Este documento recomenda uma sequência de tarefas de registo de auditoria para ajudar a sua organização a manter a segurança e minimizar o risco.
Este documento não é uma lista exaustiva de recomendações. Em vez disso, o objetivo é ajudar a compreender o âmbito das atividades de registo de auditoria e planear em conformidade.
Cada secção fornece ações importantes e inclui links para leitura adicional.
Compreenda os registos de auditoria do Cloud
Os registos de auditoria estão disponíveis para a maioria dos Google Cloud serviços. Os registos de auditoria do Google Cloud fornecem os seguintes tipos de registos de auditoria para cada Google Cloud projeto, conta de faturação, pasta e organização:
| Tipo de registo de auditoria | Configurável | Cobrável |
|---|---|---|
| Registos de auditoria da atividade do administrador | Não; sempre escrito | Não |
| Registos de auditoria de acesso aos dados | Sim | Sim |
| Registos de auditoria de políticas recusadas | Sim. Pode excluir estes registos da gravação em contentores de registos | Sim |
| Registos de auditoria de eventos do sistema | Não; sempre escrito | Não |
Os registos de auditoria de acesso a dados, exceto para o BigQuery, estão desativados por predefinição. Se quiser que os registos de auditoria de acesso a dados sejam escritos para os serviços Google Cloud, tem de os ativar explicitamente. Para obter detalhes, consulte a secção Configure os registos de auditoria de acesso a dados nesta página.
Para obter informações sobre o panorama geral do registo de auditoria com o Google Cloud, consulte a vista geral do Cloud Audit Logs.
Controle o acesso aos registos
Devido à sensibilidade dos dados de registo de auditoria, é especialmente importante configurar os controlos de acesso adequados para os utilizadores da sua organização.
Consoante os requisitos de conformidade e utilização, defina estes controlos de acesso da seguinte forma:
- Defina as autorizações do IAM
- Configure as visualizações de registos
- Defina controlos de acesso ao nível do campo da entrada do registo
Defina autorizações de IAM
As autorizações e as funções da IAM determinam a capacidade dos utilizadores de acederem aos dados dos registos de auditoria na API Logging, no Explorador de registos e na CLI Google Cloud. Use o IAM para conceder acesso detalhado a contentores específicos e impedir o acesso indesejado a outros recursos.Google Cloud
As funções baseadas em autorizações que concede aos seus utilizadores dependem das respetivas funções relacionadas com a auditoria na sua organização. Por exemplo, pode conceder autorizações administrativas amplas ao seu diretor de tecnologia, enquanto os membros da sua equipa de programação podem precisar de autorizações de visualização de registos. Para orientações sobre as funções a conceder aos utilizadores da sua organização, consulte o artigo Configurar funções para o registo de auditoria.
Ao definir autorizações de IAM, aplique o princípio de segurança do privilégio mínimo, para conceder aos utilizadores apenas o acesso necessário aos seus recursos:
- Remova todos os utilizadores não essenciais.
- Conceda aos utilizadores essenciais as autorizações corretas e mínimas.
Para obter instruções sobre como definir autorizações de IAM, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Configure as vistas de registos
Todos os registos, incluindo os registos de auditoria, recebidos pelo Logging são escritos em contentores de armazenamento denominados buckets de registos. As visualizações de registos permitem-lhe controlar quem tem acesso aos registos nos seus contentores de registos.
Uma vez que os contentores de registos podem conter registos de vários Google Cloud projetos, pode ter de controlar os Google Cloud projetos a partir dos quais diferentes utilizadores podem ver registos. Crie vistas de registos personalizadas, que lhe dão um controlo de acesso mais detalhado para esses contentores.
Pode consultar visualizações de registos com o Explorador de registos ou com o Log Analytics. Para mais informações, consulte o artigo Consultar e ver vista geral dos registos.
Para obter instruções sobre como criar e gerir visualizações de registos, consulte o artigo Configure visualizações de registos num contentor de registos.
Defina controlos de acesso ao nível do campo de registo
Os controlos de acesso ao nível do campo permitem-lhe ocultar campos LogEntryindividuais dos utilizadores
de um Google Cloud projeto, o que lhe dá uma forma mais detalhada de controlar os dados
dos registos aos quais um utilizador pode aceder. Em comparação com as visualizações de registos, que ocultam o
LogEntry inteiro, os controlos de acesso ao nível do campo ocultam campos individuais do
LogEntry. Por exemplo, pode querer ocultar as PII de utilizadores externos, como um endereço de email contido na carga útil da entrada do registo, da maioria dos utilizadores da sua organização.
Se planeia usar o Log Analytics para analisar os registos de auditoria, não configure controlos de acesso ao nível do campo no contentor de registos que armazena esses registos. Não pode usar o Log Analytics em contentores de registos que tenham controlos de acesso ao nível do campo configurados.
