Sicurezza dei dati con l'analisi dei log

Questo documento descrive le funzionalità che possono aiutare a prevenire l'esfiltrazione di dati tramite phishing, attacchi interni o entità esterne quando utilizzi Log Analytics. Google Cloud Descrive inoltre i due motori di query disponibili per Analisi dei log e come la scelta del motore di query influisce sui dati che puoi interrogare.

Restrizioni dell'organizzazione

Puoi utilizzare le restrizioni dell'organizzazione per limitare le entità in modo che abbiano accesso solo alle risorse nelle organizzazioni Google Cloud autorizzate. In sostanza, quando configuri restrizioni dell'organizzazionee, configuri un proxy in uscita. Ad esempio, puoi utilizzarerestrizioni dell'organizzazionee per impedire la combinazione dei dati archiviati dall'organizzazione con dati esterni quando utilizzi Log Analytics.

Per saperne di più, consulta Configurare le limitazioni dell'organizzazione.

Controlli di servizio VPC

Controlli di servizio VPC contribuiscono a proteggere da azioni accidentali o mirate da parte di entità esterne o interne, il che aiuta a ridurre al minimo i rischi di esfiltrazione di dati non autorizzata da servizi Google Cloud come Cloud Storage e BigQuery. Puoi utilizzare i Controlli di servizio VPC per creare perimetri che proteggono le risorse e i dati dei servizi che specifichi in modo esplicito.

Un perimetro dei Controlli di servizio VPC è un confine di sicurezza intorno alle risorseGoogle Cloud . Consente la libera comunicazione all'interno del perimetro, ma blocca per impostazione predefinita la comunicazione con i servizi Google Cloud all'esterno del perimetro. Un perimetro non blocca l'accesso a servizi o API di terze parti su internet.

Non confondere un perimetro dei Controlli di servizio VPC con una rete Virtual Private Cloud. Un perimetro dei Controlli di servizio VPC è un confine di sicurezza.

Per saperne di più, consulta Configurare un perimetro di servizio.

Scegliere il motore di query di Log Analytics

Analisi dei log ti consente di eseguire le query SQL sul motore Logging predefinito o sul motore BigQuery. Questa sezione descrive le differenze tra queste due opzioni.

Per impostare il motore di query, nella pagina Analisi dei log, utilizza il menu Impostazioni:

Vai ad Analisi dei log

Esegui query sul motore di query predefinito

Il motore di query predefinito è gestito da Google Cloud Observability. Quando utilizzi questo motore, puoi eseguire query su quanto segue:

La seguente tabella riassume come Cloud Logging utilizza i ruoli Identity and Access Management (IAM) per controllare l'accesso ai dati che archivia:

Origine sottoposta a query da Analisi dei log Ruolo o ruoli IAM richiesti per leggere i dati di origine
_AllLogs visualizzazione
nel bucket di log _Required		 Visualizzatore log (roles/logging.viewer)
sul progetto che archivia il bucket log _Required.
_AllLogs visualizzazione
nel bucket di log _Default		 Visualizzatore log privati (roles/logging.privateLogViewer)
sul progetto che archivia il bucket di log _Default.
_Default visualizzazione
nel _Default bucket di log		 Visualizzatore log (roles/logging.viewer)
sul progetto che archivia il bucket log _Default.
Visualizzazioni dei log personalizzate
(in qualsiasi bucket di log)

Per l'accesso in lettura a tutte le visualizzazioni dei log in un progetto:
Logs View Accessor (roles/logging.viewAccessor) nel progetto.

Per l'accesso in lettura a una sola visualizzazione di log specifica in un progetto, una delle seguenti opzioni:

  • Logs View Accessor (roles/logging.viewAccessor)
    sul progetto. Tuttavia, includi una condizione IAM nel ruolo che limita la concessione a una visualizzazione log specifica.
  • Un binding per il tuo ID è incluso nelle norme IAM per la visualizzazione di log.
Viste Analytics

Tutti i seguenti elementi:

Per saperne di più sui ruoli Logging, consulta Controllo dell'accesso con IAM.

Esegui query sul motore BigQuery

Il motore BigQuery può eseguire query che includono unioni di una visualizzazione log con altre tabelle BigQuery. Tuttavia, per utilizzare questo motore, devi creare un set di dati BigQuery collegato nel bucket di log corrispondente. Un set di dati collegato è un set di dati BigQuery di sola lettura che funge da puntatore a un set di dati condiviso.

Se crei set di dati collegati per i bucket di log, espandi il perimetro di sicurezza di questi dati in modo da includere i servizi BigQuery. ovvero i servizi BigQuery ora possono eseguire query sui dati di log inviando una query a un set di dati collegato.

Se imposti il motore di query su BigQuery, le seguenti affermazioni sono vere:

  • Puoi eseguire query sulle visualizzazioni dei log quando esiste un set di dati BigQuery collegato per il bucket dei log associato. Tuttavia, il servizio Log Analytics migliora le query inviate al motore BigQuery. Per questo motivo, se visualizzi i metadati di BigQuery, potrebbero essere diversi da quanto previsto.

  • Prima dell'esecuzione di una query, vengono controllate le tue autorizzazioni IAM BigQuery.

  • Le query eseguite sul motore BigQuery sono soggette ai prezzi di BigQuery.

La tabella seguente riepiloga il modo in cui il motore BigQuery utilizza IAM per controllare l'accesso ai dati di origine:

Origine sottoposta a query da Analisi dei log Ruolo o ruoli IAM richiesti per leggere i dati di origine
_AllLogs visualizzazione
nel _Required bucket di log

Tutti i seguenti elementi:
_AllLogs visualizzazione
nel _Default bucket di log

Tutti i seguenti elementi:
_Default visualizzazione
nel _Default bucket di log

Tutti i seguenti elementi:
Visualizzazioni dei log personalizzate
(in qualsiasi bucket di log)

Tutti i seguenti elementi:
Viste Analytics Non supportati.
Visualizzazione log unita a
una tabella BigQuery

Tutti i seguenti elementi:

Per scoprire di più sulla gestione dell'accesso ai set di dati BigQuery collegati, consulta la sezione Controllo dell'accesso a BigQuery.

Passaggi successivi