Best practice per Cloud Audit Logs

Questo documento consiglia una sequenza di attività di audit logging per aiutare la tua organizzazione a mantenere la sicurezza e ridurre al minimo i rischi.

Questo documento non è un elenco esaustivo di consigli. Il suo scopo è aiutarti a comprendere l'ambito delle attività di audit logging e pianificare di conseguenza.

Ogni sezione fornisce le azioni chiave e include i link per ulteriori approfondimenti.

Informazioni su Cloud Audit Logs

I log di controllo sono disponibili per la maggior parte dei Google Cloud servizi. Cloud Audit Logs fornisce i seguenti tipi di audit log per ogni Google Cloud progetto, account di fatturazione, cartella e organizzazione:

Tipo di audit log	Configurabile	Addebitabile
Audit log delle attività di amministrazione	No, sempre scritte	No
Audit log degli accessi ai dati	Sì	Sì
Audit log negati da criteri	Sì, puoi escludere questi log dalla scrittura nei bucket di log	Sì
Audit log degli eventi di sistema	No, sempre scritte	No

Gli audit log per l'accesso ai dati, tranne quelli di BigQuery, sono disabilitati per impostazione predefinita. Se vuoi che gli audit log di accesso ai dati vengano scritti per i servizi Google Cloud, devi abilitarli esplicitamente. Per maggiori dettagli, consulta la sezione Configurare gli audit log di accesso ai dati in questa pagina.

Per informazioni sul panorama generale dell'audit logging con Google Cloud, consulta la panoramica di Cloud Audit Logs.

Controllo dell'accesso ai log

A causa della sensibilità dei dati di audit logging, è particolarmente importante configurare i controlli dell'accesso appropriati per gli utenti della tua organizzazione.

A seconda dei requisiti di conformità e utilizzo, imposta questi controlli dell'accesso come segue:

• Imposta le autorizzazioni IAM
• Configura le visualizzazioni log
• Impostare i controlli dell'accesso a livello di campo per le voci di voce di log

Imposta autorizzazioni IAM

Le autorizzazioni e i ruoli IAM determinano la capacità degli utenti di accedere ai dati degli audit log nell'API Logging, in Esplora log e nella Google Cloud CLI. Utilizza IAM per concedere un accesso granulare a bucket Google Cloud specifici e impedire l'accesso indesiderato ad altre risorse.

I ruoli basati sulle autorizzazioni che concedi agli utenti dipendono dalle loro funzioni relative al controllo all'interno dell'organizzazione. Ad esempio, potresti concedere al tuo CTO ampie autorizzazioni amministrative, mentre i membri del team di sviluppo potrebbero richiedere autorizzazioni di visualizzazione dei log. Per indicazioni sui ruoli da concedere agli utenti della tua organizzazione, vedi Configurare i ruoli per la registrazione dei controlli.

Quando imposti le autorizzazioni IAM, applica il principio di sicurezza del privilegio minimo, in modo da concedere agli utenti solo l'accesso necessario alle tue risorse:

• Rimuovi tutti gli utenti non essenziali.
• Concedi agli utenti essenziali le autorizzazioni corrette e minime.

Per istruzioni sull'impostazione delle autorizzazioni IAM, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Configurazione delle visualizzazioni log

Tutti i log, inclusi gli audit log, ricevuti da Logging vengono scritti in contenitori di archiviazione chiamati bucket di log. Le visualizzazioni dei log ti consentono di controllare chi può accedere ai log all'interno dei bucket di log.

Poiché i bucket dei log possono contenere log di più progetti, Google Cloud potresti dover controllare da quali progetti Google Cloud i diversi utenti possono visualizzare i log. Crea visualizzazioni dei log personalizzate, che ti offrono un controllo dell'accesso più granulare per questi bucket.

Puoi eseguire query sulle visualizzazioni dei log con Esplora log o con Analisi dei log. Per ulteriori informazioni, consulta Panoramica delle query e della visualizzazione dei log.

Per istruzioni sulla creazione e la gestione delle visualizzazioni dei log, vedi Configurare le visualizzazioni dei log in un bucket di log.

Impostare i controlli di accesso a livello di campo dei log

I controlli dell'accesso a livello di campo ti consentono di nascondere i singoli campi LogEntry agli utenti di un progetto Google Cloud , offrendoti un modo più granulare per controllare i dati dei log a cui un utente può accedere. Rispetto alle visualizzazioni dei log, che nascondono l'intero LogEntry, i controlli dell'accesso a livello di campo nascondono i singoli campi di LogEntry. Ad esempio, potresti voler oscurare i dati PII degli utenti esterni, come un indirizzo email contenuto nel payload della voce di log, per la maggior parte degli utenti della tua organizzazione.

Se prevedi di utilizzare Log Analytics per analizzare i log di controllo, non configurare i controlli dell'accesso a livello di campo nel bucket dei log che li memorizza. Non puoi utilizzare Analisi dei log sui bucket di log per i quali sono configurati controlli dell'accesso a livello di campo.

Per istruzioni sulla configurazione dei controlli dell'accesso a livello di campo, vedi Configurare l'accesso a livello di campo.

