Google Cloud Logging 五個安全功能

2022/08/18

本文編譯自:Google Blog

隨著企業和政府部門加速對雲端環境的使用,準確了解雲端環境中的安全性目的非常重要。檢測違規、調查持續性安全問題或執行取證調查時,稽查日誌至關重要。五個必須了解的Cloud Logging安全功能可以幫助客戶創建稽查日誌以進行更好地安全性審核。本篇文章介紹的前三個功能於 2022 年最新推出,而後兩個功能則是已經推出了一段時間。

1. Cloud Logging 是Assured Workloads的一部分。

Google Cloud 的Assured Workloads可幫助客戶通過軟體定義的社區雲滿足法規性要求。Cloud Logging 和外部日誌數據符合許多法規,這就是為什麼 Cloud Logging 現在是Assured Workloads的一部分。具有可靠工作負載的 Cloud Logging 可以讓客戶更輕鬆地滿足NIST 800-53和其他受支持框架的日誌保留和審計要求。

2. Cloud Logging 已通過 FedRAMP High 認證。

FedRAMP是一項美國政府計劃,透過採用雲端技術的聯邦機構提供標準化的安全和風險評估方法來保證安全雲端服務的採用。Cloud Logging 團隊已獲得認證,可在高標準的安全級別中實施符合 FedRAMP 所需的控制措施。該認證將允許客戶將敏感數據儲存在雲端日誌中,並使用 Cloud Logging 來符合法規控制的要求。

以下是 Cloud Logging 根據NIST要求實施的認證控制措施:

  • 事件記錄 (AU-2)– 捕獲各種事件。指定的事件包括密碼更改、與系統相關的登錄失敗或訪問失敗、安全或隱私條件更改、管理權限使用、個人身份驗證 (PIV) 使用、數據操作更改、查詢參數或外部數據使用。
  • 簡化審查 (AU-3)– 為了向用戶提供審查所需的所有訊息,Cloud Logging抓取事件類型、發生時間、事件位置、事件來源、事件結果和身份訊息。.
  • 延長日誌保留 (AU-4)– Cloud Logging支持概述的日誌儲存容量和保留政策,以便為事件的事後調查提供支持,允許客戶設定保留期限,幫助客戶滿足其法規和企業對訊息的保留需求。
  • 日誌故障警報 (AU-5)– 客戶可以在發生日誌故障時創建警報。
  • 創建證據 (AU-16)– 抓取由標準化格式的審查記錄組成的系統範圍(邏輯或物理)審查追蹤,啟用跨部門的審查功能。

查看此網絡研討會,了解 Assured Workloads 如何協助 FedRAMP 符合法規的工作。

3. 管理個人的密鑰,也稱為客戶管理的加密密鑰(CMEK),可以將Cloud Logging 日誌加密。

對於具有特定加密要求的客戶,Cloud Logging 透過Cloud KMS支持 CMEK,CMEK 可以應用於單個日誌儲存,並且可以與日誌路由器一起使用。 Cloud Logging 可以配置為將企業的所有日誌集中到單一儲存和路由器中,這使得將 CMEK 應用於組織的日誌儲存變得簡單。

在此處了解如何為 Cloud Logging 儲存啟用 CMEK 。

4. 通過Access Transparency為雲端供應商透明度設置高標準。

Access Transparency 日誌可以幫助審核 Google 人員對你的內容採取的操作,並且可以與現有的安全訊息和事件管理 (SIEM) 工具串接,以幫助你在 Google 人員可能訪問你的內容的極少數情況下自動執行審核。Cloud Audit 日誌會能夠提供組織中誰訪問了 Google Cloud 中的數據,而 Access Transparency 日誌會提供是否有任何 Google 人員訪問了您的數據 。

這些 Access Transparency 日誌可以提供的協助:

  • 確認 Google 人員僅出於正當的業務原因訪問你的內容,例如修復中斷或處理你的支援請求。
  • 審查人員在批准訪問時採取的實際行動。
  • 驗證和追蹤Assured Workload Support是否符合法律或法規義務。

在此處了解如何為企業啟用 Access Transparency 。

5. 使用訪問批准日誌追蹤誰在訪問你的日誌數據。

Access Approvals可以幫助根據預定義的特徵限制 Google 人員訪問你的內容。如果 Google 支援人員或工程師需要訪問你的內容以提供技術支援(如果你提出了需要支援或服務的請求),你可以使用訪問批准工具來批准或拒絕該人員觀看數據的權限。

在此處了解如何設置訪問權限。

期望這些功能可以使 Cloud Logging 的使用變得更輕鬆、更安全且符合法規。