Para obter instruções sobre a configuração de controlos de acesso ao nível do campo, consulte o artigo Configure o acesso ao nível do campo.
Configure os registos de auditoria de acesso a dados
Quando ativar novos Google Cloud serviços, avalie se deve ou não ativar os registos de auditoria de acesso a dados.
Os registos de auditoria de acesso aos dados ajudam o apoio técnico da Google a resolver problemas com a sua conta. Por conseguinte, recomendamos que ative os registos de auditoria de acesso aos dados sempre que possível.
Para ativar todos os registos de auditoria para todos os serviços, siga as instruções para atualizar a política de gestão de identidade e de acesso (IAM) com a configuração indicada na política de auditoria.
Depois de definir a política de acesso a dados ao nível da organização e ativar os registos de auditoria de acesso a dados, use um projeto de teste Google Cloud para validar a configuração da recolha de registos de auditoria antes de criar projetos de programador e de produção Google Cloud na organização.
Para obter instruções sobre como ativar os registos de auditoria de acesso a dados, consulte o artigo Ative os registos de auditoria de acesso a dados.
Controle a forma como os seus registos são armazenados
Pode configurar aspetos dos contentores da sua organização e também criar contentores definidos pelo utilizador para centralizar ou subdividir o armazenamento de registos. Consoante os seus requisitos de conformidade e utilização, pode querer personalizar o armazenamento dos registos da seguinte forma:
- Escolha onde os seus registos são armazenados.
- Defina o período de retenção de dados.
- Proteja os seus registos com chaves de encriptação geridas pelo cliente (CMEK).
Escolha onde os seus registos são armazenados
Os contentores de registo são recursos regionais: a infraestrutura que armazena, indexa e pesquisa os seus registos está localizada numa localização geográfica específica.
A sua organização pode ter de armazenar os dados dos registos em regiões específicas. Os principais fatores na seleção da região onde os seus registos são armazenados incluem o cumprimento dos requisitos de latência, disponibilidade ou conformidade da sua organização.
Para aplicar automaticamente uma região de armazenamento específica aos novos contentores _Default e _Required criados na sua organização, pode configurar uma localização de recursos predefinida.
Para ver instruções sobre como configurar localizações de recursos predefinidas, consulte o artigo Configure as predefinições para organizações.
Defina períodos de retenção de dados
O Cloud Logging retém os registos de acordo com as regras de retenção aplicadas ao tipo de contentor de registos onde os registos são mantidos.
Para cumprir as suas necessidades de conformidade, configure o Cloud Logging para reter registos entre 1 dia e 3650 dias. As regras de retenção personalizadas aplicam-se a todos os registos num contentor, independentemente do tipo de registo ou de o registo ter sido copiado de outra localização.
Para obter instruções sobre como definir regras de retenção para um contentor de registos, consulte o artigo Configure a retenção personalizada.
Proteja os seus registos de auditoria com chaves de encriptação geridas pelo cliente
Por predefinição, o Cloud Logging encripta o conteúdo do cliente armazenado em repouso. A sua organização pode ter requisitos de encriptação avançados que a encriptação em repouso predefinida não oferece. Para cumprir os requisitos da sua organização, em vez de a Google gerir as chaves de encriptação de chaves que protegem os seus dados, configure chaves de encriptação geridas pelo cliente (CMEK) para controlar e gerir a sua própria encriptação.
Para obter instruções sobre a configuração da CMEK, consulte o artigo Configure a CMEK para o armazenamento de registos.
Preços
O Cloud Logging não cobra o encaminhamento de registos para um destino suportado. No entanto, o destino pode aplicar cobranças.
Com exceção do contentor de registos _Required, o Cloud Logging cobra taxas para transmitir registos para contentores de registos e para armazenamento durante um período superior ao período de retenção predefinido do contentor de registos.
O Cloud Logging não cobra pela cópia de registos, pela criação de âmbitos de registo ou vistas de estatísticas, nem por consultas emitidas através das páginas do Explorador de registos ou Log Analytics.
Para mais informações, consulte os seguintes documentos:
- As secções do Cloud Logging na página de preços da observabilidade do Google Cloud.
Custos quando encaminha dados de registo de encaminhamento para outros Google Cloud serviços:
- As taxas de geração de registos de fluxo da VPC aplicam-se quando envia e, em seguida, exclui os registos de fluxo da nuvem virtual privada do Cloud Logging.
À medida que configura e usa os registos de auditoria, recomendamos as seguintes práticas recomendadas relacionadas com os preços:
Estime as suas faturas vendo os seus dados de utilização e configurando políticas de alerta.
Tenha em atenção que os registos de auditoria de acesso a dados podem ser grandes e que pode incorrer em custos adicionais de armazenamento.
Faça a gestão dos seus custos excluindo registos de auditoria que não são úteis. Por exemplo, é provável que possa excluir os registos de auditoria de acesso a dados em projetos de desenvolvimento.
