיעזר במסמכי העזרה של Cloud Monitoring.
אופציונלי: יוצרים מדד מבוסס-יומנים ואז מגדירים מדיניות התראות כדי לקבל התראות בזמן על בעיות שמופיעות ביומנים האלה.
דוגמה לרשומה ביומן של Access Transparency
זוהי דוגמה לרשומה ביומן של Access Transparency:
{ insertId: "abcdefg12345" jsonPayload: { @type: "type.googleapis.com/google.cloud.audit.TransparencyLog" location: { principalOfficeCountry: "US" principalEmployingEntity: "Google LLC" principalPhysicalLocationCountry: "CA" } principalJobTitle: "Engineering" product: [ 0: "Cloud Storage" ] reason: [ detail: "Case number: bar123" type: "CUSTOMER_INITIATED_SUPPORT" ] permissionDetails:[ 0: { permissionType: "DATA_READ" logAccessed: true } 1: { permissionType: "ADMIN_READ" } ] eventId: "asdfg12345asdfg12345asdfg12345" accesses: [ 0: { methodName: "GoogleInternal.Read" resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123" } ] accessApprovals: [ 0: "projects/123/approvalRequests/abcdef12345" ] } logName: "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency" operation: { id: "12345xyz" } receiveTimestamp: "2017-12-18T16:06:37.400577736Z" resource: { labels: { project_id: "1234567890" } type: "project" } severity: "NOTICE" timestamp: "2017-12-18T16:06:24.660001Z" }
תיאורי השדות ביומן
| שדה | תיאור |
|---|---|
insertId |
מזהה ייחודי של היומן. |
@type |
מזהה ביומן של Access Transparency. |
principalOfficeCountry |
קוד מדינה בפורמט ISO 3166-1 alpha-2 של המדינה שבה יש לבעל הגישה שולחן עבודה קבוע, ?? אם המיקום לא זמין, או מזהה יבשת בן 3 תווים אם Google העובדים נמצאים במדינה עם אוכלוסייה קטנה. |
principalEmployingEntity |
הישות שמעסיקה את Google הצוות שמבצע את הגישה
(לדוגמה, Google LLC).
|
principalPhysicalLocationCountry |
קוד המדינה בפורמט ISO 3166-1 alpha-2 שממנה בוצעה הגישה,
?? אם המיקום לא זמין, או מזהה יבשת בן 3 תווים Google אם כוח האדם נמצא במדינה עם אוכלוסייה קטנה. |
principalJobTitle |
משפחת התפקידים של Google הזהות שמבצעת את הגישה.
אם התפקיד הוא Support Agent, השחקן הוא סוכן תמיכה מבוסס-AI, והערכים principalPhysicalLocationCountry ו-principalOfficeCountry לא מסופקים (??).
|
product |
המוצר של הלקוח Google Cloud שנכנסו אליו. |
reason:detail |
פרטים על הסיבה, לדוגמה, מזהה של כרטיס תמיכה. |
reason:type |
גישה
סוג הסיבה
(לדוגמה, CUSTOMER_INITIATED_SUPPORT). |
permissionDetails |
פרטים על הרשאות שמקושרות לגישה. יכולים להיות עד שני פרטים של permissionType. מידע נוסף זמין במאמר בנושא ערכים של פרטי הרשאה. |
accesses:methodName |
סוג הגישה שניתנה. לדוגמה, GoogleInternal.Read.
למידע נוסף על השיטות שיכולות להופיע בשדה methodName, ראו ערכים בשדה accesses: methodName.
|
accesses:resourceName |
השם של המשאב שנכנסו אליו. |
accessApprovals |
כולל את שמות המשאבים של בקשות לאישור גישה שאושרו. הבקשות האלה כפופות להחרגות ולשירותים נתמכים. השדה הזה מאוכלס רק אם אישור הגישה מופעל עבור המשאבים שנערכה אליהם גישה. השדה הזה לא יאוכלס ביומני Access Transparency שפורסמו לפני התאריך 24 במרץ 2021. |
logName |
שם מיקום היומן. |
operation:id |
מזהה אשכול ביומן. |
receiveTimestamp |
השעה שבה הגישה התקבלה בצינור הנתונים של הרישום ביומן. |
project_id |
הפרויקט שמשויך למשאב שאליו הייתה גישה. |
type |
סוג המשאב שהייתה אליו גישה (לדוגמה, project). |
eventId |
מזהה אירוע ייחודי שמשויך להצדקה של אירוע גישה יחיד (לדוגמה, בקשת תמיכה יחידה). לכל הגישות שמתועדות באותו נימוק יש את אותו ערך event_id. |
severity |
רמת החומרה של היומן. |
timestamp |
השעה שבה היומן נכתב. |
ערכים של שדות permissionDetails
הפרטים הבאים לגבי הרשאות זמינים ביומנים של Access Transparency:
permissionType: מציין את סוג ההרשאה לניהול זהויות והרשאות גישה (IAM) שמשויך לגישה לנתונים על ידי האדמין Google . לדוגמה, במסמכי התיעוד של SQL אפשר למצוא את סוגי ההרשאות לכל method של API ציבורי ל-Cloud SQL. סוגי ההרשאות מציינים את ההרשאה המקסימלית שקיימת, גם אם גישה הייתה אפשרית עם סוג הרשאה נמוך יותר.
