Sécurité des données avec l'Analyse de journaux

Ce document décrit les fonctionnalités Google Cloud qui peuvent vous aider à empêcher l'exfiltration de données par hameçonnage, attaques internes ou entités externes lorsque vous utilisez Log Analytics. Il décrit également les deux moteurs de requêtes disponibles pour l'analyse des journaux et explique comment le choix du moteur de requêtes affecte les données que vous pouvez interroger.

Restrictions sur les organisations

Vous pouvez utiliser des restrictions sur les organisations pour limiter les comptes principaux afin qu'ils n'aient accès qu'aux ressources des organisations Google Cloud autorisées. En d'autres termes, lorsque vous configurez des restrictions sur les organisations, vous configurez un proxy de sortie. Par exemple, vous pouvez utiliser des restrictions sur les organisations pour empêcher la combinaison des données stockées par l'organisation avec des données externes lorsque vous utilisez Log Analytics.

Pour en savoir plus, consultez Configurer les restrictions de l'organisation.

VPC Service Controls

VPC Service Controls vous aide à vous protéger contre les actions accidentelles ou ciblées par des entités externes ou des entités internes, ce qui permet de minimiser les risques d'exfiltration de données non justifiée à partir de services Google Cloud tels que Cloud Storage et BigQuery. VPC Service Controls vous permet de créer des périmètres qui protègent les ressources et les données des services que vous spécifiez explicitement.

Un périmètre VPC Service Controls est une limite de sécurité autour des ressourcesGoogle Cloud . Il permet une communication libre au sein du périmètre, mais bloque par défaut la communication avec les services Google Cloud du périmètre. Un périmètre ne bloque pas l'accès aux API ni aux services tiers sur Internet.

Ne confondez pas un périmètre VPC Service Controls avec un réseau de cloud privé virtuel. Un périmètre VPC Service Controls est une limite de sécurité.

Pour en savoir plus, consultez Configurer un périmètre de service.

Choisir votre moteur de requête Log Analytics

L'Analyse de journaux vous permet d'exécuter vos requêtes SQL sur le moteur de journalisation par défaut ou sur le moteur BigQuery. Cette section décrit les différences entre ces deux options.

Pour définir le moteur de requêtes, sur la page Analyse de journaux, utilisez le menu settings Paramètres :

Accéder à l'Analyse de journaux

Exécuter des requêtes sur le moteur de requête par défaut

Le moteur de requête par défaut est géré par Google Cloud Observability. Lorsque vous utilisez ce moteur, vous pouvez interroger les éléments suivants :

• Vues des journaux
• Vues Analytics

Le tableau suivant récapitule la façon dont Cloud Logging utilise les rôles Identity and Access Management (IAM) pour contrôler l'accès aux données qu'il stocke :

Source interrogée par l'Analyse de journaux	Rôle(s) IAM requis pour lire les données sources
_AllLogs afficher sur le bucket de journaux _Required	Visionneuse de journaux (roles/logging.viewer) sur le projet qui stocke le bucket de journaux _Required.
_AllLogs afficher sur le bucket de journaux _Default	Lecteur des journaux privés (roles/logging.privateLogViewer) sur le projet qui stocke le bucket de journaux _Default.
_Default afficher sur le bucket de journaux _Default	Visionneuse de journaux (roles/logging.viewer) sur le projet qui stocke le bucket de journaux _Default.
Vues de journaux personnalisées (dans n'importe quel bucket de journaux)	Pour accéder en lecture à toutes les vues de journaux d'un projet : Accesseur de vues de journaux (roles/logging.viewAccessor) sur le projet. Pour accéder en lecture seule à une vue de journaux spécifique dans un projet, vous devez disposer de l'un des éléments suivants : Accesseur de vues de journaux (roles/logging.viewAccessor) sur le projet. Toutefois, incluez une condition IAM sur le rôle qui limite l'accès à une vue de journaux spécifique. Une liaison pour votre ID est incluse dans la stratégie IAM de la vue des journaux.
Vues Analytics	Toutes les conditions suivantes : Utilisateur Observability Analytics (roles/observability.analyticsUser) sur le projet. Rôle IAM qui fournit un accès en lecture à la vue de journal interrogée par la vue analytique.

