Este documento descreve os recursos do Google Cloud que podem ajudar a evitar a exfiltração de dados por phishing, ataques internos ou entidades externas ao usar o Log Analytics. Também descreve os dois mecanismos de consulta disponíveis para a Análise de dados de registros e como a escolha do mecanismo afeta os dados que podem ser consultados.
Restrições para organizações
Você pode usar restrições da organização para limitar os principais de forma que eles só tenham acesso a recursos em organizações Google Cloud autorizadas. Basicamente, ao configurar restrições para organizações, você está configurando um proxy de saída. Por exemplo, é possível usar restrições para organizações para impedir que os dados armazenados por ela sejam combinados com dados externos ao usar a análise de registros.
Para saber mais, consulte Configurar restrições da organização.
VPC Service Controls
O VPC Service Controls ajuda a proteger contra ações acidentais ou direcionadas de entidades externas ou pessoas com informações privilegiadas, o que ajuda a minimizar os riscos de exfiltração não intencional de dados de serviços do Google Cloud , como o Cloud Storage e o BigQuery. É possível usar o VPC Service Controls para criar perímetros que protejam os recursos e os dados de serviços especificados explicitamente.
Um perímetro do VPC Service Controls é um limite de segurança em torno dos recursos doGoogle Cloud . Ele permite a comunicação livre dentro do perímetro, mas, por padrão, bloqueia a comunicação com os serviços do Google Cloud em todo o perímetro. Um perímetro não bloqueia o acesso a APIs ou serviços de terceiros na Internet.
Não confunda um perímetro do VPC Service Controls com uma rede de nuvem privada virtual. Um perímetro do VPC Service Controls é um limite de segurança.
Para saber mais, consulte Configurar um perímetro de serviço.
Escolher o mecanismo de consulta da Análise de registros
Com a análise de registros, é possível executar consultas SQL no mecanismo de geração de registros padrão ou no BigQuery. Esta seção descreve as diferenças entre essas duas opções.
Para definir o mecanismo de consulta, na página Análise de dados de registros, use o menu settings Configurações:
Executar consultas no mecanismo de consulta padrão
O mecanismo de consulta padrão é gerenciado pelo Google Cloud Observability. Ao usar esse mecanismo, você pode consultar o seguinte:
A tabela a seguir resume como o Cloud Logging usa os papéis do Identity and Access Management (IAM) para controlar o acesso aos dados armazenados:
| Origem consultada pela Análise de dados de registros | Papéis do IAM necessários para ler dados de origem |
|---|---|
_AllLogs visualizaçãono bucket de registros _Required |
Leitor de registros (roles/logging.viewer)no projeto que armazena o bucket de registros _Required. |
_AllLogs visualizaçãono bucket de registros _Default |
Leitor de registros particulares (roles/logging.privateLogViewer)no projeto que armazena o bucket de registros _Default. |
_Default viewno bucket de registros _Default |
Leitor de registros (roles/logging.viewer)no projeto que armazena o bucket de registros _Default. |
| Visualizações de registros personalizadas (em qualquer bucket de registros) |
Para acesso de leitura a todas as visualizações de registros em um projeto: Para acesso de leitura a apenas uma visualização de registros específica em um projeto, faça uma das seguintes ações:
|
| Vistas do Google Analytics | Todas as opções a seguir:
|
Para saber mais sobre os papéis do Logging, consulte Controle de acesso com o IAM.
Executar consultas no mecanismo do BigQuery
O mecanismo do BigQuery pode executar consultas que incluem junções de uma visualização de registros com outras tabelas do BigQuery. No entanto, para usar esse mecanismo, crie um conjunto de dados vinculado do BigQuery no bucket de registros correspondente. Um conjunto de dados vinculado é um conjunto de dados somente leitura do BigQuery que serve como um ponteiro para um conjunto de dados compartilhado.
Se você criar conjuntos de dados vinculados para seus buckets de registros, vai expandir o limite de segurança desses dados para incluir os serviços do BigQuery. Ou seja, os serviços do BigQuery agora podem consultar seus dados de registro emitindo uma consulta para um conjunto de dados vinculado.
Se você definir o mecanismo de consulta como BigQuery, as seguintes afirmações serão verdadeiras:
É possível consultar visualizações de registros quando há um conjunto de dados vinculado do BigQuery para o bucket de registros associado. No entanto, o serviço de análise de registros melhora as consultas enviadas ao mecanismo do BigQuery. Por isso, os metadados do BigQuery podem ser diferentes do esperado.
Antes de uma consulta ser executada, suas permissões do IAM do BigQuery são verificadas.
As consultas executadas no mecanismo do BigQuery estão sujeitas aos preços do BigQuery.
A tabela a seguir resume como o mecanismo do BigQuery usa o IAM para controlar o acesso aos dados de origem:
| Origem consultada pela Análise de dados de registros | Papéis do IAM necessários para ler dados de origem |
|---|---|
_AllLogsvisualizaçãono bucket de registros _Required |
Todas as opções a seguir:
|
_AllLogsvisualizaçãono bucket de registros _Default |
Todas as opções a seguir:
|
_Default viewno bucket de registros _Default |
Todas as opções a seguir:
|
| Visualizações de registros personalizadas (em qualquer bucket de registros) |
Todas as opções a seguir:
|
| Vistas do Google Analytics | Incompatível. |
| Visualização de registros mesclada com uma tabela do BigQuery |
Todas as opções a seguir:
|
Para saber como gerenciar o acesso a conjuntos de dados vinculados do BigQuery, consulte Controle de acesso do BigQuery.
A seguir
- Salvar e compartilhar uma consulta SQL.
- Exemplos de consultas SQL.
- Representar os resultados da consulta SQL em um gráfico.