אבטחת מידע באמצעות Log Analytics

במסמך הזה מתוארות Google Cloud תכונות שיכולות לעזור למנוע גניבת נתונים באמצעות פישינג, מתקפות של גורמים פנימיים או ישויות חיצוניות כשמשתמשים ב-Log Analytics. בנוסף, מוסבר על שני מנועי השאילתות שזמינים ב-Log Analytics ואיך הבחירה במנוע השאילתות משפיעה על הנתונים שאפשר להריץ עליהם שאילתות.

הגבלות על ארגונים

אתם יכולים להשתמש בהגבלות על הארגון כדי להגביל את חשבונות המשתמש כך שתהיה להם גישה רק למשאבים בארגונים מורשים של Google Cloud . בעצם, כשמגדירים הגבלות על הארגון, מגדירים שרת proxy ליציאה. לדוגמה, אפשר להשתמש בהגבלות על ארגון כדי למנוע שילוב של נתונים שאוחסנו על ידי הארגון עם נתונים חיצוניים כשמשתמשים ב-Log Analytics.

מידע נוסף זמין במאמר בנושא הגדרת הגבלות על הארגון.

VPC Service Controls

VPC Service Controls עוזר להגן מפני פעולות מקריות או מכוונות של ישויות חיצוניות או פנימיות, וכך מצמצם את הסיכונים לזליגת נתונים לא רצויה משירותים כמו Cloud Storage ו-BigQuery. Google Cloud אתם יכולים להשתמש ב-VPC Service Controls כדי ליצור גבולות גזרה שמגנים על המשאבים ועל הנתונים של שירותים שאתם מציינים במפורש.

גבול גזרה של VPC Service Controls הוא גבול אבטחה מסביב למשאביGoogle Cloud . היא מאפשרת תקשורת חופשית בתוך ההיקף, אבל כברירת מחדל היא חוסמת תקשורת עם שירותים מעבר להיקף. Google Cloud גבולות גזרה לא חוסמים גישה לאף API או שירות של צד שלישי באינטרנט.

חשוב לא להתבלבל בין מתחם היקפי של VPC Service Controls לבין רשת של ענן וירטואלי פרטי. היקף אבטחה של VPC Service Controls הוא גבול אבטחה.

מידע נוסף זמין במאמר הגדרת גבולות גזרה לשירות.

בחירת מנוע השאילתות של Log Analytics

בעזרת Log Analytics אפשר להריץ שאילתות SQL במנוע ברירת המחדל של Logging או במנוע BigQuery. בסעיף הזה מתוארים ההבדלים בין שתי האפשרויות האלה.

כדי להגדיר את מנוע השאילתות, בדף Log Analytics, משתמשים בתפריט settings הגדרות:

מעבר אל Log Analytics

הרצת שאילתות במנוע השאילתות שמוגדר כברירת מחדל

מנוע השאילתות שמוגדר כברירת מחדל מנוהל על ידי Google Cloud Observability. כשמשתמשים במנוע הזה, אפשר לשלוח שאילתות לגבי:

• יומני צפיות
• תצוגות מפורטות ב-Analytics

בטבלה הבאה מוסבר איך Cloud Logging משתמש בתפקידים של ניהול הזהויות והרשאות הגישה (IAM) כדי לשלוט בגישה לנתונים שהוא מאחסן:

מקור שנשלחה אליו שאילתה על ידי Log Analytics	תפקידי IAM שנדרשים לקריאת נתוני המקור
‫_AllLogs view ב_Required קטגוריית היומן	‫Logs Viewer (roles/logging.viewer) בפרויקט שבו מאוחסנת קטגוריית היומנים _Required.
‫_AllLogs view ב_Default קטגוריית היומן	צפייה ביומנים פרטיים (roles/logging.privateLogViewer) בפרויקט שבו מאוחסנת קטגוריית היומנים _Default.
‫_Default view on the _Default קטגוריה ביומן	‫Logs Viewer (roles/logging.viewer) בפרויקט שבו מאוחסנת קטגוריית היומנים _Default.
תצוגות יומנים בהתאמה אישית (בכל קטגוריה ביומן)	כדי לקבל הרשאת קריאה לכל תצוגות היומנים בפרויקט: בעל הרשאת גישה לתצוגת יומנים (roles/logging.viewAccessor) בפרויקט. כדי לקבל הרשאת קריאה רק לתצוגת יומן ספציפית בפרויקט, צריך להיות לכם אחד מהתפקידים הבאים: בעל הרשאת גישה לתצוגת יומנים (roles/logging.viewAccessor) בפרויקט. עם זאת, צריך לכלול תנאי IAM בתפקיד שמגביל את ההרשאה לתצוגת יומן ספציפית. קישור למזהה שלכם נכלל במדיניות ה-IAM של תצוגת היומן.
תצוגות מפורטות ב-Analytics	כל התנאים הבאים: משתמש עם הרשאת ניתוח נתוני Observability‏ (roles/observability.analyticsUser) בפרויקט. תפקיד ב-IAM שמעניק גישת קריאה לתצוגת היומן שעליה מתבססת תצוגת הניתוח.

