Google Cloud - Hippa 合規性 - PgAudit 與 IAM 審核日誌
我們的基礎架構託管在 Google Cloud 上,並通過 Cloud SQL 使用 postgresql 實例
我需要為 HIPAA 合規性配置日誌記錄。我已閱讀 Google 文件中的 2 篇文章:
https://cloud.google.com/logging/docs/audit/configure-data-access#config-console https://cloud.google.com/sql/docs/postgres/pg-audit#overview
第一個討論從 IAM 中啟用審計日誌,這裡我可以選擇 Cloud SQL 並為數據和管理員啟用 r+w 日誌
第二個談論 PgAudit 並設置以下標誌
pgaudit.log=all
我有一些問題:
- IAM 日誌和 PgAudit 有何不同,我應該同時啟用兩者還是這樣做有冗餘?
- 對於使用 PgAudit 的 HIPAA 合規性,我應該記錄
all
還是有其他有意義的值
回答第一個問題:
IAM 可以使用兩種類型的審計日誌:
- 管理員活動審核日誌:包括寫入元數據或配置資訊的“管理員寫入”操作。您不能禁用管理員活動審核日誌。
- 數據訪問審核日誌:包括讀取元數據或配置資訊的“管理員讀取”操作。還包括讀取或寫入使用者提供的數據的“數據讀取”和“數據寫入”操作。要接收數據訪問審核日誌,您必須明確啟用它們。
這些日誌主要用於審核在 Cloud SQL 實例上執行的管理和維護操作。
相比之下,Cloud SQL for PostgreSQL 中的數據庫審計可通過開源 pgAudit 擴展獲得。使用此擴展,您可以有選擇地記錄和跟踪對給定數據庫實例執行的 SQL 操作。該擴展為您提供了監控和記錄選定操作子集的審計功能。pgAudit 擴展適用於執行的 SQL 命令和查詢。詳情可以參考連結。
And to answer the second question:
PostgreSQL 審計擴展 (pgAudit) 通過標準 PostgreSQL 日誌記錄工具提供詳細的會話和/或對象審計日誌。pgAudit 的目標是為 PostgreSQL 使用者提供生成審計日誌的能力,這些日誌通常需要遵守政府、財務或 ISO 認證。
pg.auditlog 可以取值 read、write、function、role、ddl、misc、misc_set、all、none。您可以使用逗號分隔的列表提供多個類,並通過在類前加上 - 符號來減去一個類。預設值為無。
基本語句日誌記錄可以由標準日誌記錄工具提供,log_statement = all。這對於監控和其他用途是可以接受的,但不能提供審計通常所需的詳細程度。擁有對數據庫執行的所有操作的列表是不夠的。還必須能夠找到審計員感興趣的特定陳述。標準日誌記錄工具顯示使用者請求的內容,而 pgAudit 專注於數據庫滿足請求時發生的事情的詳細資訊。
對於 HIPAA 合規性,在技術保障下提到引入活動日誌和審計控制。您可以參考連結了解更多詳情。