Dokumen ini menjelaskan fitur Google Cloud yang dapat membantu mencegah eksfiltrasi data melalui phishing, serangan orang dalam, atau entitas eksternal saat Anda menggunakan Log Analytics. Dokumen ini juga menjelaskan dua mesin kueri yang tersedia untuk Log Analytics dan bagaimana pilihan mesin kueri memengaruhi data yang dapat Anda kueri.
Pembatasan organisasi
Anda dapat menggunakan pembatasan organisasi untuk membatasi prinsipal sehingga mereka hanya memiliki akses ke resource di organisasi yang diberi otorisasi Google Cloud . Pada dasarnya, saat mengonfigurasi pembatasan organisasi, Anda mengonfigurasi proxy keluar. Misalnya, Anda dapat menggunakan batasan organisasi untuk mencegah data yang disimpan oleh organisasi digabungkan dengan data eksternal saat Anda menggunakan Log Analytics.
Untuk mempelajari lebih lanjut, lihat Mengonfigurasi batasan organisasi.
Kontrol Layanan VPC
Kontrol Layanan VPC membantu melindungi dari tindakan yang tidak disengaja atau ditargetkan oleh entity eksternal atau entity orang dalam, yang membantu meminimalkan risiko pemindahan data yang tidak sah dan tidak beralasan dari Google Cloud layanan seperti Cloud Storage dan BigQuery. Anda dapat menggunakan Kontrol Layanan VPC untuk membuat perimeter yang melindungi resource dan data layanan yang Anda tentukan secara eksplisit.
Perimeter Kontrol Layanan VPC adalah batas keamanan di sekitar Google Cloud resource. Perantara perimeter memungkinkan komunikasi bebas di dalam perimeter, tetapi secara default, memblokir komunikasi ke layanan di seluruh perimeter. Google Cloud Perimeter tidak memblokir akses ke API atau layanan pihak ketiga mana pun di internet.
Jangan keliru menganggap perimeter Kontrol Layanan VPC sebagai jaringan virtual private cloud. Perimeter Kontrol Layanan VPC adalah batas keamanan.
Untuk mempelajari lebih lanjut, lihat Menyiapkan perimeter layanan.
Memilih mesin kueri Log Analytics
Log Analytics memungkinkan Anda menjalankan kueri SQL di mesin Logging default atau di mesin BigQuery. Bagian ini menjelaskan perbedaan antara kedua opsi tersebut.
Untuk menyetel mesin kueri, di halaman Log Analytics, gunakan menu settings Setelan:
Menjalankan kueri di mesin kueri default
Mesin kueri default dikelola oleh Google Cloud Observability. Saat menggunakan mesin ini, Anda dapat membuat kueri berikut:
Tabel berikut merangkum cara Cloud Logging menggunakan peran Identity and Access Management (IAM) untuk mengontrol akses ke data yang disimpannya:
| Sumber yang dikueri oleh Log Analytics | Peran IAM yang diperlukan untuk membaca data sumber |
|---|---|
_AllLogs tampilandi bucket log _Required |
Logs Viewer (roles/logging.viewer)di project yang menyimpan bucket log _Required. |
_AllLogs tampilandi bucket log _Default |
Private Logs Viewer (roles/logging.privateLogViewer)di project yang menyimpan bucket log _Default. |
_Default viewdi bucket log _Default |
Logs Viewer (roles/logging.viewer)di project yang menyimpan bucket log _Default. |
| Tampilan log kustom (di bucket log mana pun) |
Untuk akses baca ke semua tampilan log dalam project: Untuk akses baca hanya ke tampilan log tertentu dalam project, salah satu dari berikut ini:
|
| Tampilan Analytics | Semua hal berikut:
|
Untuk mempelajari peran Logging lebih lanjut, lihat Kontrol akses dengan IAM.
Menjalankan kueri di mesin BigQuery
Mesin BigQuery dapat menjalankan kueri yang menyertakan gabungan tampilan log dengan tabel BigQuery lainnya. Namun, untuk menggunakan mesin ini, Anda harus membuat set data BigQuery yang ditautkan di bucket log yang sesuai. Set data tertaut adalah set data BigQuery hanya baca yang berfungsi sebagai penunjuk ke set data bersama.
Jika Anda membuat set data tertaut untuk bucket log, Anda akan memperluas batas keamanan data tersebut untuk menyertakan layanan BigQuery. Artinya, layanan BigQuery kini dapat mengkueri data log Anda dengan mengeluarkan kueri ke set data tertaut.
Jika Anda menyetel mesin kueri ke BigQuery, maka pernyataan berikut benar:
Anda dapat mengkueri tampilan log jika set data BigQuery tertaut ada untuk bucket log terkait. Namun, layanan Log Analytics meningkatkan kualitas kueri yang dikirim ke mesin BigQuery. Oleh karena itu, jika Anda melihat metadata BigQuery, metadata tersebut mungkin berbeda dari yang diharapkan.
Sebelum kueri dijalankan, izin IAM BigQuery Anda diperiksa.
Kueri yang Anda jalankan di mesin BigQuery tunduk pada harga BigQuery.
Tabel berikut merangkum cara mesin BigQuery menggunakan IAM untuk mengontrol akses ke data sumber:
| Sumber yang dikueri oleh Log Analytics | Peran IAM yang diperlukan untuk membaca data sumber |
|---|---|
_AllLogs tampilandi bucket log _Required |
Semua hal berikut:
|
_AllLogs tampilandi bucket log _Default |
Semua hal berikut:
|
_Default tampilandi bucket log _Default |
Semua hal berikut:
|
| Tampilan log kustom (di bucket log mana pun) |
Semua hal berikut:
|
| Tampilan Analytics | Tidak didukung. |
| Tampilan log digabungkan dengan tabel BigQuery |
Semua hal berikut:
|
Untuk mempelajari cara mengelola akses ke set data BigQuery tertaut, lihat Kontrol Akses BigQuery.