Configurazione degli audit log di accesso ai dati

Quando abiliti nuovi servizi Google Cloud , valuta se abilitare o meno gli audit log di accesso ai dati.

I log di controllo dell'accesso ai dati aiutano l'assistenza Google a risolvere i problemi relativi al tuo account. Pertanto, ti consigliamo di attivare gli audit log di accesso ai dati, se possibile.

Per attivare tutti gli audit log per tutti i servizi, segui le istruzioni per aggiornare Identity and Access Management (IAM) con la configurazione elencata nel criterio di controllo.

Dopo aver definito le norme di accesso ai dati a livello di organizzazione e aver attivato i log di controllo dell'accesso ai dati, utilizza un progetto Google Cloud di test per convalidare la configurazione della raccolta dei log di controllo prima di creare progetti di sviluppo e di produzione Google Cloud nell'organizzazione.

Per istruzioni sull'abilitazione degli audit log di accesso ai dati, consulta la sezione Abilitare gli audit log di accesso ai dati.

Controllare la modalità di archiviazione dei log

Puoi configurare gli aspetti dei bucket della tua organizzazione e anche creare bucket definiti dall'utente per centralizzare o suddividere lo spazio di archiviazione dei log. A seconda dei requisiti di conformità e utilizzo, potresti voler personalizzare l'archiviazione dei log nel seguente modo:

• Scegli dove archiviare i log.

• Definisci il periodo di conservazione dei dati.

• Proteggi i tuoi log con chiavi di crittografia gestite dal cliente (CMEK).

Scegliere dove archiviare i log

Nei bucket di Logging le risorse sono regionali: l'infrastruttura che archivia, indicizza e cerca i log si trova in una specifica posizione geografica.

La tua organizzazione potrebbe essere tenuta ad archiviare i dati dei log in regioni specifiche. I fattori principali nella selezione della regione in cui vengono archiviati i log includono il rispetto dei requisiti di latenza, disponibilità o conformità della tua organizzazione.

Per applicare automaticamente una determinata regione di archiviazione ai nuovi bucket _Default e _Required creati nella tua organizzazione, puoi configurare una posizione predefinita delle risorse.

Per istruzioni su come configurare le località delle risorse predefinite, consulta Configurare le impostazioni predefinite per le organizzazioni.

Definire i periodi di conservazione dei dati

Cloud Logging conserva i log in base alle regole di conservazione applicate al tipo di bucket di log in cui sono archiviati.

Per soddisfare le tue esigenze di conformità, configura Cloud Logging in modo che conservi i log per un periodo compreso tra 1 giorno e 3650 giorni. Le regole di conservazione personalizzate si applicano a tutti i log di un bucket, indipendentemente dal tipo di log o dal fatto che sia stato copiato da un'altra posizione.

Per istruzioni su come impostare le regole di conservazione per un bucket di log, vedi Configurare la conservazione personalizzata.

Proteggere i log di controllo con chiavi di crittografia gestite dal cliente

Per impostazione predefinita, Cloud Logging cripta i contenuti dei clienti archiviati inattivi. La tua organizzazione potrebbe avere requisiti di crittografia avanzati che la crittografia at-rest predefinita non fornisce. Per soddisfare i requisiti della tua organizzazione, invece di lasciare che Google gestisca le chiavi di crittografia delle chiavi che proteggono i tuoi dati, configura le chiavi di crittografia gestite dal cliente (CMEK) per controllare e gestire la tua crittografia.

Per istruzioni sulla configurazione di CMEK, vedi Configurare CMEK per l'archiviazione dei log.

Prezzi

Cloud Logging non addebita costi per il routing dei log a una destinazione supportata, ma la destinazione potrebbe applicare costi. Ad eccezione del bucket di log _Required, Cloud Logging addebita lo streaming dei log nei bucket di log e l'archiviazione per un periodo più lungo del periodo di conservazione predefinito del bucket di log.

Cloud Logging non addebita costi per la copia dei log, per la creazione di ambiti dei log o visualizzazioni di analisi o per le query emesse tramite le pagine Esplora log o Analisi dei log.

Per saperne di più, consulta i seguenti documenti:

• Le sezioni di Cloud Logging della pagina Prezzi di Google Cloud Observability.

• Costi per il routing dei dati di log ad altri servizi: Google Cloud

  • Prezzi di Cloud Storage
  • Prezzi di BigQuery
  • Prezzi di Pub/Sub
• I costi di generazione dei log di flusso VPC si applicano quando invii ed escludi i log di flusso Virtual Private Cloud da Cloud Logging.

Durante la configurazione e l'utilizzo dei log di controllo, ti consigliamo di seguire le seguenti best practice relative ai prezzi:

• Stima le fatture visualizzando i dati sull'utilizzo e configurando i criteri di avviso.

• Tieni presente che gli audit log di accesso ai dati possono essere di grandi dimensioni e che potresti sostenere costi aggiuntivi per l'archiviazione.

• Gestisci i costi escludendo i log di controllo che non sono utili. Ad esempio, probabilmente puoi escludere gli audit log di accesso ai dati nei progetti di sviluppo.

