Cloud 稽核記錄的最佳做法

本文件建議一系列的稽核記錄工作，協助貴機構維護安全性並將風險降到最低。

本文件所提供的建議清單並非詳盡無遺，其目標是要協助您瞭解稽核記錄活動的範圍，並據以制訂計畫。

各節均提供重要操作，也附上詳細資訊參考連結。

瞭解 Cloud 稽核記錄

大多數 Google Cloud 服務都提供稽核記錄。Cloud 稽核記錄會為每個Google Cloud 專案、帳單帳戶、資料夾和機構提供下列類型的稽核記錄：

稽核記錄類型	可自行設定	可收費
管理員活動稽核記錄	否；一律寫入	否
資料存取稽核記錄	是	是
政策被拒絕的稽核記錄	可以，您可以將這些記錄排除，避免寫入記錄值區	是
系統事件稽核記錄	否；一律寫入	否

資料存取稽核記錄 (除 BigQuery 以外) 預設為停用。如要為 Google Cloud服務寫入資料存取稽核記錄，您必須明確啟用這些記錄。詳情請參閱本頁的「設定資料存取稽核記錄」一節。

如要瞭解使用Google Cloud稽核記錄的整體環境，請參閱「Cloud 稽核記錄總覽」。

控管記錄檔存取權

由於稽核記錄資料的敏感性，因此為貴機構使用者設定適當的存取控制項特別重要。

視法規遵循和使用規定而定，請設定下列存取控制項：

• 設定 IAM 權限
• 設定記錄檢視畫面
• 設定記錄項目的欄位層級存取權控管

設定身分與存取權管理權限

IAM 權限和角色可決定使用者是否能存取 Logging API、記錄檔探索工具和 Google Cloud CLI 中的稽核記錄資料。使用 IAM 授予特定Google Cloud 值區的精細存取權，並避免其他資源遭到未經授權者存取。

您授予使用者的權限角色取決於他們在貴機構內的稽核相關職能。舉例來說，您可以授予 CTO 廣泛的管理權限，而開發團隊成員可能需要查看記錄的權限。如需授予貴機構使用者哪些角色的指引，請參閱設定稽核記錄的角色。

設定 IAM 權限時，請採用最低權限的安全性原則，只授予使用者必要的資源存取權：

• 移除所有非必要的使用者。
• 授予必要使用者正確且最少的權限。

如需設定 IAM 權限的操作說明，請參閱「管理專案、資料夾和機構的存取權」。

設定記錄檔檢視表

Logging 收到的所有記錄 (包括稽核記錄) 都會寫入稱為「記錄資料集」的儲存空間容器。記錄檔檢視畫面可讓您控管誰有權存取記錄檔值區內的記錄檔。

由於記錄資料集可以包含來自多個 Google Cloud 專案的記錄，您可能需要控制不同使用者可以查看哪些 Google Cloud 專案的記錄。建立自訂記錄檔檢視畫面，以便更精細地控管這些值區的存取權。

您可以使用 Logs Explorer 或 Log Analytics 查詢記錄檢視。詳情請參閱「查詢和查看記錄總覽」。

如要瞭解如何建立及管理記錄檢視，請參閱「設定記錄值區的記錄檢視」。

設定記錄欄位層級存取權控管

欄位層級的存取權控管機制可讓您隱藏個別 LogEntry 欄位，避免 Google Cloud 專案使用者存取，讓您更精細地控管使用者可存取的記錄資料。與記錄檔檢視畫面 (會隱藏整個 LogEntry) 相比，欄位層級存取權控管機制會隱藏 LogEntry 的個別欄位。舉例來說，您可能會想從機構內大多數使用者的記錄中，遮蓋外部使用者的 PII，例如記錄項目酬載中包含的電子郵件地址。

如果您打算使用 Log Analytics 分析稽核記錄，請勿在儲存這些記錄的記錄值區上設定欄位層級存取權控制項。您無法在已設定欄位層級存取權控管的記錄資料夾中使用 Log Analytics。

