אבטחת מידע באמצעות Observability Analytics

במסמך הזה מתוארות Google Cloud תכונות שיכולות לעזור לכם למנוע גניבת נתונים באמצעות פישינג, מתקפות של גורמים פנימיים או ישויות חיצוניות כשאתם משתמשים ב-Observability Analytics. במאמר הזה מתוארים גם שני מנועי השאילתות שזמינים ב-Observability Analytics, ומוסבר איך הבחירה במנוע השאילתות משפיעה על הנתונים שאפשר להריץ עליהם שאילתות.

הגבלות על ארגונים

אתם יכולים להשתמש בהגבלות על הארגון כדי להגביל את חשבונות המשתמש כך שתהיה להם גישה רק למשאבים בארגונים מורשים של Google Cloud . בעצם, כשמגדירים הגבלות על הארגון, מגדירים שרת proxy ליציאה. לדוגמה, אתם יכולים להשתמש בהגבלות על הארגון כדי למנוע שילוב של נתונים שאוחסנו על ידי הארגון עם נתונים חיצוניים כשאתם משתמשים ב-Observability Analytics.

מידע נוסף זמין במאמר בנושא הגדרת הגבלות על הארגון.

VPC Service Controls

VPC Service Controls עוזר להגן מפני פעולות מקריות או מכוונות של ישויות חיצוניות או פנימיות, וכך לצמצם את הסיכונים לזליגת נתונים לא רצויה משירותים כמו Cloud Storage ו-BigQuery. Google Cloud אתם יכולים להשתמש ב-VPC Service Controls כדי ליצור גבולות גזרה שמגנים על המשאבים ועל הנתונים של שירותים שאתם מציינים באופן מפורש.

גבול גזרה של VPC Service Controls הוא גבול אבטחה מסביב לGoogle Cloud משאבים. הוא מאפשר תקשורת חופשית בתוך גבולות הגזרה, אבל כברירת מחדל הוא חוסם תקשורת עם שירותים מעבר לגבולות הגזרה. Google Cloud גבולות גזרה לא חוסמים גישה לאף API או שירות של צד שלישי באינטרנט.

חשוב לא להתבלבל בין גבולות גזרה של VPC Service Controls לבין רשת של ענן וירטואלי פרטי. היקף אבטחה של VPC Service Controls הוא גבול אבטחה.

מידע נוסף זמין במאמר הגדרת גבולות גזרה לשירות.

בחירת מנוע השאילתות של Observability Analytics

בעזרת Observability Analytics אפשר להריץ שאילתות SQL במנוע ברירת המחדל של Logging או במנוע BigQuery. בסעיף הזה מתוארים ההבדלים בין שתי האפשרויות האלה.

כדי להגדיר את מנוע השאילתות, בדף Observability Analytics, משתמשים בתפריט הגדרות:

מעבר אל Log Analytics

הרצת שאילתות במנוע השאילתות שמוגדר כברירת מחדל

מנוע השאילתות שמוגדר כברירת מחדל מנוהל על ידי Google Cloud Observability. כשמשתמשים במנוע הזה, אפשר לשלוח שאילתות לגבי:

בטבלה הבאה מפורט סיכום של האופן שבו Cloud Logging משתמש בתפקידים של ניהול זהויות והרשאות גישה (IAM) כדי לשלוט בגישה לנתונים שהוא מאחסן:

מקור שנשלחה אליו שאילתה על ידי Observability Analytics תפקידי IAM שנדרשים לקריאת נתוני המקור
_AllLogs view
ב_Required קטגוריית היומן
Logs Viewer (מציג היומנים) (roles/logging.viewer)
בפרויקט שבו מאוחסנת קטגוריית היומנים _Required.
_AllLogs view
ב_Default קטגוריית היומן
Private Logs Viewer (roles/logging.privateLogViewer)
בפרויקט שבו מאוחסנת קטגוריית היומנים _Default.
_Default view
ב_Default קטגוריה ביומן
Logs Viewer (מציג היומנים) (roles/logging.viewer)
בפרויקט שבו מאוחסנת קטגוריית היומנים _Default.
תצוגות יומנים בהתאמה אישית
(בכל קטגוריה ביומן)

כדי לקבל הרשאת קריאה לכל תצוגות היומנים בפרויקט:
בעל הרשאת גישה לתצוגת יומנים (roles/logging.viewAccessor) בפרויקט.

כדי לקבל הרשאת קריאה רק לתצוגת יומן ספציפית בפרויקט, צריך להיות לכם אחד מהתפקידים הבאים:

תצוגות מפורטות ב-Analytics

כל התנאים הבאים:

מידע נוסף על תפקידים ב-Logging זמין במאמר בקרת גישה באמצעות IAM.

הרצת שאילתות במנוע BigQuery

מנוע BigQuery יכול להריץ שאילתות שכוללות צירופים של תצוגת יומן עם טבלאות אחרות ב-BigQuery. עם זאת, כדי להשתמש במנוע הזה, צריך ליצור מערך נתונים מקושר ב-BigQuery בקטגוריה ביומן המתאימה. מערך נתונים מקושר הוא מערך נתונים ב-BigQuery שמוגדר לקריאה בלבד ומשמש כאינדיקטור למערך נתונים משותף.

אם יוצרים מערכי נתונים מקושרים עבור מאגרי היומנים, מרחיבים את גבולות האבטחה של הנתונים האלה כך שיכללו את שירותי BigQuery. כלומר, שירותי BigQuery יכולים עכשיו להריץ שאילתות על נתוני היומנים שלכם על ידי שליחת שאילתה למערך נתונים מקושר.

אם מנוע השאילתות מוגדר כ-BigQuery, התנאים הבאים מתקיימים:

  • אפשר לשלוח שאילתות לתצוגות של יומנים אם קיים מערך נתונים מקושר ב-BigQuery עבור קטגוריית היומן המשויכת. עם זאת, שירות Observability Analytics משפר את השאילתות שנשלחות למנוע BigQuery. לכן, אם תצפו במטא-נתונים של BigQuery, יכול להיות שהם יהיו שונים מהצפוי.

  • לפני שמריצים שאילתה, המערכת בודקת את הרשאות ה-IAM שלכם ב-BigQuery.

  • השאילתות שאתם מריצים במנוע BigQuery כפופות לתמחור של BigQuery.

בטבלה הבאה מפורט איך מנוע BigQuery משתמש ב-IAM כדי לשלוט בגישה לנתוני המקור:

מקור שנשלחה אליו שאילתה על ידי Observability Analytics תפקידי IAM שנדרשים לקריאת נתוני המקור
_AllLogs view
בקטגוריית היומן _Required

כל התנאים הבאים:

_AllLogs view
בקטגוריית היומן _Default

כל התנאים הבאים:

_Default view
בקטגוריית היומן _Default

כל התנאים הבאים:

תצוגות יומנים בהתאמה אישית
(בכל קטגוריה ביומן)

כל התנאים הבאים:

תצוגות מפורטות ב-Analytics לא נתמך.
תצוגת יומן שצורפה לטבלה ב-BigQuery

כל התנאים הבאים:

מידע על ניהול גישה למערכי נתונים מקושרים ב-BigQuery זמין במאמר בקרת גישה ב-BigQuery.

המאמרים הבאים