VIDEO
HIGHLIGHT
Log InSign up
Best practices
SummaryTranscriptChat

Best practices

Prácticas recomendadas para registros de auditoría de acceso a los datos

Resumen de la sección: En esta sección, se revisan algunas prácticas recomendadas antes de finalizar el módulo sobre registros de auditoría de acceso a los datos. Se enfatiza la importancia de planificar y crear un plan para los registros, así como probar y automatizar su implementación. También se mencionan las ventajas y desventajas de habilitar los registros de acceso a los datos.

Planificación y creación del plan

  • Dedica tiempo a crear un plan para los registros de auditoría.
  • Considera la organización, carpeta y proyecto al diseñar el plan.
  • Crea un proyecto de prueba para experimentar con el registro antes de implementarlo.

Implementación y automatización

  • Implementa el plan una vez que hayas probado que funciona correctamente.
  • No olvides la automatización utilizando infraestructura como código (IaC).
  • Habilita los registros de auditoría en toda la organización.

Ventajas y desventajas

  • La ventaja principal es obtener información detallada sobre quién accede a qué datos y cuándo.
  • La desventaja es que los registros pueden ocupar mucho espacio y generar costos adicionales por gigabyte almacenado.
  • También pueden generar más consultas por segundo según la cantidad de solicitudes realizadas.

Infraestructura como código (IaC)

Resumen de la sección: En esta sección, se explica qué es la infraestructura como código (IaC) y cómo puede ser utilizada para automatizar la creación y modificación de la infraestructura. Se menciona Terraform como una herramienta popular de código abierto para implementar IaC.

Infraestructura como código

  • La infraestructura como código es el proceso de automatizar la creación y modificaciones de la infraestructura a través de archivos de configuración.
  • Terraform es una herramienta popular de código abierto desarrollada por HashiCorp.
  • Puede ser instalada en Cloud Shell, aunque no está alojada directamente en Google Cloud.

Administración del estado

  • La administración del estado es un punto de decisión para la organización.
  • Puede realizarse de forma remota utilizando Google Cloud Storage o Terraform Cloud.
  • También puede realizarse localmente mediante configuraciones locales o el servicio pago por uso HashiCorp Enterprise.

Configuración y administración de registros

Resumen de la sección: En esta sección, se aborda la configuración y administración de los registros en Google Cloud. Se mencionan las opciones disponibles para centralizar o subdividir el almacenamiento de registros, así como personalizar su ubicación y período de retención.

Almacenamiento y retención

  • Es recomendable crear buckets definidos por los usuarios para centralizar o subdividir el almacenamiento de registros.
  • Personaliza el almacenamiento eligiendo su ubicación y definiendo el período de retención según los requisitos específicos.
  • Algunas organizaciones pueden tener requisitos particulares en términos de latencia, cumplimiento y disponibilidad en regiones específicas.

Ubicación predeterminada y encriptado

  • Configura una ubicación predeterminada para que los buckets se creen automáticamente en esa región.
  • Cloud Logging encripta el contenido del cliente almacenado en reposo.
  • Si se requiere una encriptación avanzada, se pueden configurar claves de encriptación administradas por el cliente (CMEK) para controlar y administrar la encriptación.

Exportación de registros y acceso a los datos

Resumen de la sección: En esta sección, se menciona la importancia de incluir la exportación de registros en el plan. Se discute cómo decidir qué exportar, las opciones disponibles y cómo aplicar filtros para controlar los registros a nivel de proyecto.

Exportación de registros

  • Decide qué registros serán exportados desde las exportaciones agregadas a nivel de organización.
  • Determina las opciones que utilizarás proyecto por proyecto y carpeta por carpeta.
  • Aplica filtros cuidadosamente para incluir o excluir información específica.
  • Recuerda que las entradas excluidas desaparecerán permanentemente.

Filtrado y acceso a los datos

  • La filtración de datos mediante registros es común y debe gestionarse cuidadosamente.
  • Asigna permisos adecuados tanto en los registros basados en Cloud como en los exportados.
  • Utiliza controles IAM para garantizar un acceso mínimo requerido para el trabajo realizado.
  • Analiza detenidamente los permisos relacionados con los registros de auditoría de acceso a los datos, ya que pueden contener información sensible.

Control de acceso a los registros

Resumen de la sección: En esta sección, se aborda el control de acceso a los registros. Se mencionan diferentes roles y permisos que pueden asignarse según las responsabilidades del equipo de seguridad y desarrollo.

Supervisión operativa

  • Utiliza controles IAM para asignar permisos al equipo de seguridad y cuentas de servicio.
  • El director de tecnología puede otorgar roles como logging.viewer y logging.privateLogViewer al equipo de seguridad para visualizar los registros.
  • Los permisos de visualización se asignan a nivel de organización y son globales.

Equipos de desarrollo

  • El equipo de seguridad mantiene los mismos roles mencionados anteriormente.
  • Los datos exportados a Cloud Storage o BigQuery se protegen selectivamente con IAM.
  • La integración con Cloud DLP permite ocultar datos sensibles en los registros.

Conclusiones finales

Resumen de la sección: En esta sección, se concluye el módulo sobre registros de auditoría. Se destaca la importancia del control de acceso a los datos y la protección adecuada de información sensible en los registros.

Control y protección

  • Es fundamental controlar el acceso a los registros según las responsabilidades del equipo.
  • Utiliza controles IAM para garantizar que solo los usuarios autorizados puedan acceder a los registros.
  • Protege la información sensible utilizando herramientas como Cloud DLP.

Control de acceso a registros de auditoría

Resumen de la sección: En esta sección se discute cómo controlar el acceso a los registros de auditoría para proteger la información confidencial de los clientes. Se mencionan dos opciones para limitar el acceso a los datos y garantizar que solo las personas autorizadas puedan verlos.

Uso de IAM en Cloud Storage o BigQuery

  • Se recomienda utilizar IAM (Identity and Access Management) en Cloud Storage o BigQuery para controlar el acceso a los registros exportados.
  • IAM permite definir roles y permisos específicos para usuarios y grupos, lo que ayuda a restringir quién puede acceder a los datos.
  • Al configurar adecuadamente IAM, es posible limitar el acceso solo a las personas involucradas en las pruebas y evitar que vean información real de los clientes.

Compilación previa de paneles

  • Otra opción recomendada es compilar paneles previamente con la información necesaria.
  • Esto implica crear informes o visualizaciones personalizadas que muestren solo los datos relevantes para las pruebas, sin exponer información confidencial.
  • La compilación previa de paneles permite tener un control más preciso sobre qué datos se muestran durante las pruebas y evita revelar información sensible.

Recuerda utilizar estas opciones para garantizar la seguridad y privacidad de los datos durante las pruebas, limitando el acceso únicamente a quienes lo necesiten.