Linee guida per monitoraggio, logging e avvisi

Iscriviti alle notifiche del bollettino sulla sicurezza per i servizi Google Cloud per ricevere avvisi su vulnerabilità e misure di mitigazione.

Quando sono disponibili bollettini sulla sicurezza pertinenti per il tuo Google Cloud servizio (ad esempio GKE), il servizio può pubblicare notifiche relative a questi eventi come messaggi negli argomenti Pub/Sub che configuri. Puoi ricevere queste notifiche in una sottoscrizione Pub/Sub, integrarle con servizi di terze parti e filtrare in base ai tipi di notifiche che vuoi ricevere.

Configura i contatti fondamentali per assicurarti che un alias di gruppo o una mailing list monitorati ricevano notifiche importanti.

L'utilizzo di un indirizzo email di gruppo monitorato contribuisce a garantire che questi avvisi urgenti vengano inviati a un team attivo in grado di rispondere rapidamente.

Utilizza la funzionalità di anomalie di fatturazione in Fatturazione Cloud per monitorare eventuali picchi o deviazioni nella spesa prevista.

Un picco improvviso e inaspettato in una fattura cloud è un indicatore principale di una compromissione della sicurezza. A volte, i picchi di fatturazione imprevisti sono causati da malintenzionati che hanno ottenuto l'accesso e utilizzano le risorse per attività non autorizzate.

L'attivazione del rilevamento di anomalie di fatturazione fornisce un sistema di avviso preventivo essenziale per poter segnalare automaticamente questa attività sospetta.

Per impostazione predefinita, le regole firewall non scrivono automaticamente i log.Il logging delle regole firewall consente di controllare, verificare e analizzare gli effetti delle regole firewall. Ad esempio, puoi determinare se una regola firewall progettata per negare il traffico funziona come previsto. Il logging è utile anche se vuoi determinare quante connessioni sono interessate da una determinata regola firewall.

Attiva la registrazione per ogni regola firewall. Puoi configurare la registrazione utilizzando una pipeline che utilizzi per creare un firewall.

Se utilizzi Cloud Identity, condividi gli audit log di Cloud Identity con Google Cloud.

I log di controllo dell'attività amministrativa di Google Workspace o Cloud Identity vengono normalmente gestiti e visualizzati nella Console di amministrazione Google, separatamente dai log nel tuo ambiente Google Cloud . Questi log contengono informazioni pertinenti per il tuo Google Cloud ambiente, ad esempio gli eventi di accesso degli utenti.

Ti consigliamo di condividere gli audit log di Cloud Identity con il tuo ambiente Google Cloud per gestire centralmente i log di tutte le origini.

I log standard mostrano le azioni intraprese dagli utenti della tua organizzazione, mentre i log di Access Transparency mostrano le azioni intraprese dal personale di assistenza Google quando accede all'account. Questo accesso in genere avviene solo in risposta a una richiesta di assistenza. I log di Access Transparency forniscono un audit trail completo e verificabile di tutti gli accessi, essenziale per soddisfare i rigorosi requisiti di conformità e governance dei dati.

Puoi attivare Access Transparency a livello di organizzazione.

Crea un sink di log per esportare i log per la tua soluzione di monitoraggio della sicurezza e imposta il periodo di conservazione in modo che soddisfi i tuoi requisiti.

I periodi di conservazione dei log predefiniti spesso non sono sufficientemente lunghi per soddisfare i requisiti di 1-7 anni previsti dalle normative di conformità come PCI o HIPAA.

La creazione di un sink di log per esportare i log in una posizione di archiviazione a lungo termine è essenziale per soddisfare determinati obblighi legali e normativi. I sink di log ti consentono anche di inviare i log a un sistema di monitoraggio della sicurezza centralizzato per il rilevamento avanzato delle minacce.