Google Cloud -Соответствие требованиям Hippa -PgAudit и журналы аудита IAM
Наша инфраструктура размещена в Google Cloud и использует экземпляры postgresql через Cloud SQL
Мне нужно настроить ведение журнала для соответствия требованиям HIPAA. Я прочитал 2 статьи из документации Google:
https://cloud.google.com/logging/docs/audit/configure-data-access#config-console https://cloud.google.com/sql/docs/postgres/pg-audit#overview
В первой рассказывается о включении журналов аудита из IAM, здесь я могу выбрать Cloud SQL и включить журналы r+w для данных и администраторов
Вторая рассказывает о PgAudit и устанавливает следующее флагpgaudit.log=all
У меня есть пара вопросов:
- Чем отличаются журналы IAM и PgAudit, должен ли я включать оба или это создает избыточность?
- Для соответствия требованиям HIPAA с использованием PgAudit, следует ли записывать
allили есть другое значение, имеющее смысл
Чтобы ответить на первый вопрос:
Два типа журналов аудита доступны для IAM:
- Журналы аудита действий администратора:Включает операции «администраторской записи», которые записывают метаданные или информацию о конфигурации. Вы не можете отключить журналы аудита действий администратора.
- Журналы аудита доступа к данным.:Включает операции «административного чтения», которые считывают метаданные или информацию о конфигурации. Также включает операции «чтение данных» и «запись данных», которые считывают или записывают предоставленные пользователем-данные. Чтобы получать журналы аудита доступа к данным, вы должны явно включить их.
Эти журналы в основном используются для аудита административных и обслуживающих операций , выполняемых в экземпляре Cloud SQL.
Аудит баз данных в Cloud SQL для PostgreSQL, напротив, доступен через расширение pgAudit с открытым-исходным кодом. Используя это расширение, вы можете выборочно записывать и отслеживать операции SQL, выполняемые с данным экземпляром базы данных. Расширение предоставляет вам возможности аудита для мониторинга и записи выбранного подмножества операций. Расширение pgAudit применяется к выполненным SQL-командам и запросам . Для получения подробной информации вы можете обратиться к ссылке .
And to answer the second question:
Расширение аудита PostgreSQL (pgAudit)обеспечивает подробное ведение журнала аудита сеансов и/или объектов с помощью стандартного средства ведения журнала PostgreSQL. Цель pgAudit — предоставить пользователям PostgreSQL возможность создавать журналы аудита, которые часто требуются для соответствия правительственным, финансовым или ISO-сертификатам.
pg.auditlog может принимать значения для чтения,запись, функция, роль, ddl, разное, разное_набор, все, нет. Вы можете указать несколько классов, используя список, разделенный запятыми-, и вычесть класс, поставив перед классом знак -. По умолчанию нет.
Базовое ведение журнала операторов может быть обеспечено стандартным средством ведения журнала с помощью log_statement = all. Это приемлемо для мониторинга и других применений, но не обеспечивает уровень детализации, обычно требуемый для аудита. Недостаточно иметь список всех операций, выполненных с базой данных. Должна быть также возможность найти конкретные заявления, представляющие интерес для аудитора. Стандартное средство ведения журнала показывает, что запросил пользователь, в то время как pgAudit фокусируется на деталях того, что произошло, пока база данных удовлетворяла запрос.
Для обеспечения соответствия требованиям HIPAA в технических мерах безопасности упоминается введение журналов активности и средств контроля аудита. Вы можете обратиться к ссылке для получения более подробной информации.
Как упоминалось в , эта ссылка , которой поделился @Mousumi, PgAuditрекомендуется.
Рекомендуемым методом аудита в Cloud SQL для PostgreSQL является расширение pgAudit; см. Аудит для PostgreSQL с использованием pgAudit .
Кроме того, как упоминалось здесь , для Cloud SQL и других поддерживаемых продуктов Google будет заключать соглашения о деловом партнерстве(BAA)с клиентами по мере необходимости в соответствии с HIPAA. Однако в конечном итоге клиенты сами несут ответственность за оценку своего соответствия HIPAA из-за отсутствия каких-либо сертификатов, признанных HHS США для HIPAA.