Datensicherheit mit Log Analytics

In diesem Dokument werden Google Cloud Funktionen beschrieben, die dazu beitragen können, Datenexfiltration durch Phishing, Insider-Angriffe oder externe Entitäten zu verhindern, wenn Sie Log Analytics verwenden. Außerdem werden die beiden Abfrage-Engines beschrieben, die für Loganalysen verfügbar sind, und es wird erläutert, wie sich die Auswahl der Abfrage-Engine auf die Daten auswirkt, die Sie abfragen können.

Organisationsbeschränkungen

Mit Organisationseinschränkungen können Sie Hauptkonten so einschränken, dass sie nur Zugriff auf Ressourcen in autorisierten Google Cloud Organisationen haben. Wenn Sie Organisationseinschränkungen konfigurieren, konfigurieren Sie im Grunde einen Egress-Proxy. Sie können beispielsweise Organisationsbeschränkungen verwenden, um zu verhindern, dass Daten, die von der Organisation gespeichert werden, mit externen Daten kombiniert werden, wenn Sie Log Analytics verwenden.

Weitere Informationen finden Sie unter Organisationseinschränkungen konfigurieren.

VPC Service Controls

VPC Service Controls schützt vor versehentlichen oder gezielten Maßnahmen externer oder interner Entitäten, wodurch das Risiko unerwünschter Daten-Exfiltration aus Google Cloud Diensten wie Cloud Storage und BigQuery verringert wird. Mit VPC Service Controls können Sie Perimeter zum Schutz von Ressourcen und Daten von Diensten erstellen, die Sie explizit angeben.

Ein Perimeter für VPC Service Controls ist eine Sicherheitsgrenze umGoogle Cloud -Ressourcen. Er ermöglicht die uneingeschränkte Kommunikation innerhalb des Perimeters, unterbindet aber standardmäßig die Kommunikation mit Diensten von Google Cloud im Perimeter. Ein Perimeter blockiert nicht den Zugriff auf APIs oder Dienste von Drittanbietern im Internet.

Verwechseln Sie einen VPC Service Controls-Perimeter nicht mit einem Virtual Private Cloud-Netzwerk. Ein VPC Service Controls-Perimeter ist eine Sicherheitsgrenze.

Weitere Informationen finden Sie unter Dienstperimeter einrichten.

Log Analytics-Abfrage-Engine auswählen

Mit Log Analytics können Sie Ihre SQL-Abfragen entweder in der Standard-Logging-Engine oder in der BigQuery-Engine ausführen. In diesem Abschnitt werden die Unterschiede zwischen diesen beiden Optionen beschrieben.

So legen Sie die Abfrage-Engine auf der Seite Loganalysen fest: Verwenden Sie das Menü  Einstellungen:

Zu Loganalysen

Abfragen in der Standard-Abfrage-Engine ausführen

Die Standard-Abfrage-Engine wird von Google Cloud Observability verwaltet. Wenn Sie diese Engine verwenden, können Sie Folgendes abfragen:

In der folgenden Tabelle wird zusammengefasst, wie Cloud Logging IAM-Rollen verwendet, um den Zugriff auf die gespeicherten Daten zu steuern:

Von Loganalysen abgefragte Quelle Erforderliche IAM-Rolle(n) zum Lesen von Quelldaten
_AllLogs-Ansicht
im _Required-Log-Bucket		 Loganzeige (roles/logging.viewer)
für das Projekt, in dem der _Required-Log-Bucket gespeichert ist.
_AllLogs-Ansicht
im _Default-Log-Bucket		 Betrachter privater Logs (roles/logging.privateLogViewer)
für das Projekt, in dem der _Default-Log-Bucket gespeichert ist.
_Default-Ansicht
im _Default-Log-Bucket		 Loganzeige (roles/logging.viewer)
für das Projekt, in dem der _Default-Log-Bucket gespeichert ist.
Benutzerdefinierte Logansichten
(für einen beliebigen Log-Bucket)

Für Lesezugriff auf alle Logansichten in einem Projekt:
Logs View Accessor (roles/logging.viewAccessor) für das Projekt.

Für den Lesezugriff auf nur eine bestimmte Logansicht in einem Projekt ist eine der folgenden Optionen erforderlich:
Analytics-Datenansichten

Alle der folgenden Punkte:

  • Observability Analytics User (roles/observability.analyticsUser)
    für das Projekt.
  • Eine IAM-Rolle, die Lesezugriff auf die Logansicht gewährt, die von der Analyseansicht abgefragt wird.

Weitere Informationen zu Logging-Rollen finden Sie unter Zugriffssteuerung mit IAM.

Abfragen in der BigQuery-Engine ausführen

Die BigQuery-Engine kann Abfragen ausführen, die Joins einer Log-Ansicht mit anderen BigQuery-Tabellen enthalten. Wenn Sie diese Engine verwenden möchten, müssen Sie jedoch ein verknüpftes BigQuery-Dataset für den entsprechenden Log-Bucket erstellen. Ein verknüpftes Dataset ist ein schreibgeschütztes BigQuery-Dataset, das als Verweis auf ein freigegebenes Dataset dient.

Wenn Sie verknüpfte Datasets für Ihre Log-Buckets erstellen, erweitern Sie die Sicherheitsgrenze dieser Daten auf BigQuery-Dienste. Das bedeutet, dass BigQuery-Dienste Ihre Logdaten jetzt abfragen können, indem sie eine Anfrage an ein verknüpftes Dataset senden.

Wenn Sie BigQuery als Abfrage-Engine festlegen, gilt Folgendes:

  • Sie können Logansichten abfragen, wenn für den zugehörigen Log-Bucket ein verknüpftes BigQuery-Dataset vorhanden ist. Der Log Analytics-Dienst optimiert jedoch Abfragen, die an die BigQuery-Engine gesendet werden. Wenn Sie BigQuery-Metadaten aufrufen, können diese daher von den erwarteten Metadaten abweichen.

  • Bevor eine Abfrage ausgeführt wird, werden Ihre BigQuery-IAM-Berechtigungen geprüft.

  • Für Abfragen, die Sie in der BigQuery-Engine ausführen, gelten die BigQuery-Preise.

In der folgenden Tabelle wird zusammengefasst, wie die BigQuery-Engine IAM verwendet, um den Zugriff auf die Quelldaten zu steuern:

Von Loganalysen abgefragte Quelle Erforderliche IAM-Rolle(n) zum Lesen von Quelldaten
_AllLogs-Ansicht
für den _Required-Log-Bucket

Alle der folgenden Punkte:
_AllLogs-Ansicht
für den _Default-Log-Bucket

Alle der folgenden Punkte:
_Default-Ansicht
für den _Default-Log-Bucket

Alle der folgenden Punkte:
Benutzerdefinierte Logansichten
(für einen beliebigen Log-Bucket)

Alle der folgenden Punkte:
Analytics-Datenansichten Nicht unterstützt.
Log-Ansicht, die mit einer BigQuery-Tabelle
verknüpft ist

Alle der folgenden Punkte:

Informationen zum Verwalten des Zugriffs auf verknüpfte BigQuery-Datasets finden Sie unter BigQuery-Zugriffssteuerung.

Nächste Schritte