logAccessed: השדה הזה מציין אם הגישה של האדמין או הרשאת הגישה לקריאת נתונים מוגבלת לגישה ליומנים. לדוגמה, גישת data_read ליומנים של Observability Analytics מלווה ב-logAccessed = true, שמציין שההרשאה data_read מוגבלת לנתוני יומן. השדה הזה מושמט אם הגישה היא לא יומן.
| סוג הרשאת IAM | תיאור | דוגמאות |
|---|---|---|
ADMIN_READ |
מציין גישת קריאה מוגבלת להגדרה, ליומן או לנתונים דומים. | לפרטים נוספים, אפשר לעיין בסוג ההרשאה ב-IAM. |
ADMIN_WRITE |
מציין גישת קריאה או כתיבה שמוגבלת להגדרה, ליומן או לנתונים דומים. | לפרטים נוספים, אפשר לעיין בסוג ההרשאה ב-IAM. |
DATA_READ |
מציין גישת קריאה שעשויה לכלול נתוני לקוחות. גישה עם סוג ההרשאה data_read מציינת שלאדמין הייתה הרשאה לגשת לנתוני הלקוח, אבל היא לא מאשרת שהייתה גישה לנתוני הלקוח. | לפרטים נוספים, אפשר לעיין בסוג ההרשאה ב-IAM. |
DATA_WRITE |
מציין גישת קריאה או כתיבה שעשויה להכיל נתוני לקוחות. גישה עם סוג ההרשאה data_write מציינת שהאדמין עשוי לכלול הרשאה לגשת למשאב אחד לפחות של נתוני לקוחות. לפרטים נוספים, אפשר לעיין בסוג ההרשאה ב-IAM. |
| logAccessed | תיאור |
|---|---|
true |
המשמעות היא גישה מוגבלת לגישת קריאה של נתוני הרישום. המאפיין הזה מרחיב את השדה permissionType. גישות עם התווית true מציינות שהגישה היא רק לנתוני הרישום, בלי גישה ישירה לנתונים. |
ערכים בשדה accesses:methodNames
השיטות הבאות יכולות להופיע בשדה accesses:methodNames ביומנים של Access Transparency:
- שיטות רגילות: השיטות האלה הן
List,Get,Create,Updateו-Delete. מידע נוסף מופיע במאמר בנושא שיטות רגילות. - שיטות מותאמות אישית: שיטות מותאמות אישית הן שיטות API שאינן 5 השיטות הרגילות. שיטות נפוצות להתאמה אישית כוללות את
Cancel,BatchGet,Move,Searchו-Undelete. מידע נוסף זמין במאמר בנושא שיטות מותאמות אישית. - שיטות GoogleInternal: אלה דוגמאות לשיטות
GoogleInternalשמופיעות בשדהaccesses:methodNames:
| שם השיטה | תיאור | דוגמאות |
|---|---|---|
GoogleInternal.Read |
מציין פעולת קריאה שבוצעה בתוכן של לקוח עם הצדקה עסקית תקפה. פעולת הקריאה מתבצעת באמצעות API פנימי שנועד במיוחד לניהול שירותים. Google Cloud השיטה הזו לא משנה את תוכן הלקוח. | קריאת הרשאות IAM. |
GoogleInternal.Write |
מציין פעולת כתיבה שבוצעה בתוכן של לקוח עם הצדקה עסקית תקפה. פעולת הכתיבה מתבצעת באמצעות API פנימי שנועד במיוחד לניהול שירותים. Google Cloud באמצעות השיטה הזו אפשר לעדכן תוכן של לקוחות ו/או הגדרות. |
|
GoogleInternal.Create |
מציין פעולת יצירה שבוצעה בתוכן של לקוחות עם הצדקה עסקית תקפה. פעולת היצירה מתבצעת באמצעות ממשק API פנימי שמיועד במיוחד לניהול שירותים. Google Cloud השיטה הזו יוצרת תוכן חדש ללקוחות. |
|
GoogleInternal.Delete |
מציין פעולת מחיקה שבוצעה בתוכן של לקוח באמצעות API פנימי שנועד במיוחד לניהול שירותים. Google Cloud השיטה הזו משנה את התוכן או את ההגדרות של הלקוח. |
|
GoogleInternal.List |
מציין פעולה ברשימה שבוצעה על תוכן של לקוחות עם הצדקה עסקית תקפה. פעולת הרשימה מתרחשת באמצעות API פנימי שנועד במיוחד לניהול שירותים. Google Cloud השיטה הזו לא משנה את התוכן או את ההגדרות של הלקוח. |
|