Consultar e ver registos de auditoria
Se precisar de resolver problemas, a capacidade de consultar rapidamente os registos é um requisito. Na Google Cloud consola, use o Explorador de registos para obter as entradas do registo de auditoria da sua organização:
-
Na Google Cloud consola, aceda à página Explorador de registos:
Aceda ao Explorador de registos
Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.
Selecione a sua organização.
No painel Consulta, faça o seguinte:
Em Tipo de recurso, selecione o Google Cloud recurso cujos registos de auditoria quer ver.
Em Nome do registo, selecione o tipo de registo de auditoria que quer ver:
- Para os registos de auditoria da atividade do administrador, selecione atividade.
- Para os registos de auditoria de acesso a dados, selecione data_access.
- Para os registos de auditoria de eventos do sistema, selecione system_event.
- Para registos de auditoria de recusa de políticas, selecione política.
Se não vir estas opções, significa que não existem registos de auditoria desse tipo disponíveis na organização.
No editor de consultas, especifique ainda mais as entradas do registo de auditoria que quer ver. Para ver exemplos de consultas comuns, consulte o artigo Consultas de exemplo com o Explorador de registos.
Clique em Executar consulta.
Para mais informações sobre como consultar através do Explorador de registos, consulte o artigo Crie consultas no Explorador de registos.
Monitorize os seus registos de auditoria
Pode usar o Cloud Monitoring para receber notificações quando ocorrem as condições que descreve. Para fornecer dados ao Cloud Monitoring a partir dos seus registos, o Logging permite-lhe criar políticas de alerta baseadas em registos, que lhe enviam uma notificação sempre que um evento específico aparece num registo.
Configure políticas de alerta para distinguir entre eventos que requerem investigação imediata e eventos de baixa prioridade. Por exemplo, se quiser saber quando um registo de auditoria regista uma mensagem de acesso a dados específica, pode criar uma política de alertas baseada em registos que corresponda à mensagem e que lhe envie uma notificação quando a mensagem aparecer.
Para ver instruções sobre a configuração de políticas de alerta baseadas em registos, consulte o artigo Gerir políticas de alerta baseadas em registos.
Encaminhe registos para destinos suportados
A sua organização pode ter de cumprir requisitos para criar e preservar registos de auditoria. Com os destinos, pode encaminhar alguns ou todos os seus registos para estes destinos suportados:
- Outro contentor do Cloud Logging
Determine se precisa de destinos ao nível da pasta ou da organização e encaminhe registos de todos os Google Cloud projetos na organização ou na pasta através de destinos agregados. Por exemplo, pode considerar os seguintes exemplos de utilização de encaminhamento:
Destino ao nível da organização: se a sua organização usar um SIEM para gerir vários registos de auditoria, é recomendável encaminhar todos os registos de auditoria da sua organização. Assim, um coletor ao nível da organização faz sentido.
Destino ao nível da pasta: por vezes, pode querer encaminhar apenas registos de auditoria departamentais. Por exemplo, se tiver uma pasta "Finanças" e uma pasta "TI", pode ser útil encaminhar apenas os registos de auditoria pertencentes à pasta "Finanças" ou vice-versa.
Para mais informações sobre pastas e organizações, consulte o artigo Hierarquia de recursos.
Aplique as mesmas políticas de acesso ao Google Cloud destino que usa para encaminhar registos, tal como aplicou ao Explorador de registos.
Para obter instruções sobre como criar e gerir destinos agregados, consulte o artigo Recolha e encaminhe registos ao nível da organização para destinos suportados.
Compreenda o formato dos dados nos destinos de sincronização
Quando encaminha registos de auditoria para destinos fora do Cloud Logging, compreenda o formato dos dados que foram enviados.
Por exemplo, se encaminhar registos para o BigQuery, o Cloud Logging aplica regras para abreviar os nomes dos campos do esquema do BigQuery para registos de auditoria e para determinados campos de payload estruturados.
Para compreender e encontrar entradas de registo que encaminhou do Cloud Logging para destinos suportados, consulte o artigo Veja registos em destinos de encaminhamento.
Copie entradas do registo
Consoante as necessidades de conformidade da sua organização, pode ter de partilhar entradas do registo de auditoria com auditores externos ao Logging. Se precisar de partilhar entradas de registo que já estão armazenadas em contentores do Cloud Logging, pode copiá-las manualmente para contentores do Cloud Storage.
Quando copia entradas do registo para o Cloud Storage, as entradas do registo também permanecem no contentor de registos do qual foram copiadas.
Tenha em atenção que as operações de cópia não substituem os destinos de registo, que enviam automaticamente todas as entradas de registo recebidas para um destino de armazenamento suportado pré-selecionado, incluindo o Cloud Storage.
Para ver instruções sobre o encaminhamento retroativo de registos para o Cloud Storage, consulte o artigo Copie entradas de registo.