Esegui query e visualizza i log di controllo

Se devi risolvere i problemi, la possibilità di esaminare rapidamente i log è un requisito. Nella console Google Cloud , utilizza Esplora log per recuperare le voci del log di controllo per la tua organizzazione:

1. Nella Google Cloud console, vai alla pagina Esplora log:

   Vai a Esplora log

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

2. Seleziona la tua organizzazione.

3. Nel riquadro Query, procedi nel seguente modo:

   • In Tipo di risorsa, seleziona la risorsa Google Cloud di cui vuoi visualizzare gli audit log.

   • In Nome log, seleziona il tipo di audit log che vuoi visualizzare:

     • Per gli audit log delle attività di amministrazione, seleziona activity.
     • Per gli audit log di accesso ai dati, seleziona data_access.
     • Per gli audit log degli eventi di sistema, seleziona system_event.
     • Per gli audit log negati da criteri, seleziona policy.

     Se non visualizzi queste opzioni, significa che non sono disponibili audit log di questo tipo nell'organizzazione.

   • Nell'editor delle query, specifica ulteriormente le voci del log di controllo che vuoi visualizzare. Per esempi di query comuni, vedi Query di esempio con Esplora log.

4. Fai clic su Esegui query.

Per ulteriori informazioni sull'esecuzione di query utilizzando Esplora log, vedi Creare query in Esplora log.

Monitorare i log di controllo

Puoi utilizzare Cloud Monitoring per ricevere una notifica quando si verificano le condizioni che descrivi. Per fornire a Cloud Monitoring i dati dei log, Logging ti consente di creare criteri di avviso basati sui log, che ti inviano una notifica ogni volta che un evento specifico viene visualizzato in un log.

Configura criteri di avviso per distinguere tra eventi che richiedono un'indagine immediata ed eventi a bassa priorità. Ad esempio, se vuoi sapere quando un log di controllo registra un particolare messaggio di accesso ai dati, puoi creare un criterio di avviso basato su log che corrisponda al messaggio e ti avvisi quando viene visualizzato.

Per istruzioni sulla configurazione dei criteri di avviso basati su log, vedi Gestione dei criteri di avviso basati su log.

Eseguire il routing dei log verso destinazioni supportate

La tua organizzazione potrebbe dover rispettare requisiti per la creazione e la conservazione dei log di controllo. Utilizzando i sink, puoi indirizzare alcuni o tutti i log a queste destinazioni supportate:

• Cloud Storage

• Pub/Sub, incluse terze parti come Splunk

• BigQuery

• Un altro bucket Cloud Logging

Determina se hai bisogno di sink a livello di cartella o di organizzazione e indirizza i log da tutti i progetti all'interno dell'organizzazione o della cartella utilizzando i sink aggregati. Google Cloud Ad esempio, potresti prendere in considerazione i seguenti casi d'uso di routing:

• Sink a livello di organizzazione: se la tua organizzazione utilizza un SIEM per gestire più log di controllo, potresti voler indirizzare tutti i log di controllo della tua organizzazione. Pertanto, un sink a livello di organizzazione è una scelta sensata.

• Sink a livello di cartella: a volte, potresti voler indirizzare solo i log audit del reparto. Ad esempio, se hai una cartella "Finanze" e una cartella "IT", potresti trovare utile indirizzare solo i log di controllo appartenenti alla cartella "Finanze" o viceversa.

  Per ulteriori informazioni su cartelle e organizzazioni, consulta Gerarchia delle risorse.

Applica le stesse norme di accesso alla Google Cloud destinazione che utilizzi per instradare i log come hai fatto per Esplora log.

Per istruzioni sulla creazione e sulla gestione dei sink aggregati, vedi Raccogliere ed eseguire il routing dei log a livello di organizzazione verso destinazioni supportate.

Informazioni sul formato dei dati nelle destinazioni sink

Quando esegui il routing degli audit log verso destinazioni esterne a Cloud Logging, comprendi il formato dei dati inviati.

Ad esempio, se i log vengono indirizzati a BigQuery, Cloud Logging applica regole per abbreviare i nomi dei campi dello schema BigQuery per gli audit log e per determinati campi del payload strutturato.

Per comprendere e trovare le voci di log instradate da Cloud Logging a destinazioni supportate, consulta Visualizzare i log nelle destinazioni sink.

Copia delle voci di log

A seconda delle esigenze di conformità della tua organizzazione, potresti dover condividere le voci del log di controllo con revisori esterni a Logging. Se devi condividere le voci di log già archiviate nei bucket Cloud Logging, puoi copiarle manualmente nei bucket Cloud Storage.

Quando copi le voci di log in Cloud Storage, queste rimangono anche nel bucket di log da cui sono state copiate.

Tieni presente che le operazioni di copia non sostituiscono i sink, che inviano automaticamente tutte le voci di log in entrata a una destinazione di archiviazione supportata preselezionata, incluso Cloud Storage.

Per istruzioni sul routing retroattivo dei log a Cloud Storage, consulta Copia delle voci di log.