如需設定欄位層級存取權控管的操作說明，請參閱「設定欄位層級存取權」。

設定資料存取稽核記錄

啟用新 Google Cloud 服務時，請評估是否要啟用資料存取稽核記錄。

資料存取稽核記錄可協助 Google 支援團隊排解帳戶問題。因此，建議您盡可能啟用資料存取稽核記錄。

如要為所有服務啟用所有稽核記錄，請按照操作說明更新身分與存取權管理 (IAM) 政策，並使用稽核政策說明文件中所列的設定。

定義機構層級資料存取政策並啟用資料存取稽核記錄後，請使用測試 Google Cloud 專案驗證稽核記錄集合的設定，然後再建立機構中的開發人員和正式 Google Cloud 專案。

如要瞭解如何啟用資料存取稽核記錄，請參閱「啟用資料存取稽核記錄」一文。

控管記錄檔的儲存方式

您可以設定貴機構的資料夾，並建立使用者定義的資料夾，以便集中或細分記錄儲存空間。視法規遵循和使用規定而定，您可能需要自訂記錄儲存空間，如下所示：

• 選擇記錄的儲存位置。

• 定義資料保留期限。

• 使用客戶管理的加密金鑰 (CMEK) 保護記錄。

選擇記錄的儲存位置

在 Logging 值區中，區域資源是指儲存、建立索引及搜尋記錄檔的基礎架構，位於特定地理位置。

貴機構可能需要將記錄檔資料儲存在特定區域。選擇記錄儲存區域時，主要考量因素包括滿足貴機構的延遲時間、可用性或法規遵循要求。

如要自動將特定儲存空間區域套用至機構中建立的新 _Default 和 _Required 值區，您可以設定預設資源位置。

如需設定預設資源位置的操作說明，請參閱「設定機構的預設設定」。

定義資料保留期限

Cloud Logging 會根據記錄檔保留規則，保留記錄檔，這些規則會套用至記錄檔保留的記錄檔值區類型。

為滿足法規遵循需求，請將 Cloud Logging 的記錄檔保留期限設為 1 天到 3650 天之間。無論記錄類型為何，或該記錄是否已從其他位置複製，自訂保留規則都會套用至值區中的所有記錄。

如需設定記錄檔值區的保留規則，請參閱「設定自訂保留」一文。

使用客戶管理的加密金鑰保護稽核記錄

根據預設，Cloud Logging 會加密靜態儲存的客戶內容。貴機構可能有進階加密需求，而預設靜態資料加密功能無法提供這類需求。為了滿足貴機構的需求，您可以設定客戶自行管理的加密金鑰 (CMEK)，以便控制及管理自有的加密設定，而非由 Google 管理用來保護資料的金鑰加密金鑰。

如需設定 CMEK 的操作說明，請參閱「為記錄儲存空間設定 CMEK」。

定價

Cloud Logging 不會針對將記錄檔轉送至支援的目的地收費，但目的地可能會收取費用。除了 _Required 記錄檔值區，Cloud Logging 會針對將記錄檔串流至記錄檔值區，以及超過記錄檔值區預設保留期限的儲存空間收取費用。

複製記錄、建立記錄範圍或分析檢視畫面，或是透過 Logs Explorer 或 Log Analytics 頁面發出的查詢，Cloud Logging 不會收取費用。

如需詳細資訊，請參閱下列文件：

• Cloud Logging 定價摘要

• 目的地費用：

  • Cloud Storage 定價
  • BigQuery 定價
  • Pub/Sub 定價
  • Cloud Logging 定價
• 如果您傳送虛擬私人雲端流程記錄檔到 Cloud Logging 後又將其排除，系統會向您收取虛擬私人雲端流程記錄檔產生費用。

設定及使用稽核記錄時，建議您遵循下列價格相關最佳做法：

• 查看使用資料並設定警示政策，估算帳單金額。

• 請注意，資料存取稽核記錄檔可能會很大，因此可能會產生額外的儲存空間費用。

• 排除無用的稽核記錄來控管費用。舉例來說，您可能會在開發專案中排除資料存取稽核記錄。

查詢及查看稽核記錄

如果需要進行疑難排解，您必須能夠快速查看記錄。在 Google Cloud 控制台中，使用「記錄檔探索工具」擷取貴機構的稽核記錄項目：

1. 前往 Google Cloud 控制台的「Logs Explorer」頁面：

   前往「Logs Explorer」(記錄檔探索工具)

