Google-Cloud-Platform

Google Cloud - Hippa 合規性 - PgAudit 與 IAM 審核日誌

  • November 16, 2021

我們的基礎架構託管在 Google Cloud 上,並通過 Cloud SQL 使用 postgresql 實例

我需要為 HIPAA 合規性配置日誌記錄。我已閱讀 Google 文件中的 2 篇文章:

https://cloud.google.com/logging/docs/audit/configure-data-access#config-console https://cloud.google.com/sql/docs/postgres/pg-audit#overview

第一個討論從 IAM 中啟用審計日誌,這裡我可以選擇 Cloud SQL 並為數據和管理員啟用 r+w 日誌

第二個談論 PgAudit 並設置以下標誌pgaudit.log=all

我有一些問題:

  1. IAM 日誌和 PgAudit 有何不同,我應該同時啟用兩者還是這樣做有冗餘?
  2. 對於使用 PgAudit 的 HIPAA 合規性,我應該記錄all還是有其他有意義的值

回答第一個問題:

IAM 可以使用兩種類型的審計日誌:

  1. 管理員活動審核日誌:包括寫入元數據或配置資訊的“管理員寫入”操作。您不能禁用管理員活動審核日誌。
  2. 數據訪問審核日誌:包括讀取元數據或配置資訊的“管理員讀取”操作。還包括讀取或寫入使用者提供的數據的“數據讀取”和“數據寫入”操作。要接收數據訪問審核日誌,您必須明確啟用它們。

這些日誌主要用於審核在 Cloud SQL 實例上執行的管理和維護操作。

相比之下,Cloud SQL for PostgreSQL 中的數據庫審計可通過開源 pgAudit 擴展獲得。使用此擴展,您可以有選擇地記錄和跟踪對給定數據庫實例執行的 SQL 操作。該擴展為您提供了監控和記錄選定操作子集的審計功能。pgAudit 擴展適用於執行的 SQL 命令和查詢。詳情可以參考連結


And to answer the second question:

PostgreSQL 審計擴展 (pgAudit) 通過標準 PostgreSQL 日誌記錄工具提供詳細的會話和/或對象審計日誌。pgAudit 的目標是為 PostgreSQL 使用者提供生成審計日誌的能力,這些日誌通常需要遵守政府、財務或 ISO 認證。

pg.auditlog 可以取值 read、write、function、role、ddl、misc、misc_set、all、none。您可以使用逗號分隔的列表提供多個類,並通過在類前加上 - 符號來減去一個類。預設值為無。

基本語句日誌記錄可以由標準日誌記錄工具提供,log_statement = all。這對於監控和其他用途是可以接受的,但不能提供審計通常所需的詳細程度。擁有對數據庫執行的所有操作的列表是不夠的。還必須能夠找到審計員感興趣的特定陳述。標準日誌記錄工具顯示使用者請求的內容,而 pgAudit 專注於數據庫滿足請求時發生的事情的詳細資訊。

對於 HIPAA 合規性,在技術保障下提到引入活動日誌和審計控制。您可以參考連結了解更多詳情。

引用自:https://serverfault.com/questions/1083166