GoogleInternal.Update |
מציין שינוי שבוצע בתוכן של לקוח עם הצדקה עסקית תקפה. פעולת העדכון מתבצעת באמצעות API פנימי שנועד במיוחד לניהול שירותים של Google Cloud . השיטה הזו משנה את התוכן או את ההגדרות של הלקוח. | עדכון מפתחות HMAC ב-Cloud Storage. |
GoogleInternal.Get |
מציין פעולת קבלת נתונים שבוצעה על תוכן של לקוח עם הצדקה עסקית תקפה. הפעולה get מתבצעת באמצעות API פנימי שמיועד במיוחד לניהול שירותים. Google Cloud השיטה הזו לא משנה את התוכן או את ההגדרות של הלקוח. |
|
GoogleInternal.Query |
מציין פעולת שאילתה שבוצעה על תוכן של לקוח עם הצדקה עסקית תקפה. פעולת השאילתה מתבצעת באמצעות API פנימי שנועד במיוחד לניהול שירותים. Google Cloud השיטה הזו לא משנה את התוכן או את ההגדרות של הלקוח. |
|
הגישה לGoogleInternal מוגבלת מאוד לאנשים מורשים בלבד, והיא מתבצעת רק לצורך מוצדק וניתנת לביקורת. העובדה ששיטה מסוימת מופיעה ברשימה לא אומרת שהיא זמינה לכל התפקידים. ארגונים שרוצים לשפר את השליטה בגישת אדמין לפרויקט או לארגון יכולים להפעיל את אישור הגישה כדי לאפשר אישור או דחייה של גישות על סמך פרטי הגישה. לדוגמה, משתמשים ב'אישור גישה' יכולים לבחור לאשר רק בקשות עם CUSTOMER_INITIATED_SUPPORTהצדקה לבקשות שנשלחות על ידי Google עובד. מידע נוסף זמין במאמר סקירה כללית על אישור גישה.
אם אירוע עומד בקריטריונים מחמירים לגישת חירום, אישור גישה יכול לרשום את גישת החירום הזו עם הסטטוס auto approved. התכונות Access Transparency ו-Access Approval תוכננו במיוחד כך שיכללו רישום רציף ביומן במקרים של גישת חירום.
אם אתם מחפשים שליטה רבה יותר באבטחת הנתונים של עומסי העבודה, מומלץ להשתמש ב-Assured Workloads. פרויקטים של Assured Workloads מציעים יכולות משופרות כמו מיקום האחסון של הנתונים, אמצעי בקרה ריבוניים וגישה לתכונות כמו מחשוב חסוי ב-Compute Engine. Assured Workloads משתמשת בהצדקות גישה למפתחות למפתחות הצפנה שמנוהלים חיצונית.
קודי סיבות להצדקה
הכוונה היא לגישה ש-Google יוזמת לצורך ניהול מערכת ופתרון בעיות.אנשי Google יכולים ליצור גישה מהסוג הזה מהסיבות הבאות:
גישה ביוזמת Google במטרה לשמור על אמינות המערכת.
אנשי Google יכולים להעניק גישה מסוג כזה מהסיבות הבאות:
סיבה
תיאור
CUSTOMER_INITIATED_SUPPORT
תמיכה ביוזמת הלקוח, לדוגמה, 'מספר הפנייה: ####'.
GOOGLE_INITIATED_SERVICE
THIRD_PARTY_DATA_REQUEST
Google-גישה שמתבצעת בתגובה לבקשה משפטית או להליך משפטי, כולל תגובה להליך משפטי מצד הלקוח שדורשת Google גישה לנתונים של הלקוח.
GOOGLE_INITIATED_REVIEW
גישה ביוזמת Google למטרות אבטחה, עמידה בתנאים שונים ומניעת הונאה ושימוש לרעה, כולל:
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT
מעקב אחרי יומנים של Access Transparency
אתם יכולים לעקוב אחרי יומני Access Transparency באמצעות Cloud Monitoring API. כדי להתחיל, כדאי לעיין במאמרי העזרה בנושא מעקב.
אתם יכולים להגדיר מדד מבוסס-יומנים ואז להגדיר מדיניות התראות כדי לקבל בזמן מידע על בעיות שמופיעות ביומנים האלה. לדוגמה, אפשר ליצור מדד מבוסס-יומנים שמתעד אתGoogle הגישות של אנשי הצוות לתוכן, ואז ליצור מדיניות התראות ב-Monitoring שתעדכן אתכם אם מספר הגישות בתקופה מסוימת יעלה על סף שצוין.