Pour en savoir plus sur les rôles Logging, consultez la page Contrôle des accès avec IAM.

Exécuter des requêtes sur le moteur BigQuery

Le moteur BigQuery peut exécuter des requêtes qui incluent des jointures d'une vue de journaux avec d'autres tables BigQuery. Toutefois, pour utiliser ce moteur, vous devez créer un ensemble de données BigQuery associé dans le bucket de journaux correspondant. Un ensemble de données associé est un ensemble de données BigQuery en lecture seule qui sert de pointeur vers un ensemble de données partagé.

Si vous créez des ensembles de données associés pour vos buckets de journaux, vous étendez la limite de sécurité de ces données pour inclure les services BigQuery. En d'autres termes, les services BigQuery peuvent désormais interroger vos données de journaux en envoyant une requête à un ensemble de données associé.

Si vous définissez le moteur de requête sur BigQuery, les affirmations suivantes sont vraies :

• Vous pouvez interroger les vues de journaux lorsqu'un ensemble de données BigQuery associé existe pour le bucket de journaux correspondant. Toutefois, le service d'analyse des journaux améliore les requêtes envoyées au moteur BigQuery. Par conséquent, si vous consultez les métadonnées BigQuery, elles peuvent être différentes de ce à quoi vous vous attendez.

• Avant l'exécution d'une requête, vos autorisations IAM BigQuery sont vérifiées.

• Les requêtes que vous exécutez sur le moteur BigQuery sont soumises à la tarification de BigQuery.

Le tableau suivant récapitule la façon dont le moteur BigQuery utilise IAM pour contrôler l'accès aux données sources :

Source interrogée par l'Analyse de journaux	Rôle(s) IAM requis pour lire les données sources
_AllLogs view sur le bucket de journaux _Required	Toutes les conditions suivantes : Lecteur de données BigQuery (roles/bigquery.dataViewer) sur le projet ou sur l'ensemble de données associé pour le bucket de journaux _Required. Un rôle IAM incluant l'autorisation logging.links.list.
_AllLogs view sur le bucket de journaux _Default	Toutes les conditions suivantes : Lecteur de données BigQuery (roles/bigquery.dataViewer) sur le projet ou sur l'ensemble de données associé pour le bucket de journaux _Default. Un rôle IAM incluant l'autorisation logging.links.list.
_Default Afficher sur le bucket de journaux _Default	Toutes les conditions suivantes : Lecteur de données BigQuery (roles/bigquery.dataViewer) sur le projet ou sur l'ensemble de données associé pour le bucket de journaux _Default. Un rôle IAM incluant l'autorisation logging.links.list.
Vues de journaux personnalisées (dans n'importe quel bucket de journaux)	Toutes les conditions suivantes : Lecteur de données BigQuery (roles/bigquery.dataViewer) sur le projet ou sur l'ensemble de données associé pour le bucket de journaux. Un rôle IAM incluant l'autorisation logging.links.list.
Vues Analytics	Non compatible
Vue des journaux jointe à une table BigQuery	Toutes les conditions suivantes : Lecteur de données BigQuery (roles/bigquery.dataViewer) sur le projet ou sur les ensembles de données associés pour le bucket de journaux et l'autre table BigQuery. Un rôle IAM incluant l'autorisation logging.links.list.

Pour savoir comment gérer l'accès aux ensembles de données BigQuery associés, consultez Contrôle des accès dans BigQuery.

Étapes suivantes

• Enregistrer et partager une requête SQL
• Exemples de requêtes SQL
• Représenter les résultats d'une requête SQL sous forme de graphique