   如果您是使用搜尋列尋找這個頁面，請選取子標題為「Logging」的結果。

2. 選取您的機構。

3. 在「Query」窗格中，執行下列操作：

   • 在「Resource type」中，選取您要查看稽核記錄的 Google Cloud 資源。

   • 在「記錄名稱」中，選取要查看的稽核記錄類型：

     • 如要查看管理員活動稽核記錄，請選取「活動」。
     • 如要查看資料存取稽核記錄，請選取「data_access」data_access。
     • 如要查看系統事件稽核記錄，請選取 system_event。
     • 如要查看「政策遭拒」稽核記錄，請選取「政策」。

     如果您沒有看到這些選項，表示機構中沒有這類型的稽核記錄。

   • 在查詢編輯器中，進一步指定要查看的稽核記錄項目。如需常見查詢的範例，請參閱「使用記錄檔探索工具的查詢範例」。

4. 點選「執行查詢」。

如要進一步瞭解如何使用記錄檔探索工具查詢，請參閱「在記錄檔探索工具中建構查詢」。

監控稽核記錄

您可以使用 Cloud Monitoring，在所述條件發生時收到通知。如要向 Cloud Monitoring 提供記錄檔資料，您可以使用 Logging 建立以記錄為基礎的警告政策，讓系統在記錄檔中出現特定事件時通知您。

設定快訊政策，區分需要立即調查的事件和低優先順序事件。舉例來說，如果您想知道稽核記錄何時記錄特定資料存取訊息，可以建立符合該訊息的記錄式快訊政策，並在訊息出現時通知您。

如要瞭解如何設定以記錄為基礎的警告政策，請參閱「管理以記錄為基礎的警告政策」。

將記錄檔轉送至支援的目的地

貴機構可能需要建立及保存稽核記錄。您可以使用sink，將部分或所有記錄轉送至以下支援的目的地：

• Cloud Storage

• Pub/Sub，包括 Splunk 等第三方

• BigQuery

• 其他 Cloud Logging 值區

判斷您是否需要資料夾層級或機構層級的接收器，並使用匯總接收器轉送機構或資料夾內所有 Google Cloud 專案的記錄。舉例來說，您可以考慮下列轉送用途：

• 機構層級接收器：如果貴機構使用 SIEM 管理多個稽核記錄，您可能會想將貴機構的所有稽核記錄轉送至 SIEM。因此，機構層級的接收器就很實用。

• 資料夾層級匯入目的地：有時您可能只想將部門稽核記錄轉送至特定目的地。舉例來說，如果您有「財務」和「IT」資料夾，可能會發現只將屬於「財務」資料夾的稽核記錄轉送，或反之，會比較有用。

  如要進一步瞭解資料夾和機構，請參閱「資源階層」。

將您套用到記錄檔探索工具的存取政策，套用到您用來轉送記錄的 Google Cloud 目的地。

如需建立及管理匯總接收器的操作說明，請參閱「彙整及轉送機構層級記錄至支援的目的地」。

瞭解接收器目的地中的資料格式

將稽核記錄轉送至 Cloud Logging 以外的目的地時，請瞭解已傳送資料的格式。

舉例來說，如果將記錄轉送至 BigQuery，Cloud Logging 會套用規則，縮短稽核記錄和特定結構化酬載欄位的 BigQuery 結構定義欄位名稱。

如要瞭解及查看從 Cloud Logging 轉送至支援目的地的記錄項目，請參閱「查看接收器目的地中的記錄檔」。

複製記錄項目

視貴機構的法規遵循需求而定，您可能需要與稽核人員分享 Logging 以外的稽核記錄項目。如果您需要分享已儲存在 Cloud Logging 值區中的記錄項目，可以手動將這些項目複製到 Cloud Storage 值區。

將記錄項目複製到 Cloud Storage 時，記錄項目也會保留在複製來源的記錄值區中。

請注意，複製作業不會取代匯出地點，匯出地點會自動將所有傳入的記錄項目傳送至預先選取的支援儲存目的地，包括 Cloud Storage。

如需將記錄轉送至 Cloud Storage 的追溯操作說明，請參閱「複製記錄項目」。