מידע נוסף על תפקידים ב-Logging זמין במאמר בקרת גישה באמצעות IAM.

הרצת שאילתות במנוע BigQuery

מנוע BigQuery יכול להריץ שאילתות שכוללות צירופים של תצוגת יומן עם טבלאות אחרות ב-BigQuery. עם זאת, כדי להשתמש במנוע הזה, צריך ליצור מערך נתונים מקושר ב-BigQuery בקטגוריה ביומן המתאימה. מערך נתונים מקושר הוא מערך נתונים ב-BigQuery לקריאה בלבד, שמשמש כאינדיקטור למערך נתונים משותף.

אם יוצרים מערכי נתונים מקושרים עבור מאגרי היומנים, מרחיבים את גבולות האבטחה של הנתונים האלה כך שיכללו את שירותי BigQuery. כלומר, שירותי BigQuery יכולים עכשיו לשלוח שאילתה למערך נתונים מקושר כדי לאחזר את נתוני היומן.

אם מנוע השאילתות מוגדר כ-BigQuery, התנאים הבאים מתקיימים:

• אפשר לשלוח שאילתות לתצוגות של יומנים אם קיים מערך נתונים מקושר ב-BigQuery עבור קטגוריית היומן המשויכת. עם זאת, שירות ניתוח היומנים משפר את השאילתות שנשלחות למנוע BigQuery. לכן, אם תצפו במטא-נתונים של BigQuery, יכול להיות שהם יהיו שונים מהצפוי.

• לפני שמריצים שאילתה, המערכת בודקת את הרשאות IAM ב-BigQuery.

• השאילתות שאתם מריצים במנוע BigQuery כפופות לתמחור של BigQuery.

בטבלה הבאה מפורט איך מנוע BigQuery משתמש ב-IAM כדי לשלוט בגישה לנתוני המקור:

מקור שנשלחה אליו שאילתה על ידי Log Analytics	תפקידי IAM שנדרשים לקריאת נתוני המקור
‫_AllLogs view ב_Required קטגוריית היומן	כל התנאים הבאים: BigQuery Data Viewer (roles/bigquery.dataViewer) בפרויקט או במערך הנתונים המקושר בשביל _Required קטגוריה ביומן. תפקיד IAM שכולל את ההרשאה logging.links.list.
‫_AllLogs view ב_Default קטגוריית היומן	כל התנאים הבאים: BigQuery Data Viewer (roles/bigquery.dataViewer) בפרויקט או במערך הנתונים המקושר בשביל _Default קטגוריה ביומן. תפקיד IAM שכולל את ההרשאה logging.links.list.
‫_Default view בקטגוריית היומן _Default	כל התנאים הבאים: BigQuery Data Viewer (roles/bigquery.dataViewer) בפרויקט או במערך הנתונים המקושר בשביל _Default קטגוריה ביומן. תפקיד IAM שכולל את ההרשאה logging.links.list.
תצוגות יומנים בהתאמה אישית (בכל קטגוריה ביומן)	כל התנאים הבאים: ‫BigQuery Data Viewer (roles/bigquery.dataViewer) בפרויקט או במערך הנתונים המקושר עבור קטגוריה ביומן. תפקיד IAM שכולל את ההרשאה logging.links.list.
תצוגות מפורטות ב-Analytics	לא נתמך.
תצוגת יומן שצורפה לטבלה ב-BigQuery	כל התנאים הבאים: ‫BigQuery Data Viewer (roles/bigquery.dataViewer) בפרויקט או במערכי הנתונים המקושרים של קטגוריה ביומן ובטבלה ב-BigQuery האחרת. תפקיד IAM שכולל את ההרשאה logging.links.list.

מידע על ניהול גישה למערכי נתונים מקושרים ב-BigQuery זמין במאמר בקרת גישה ב-BigQuery.

המאמרים הבאים

• שמירה ושיתוף של שאילתת SQL.
• דוגמאות לשאילתות SQL.
• יצירת תרשים של תוצאות שאילתת SQL.