GCP Audit log 기본개념

2021-12-25

.

Data_engineering_TIL(20211225)

[학습자료]

GCP 공식 도큐먼트를 참고하여 공부한 내용입니다.

** URL :

https://cloud.google.com/logging/docs/audit

[학습내용]

  1. 개요

  • Google Cloud에서 빅쿼리를 포함한 거의 대부분의 리소스에 대해서 사용자들의 액세스나 액션에 대해서 감사 로그를 작성하는 기능임

  • ‘누가 언제 어디서 무엇을 했는가?’라는 감사관점에서 로그들을 기록하는 개념임

  • 감사 로그를 사용 설정하면 보안, 감사, 규정 준수 항목이 Google Cloud 데이터 및 시스템에서 취약점 발생 또는 외부 데이터 오용 가능 성을 모니터링할 수 있음

  1. Cloud Audit log를 조회할 수 있는 콘솔

https://console.cloud.google.com/logs/viewer

1

  1. Cloud Audit log 타입

2

타입 1. Admin Activity audit logs(activity)

(1) API 호출이나 리소스로 접근 또는 리소스를 구성하거나, 설정값을 수정하는 기타 작업과 관련된 모든 액션들이 로그로 저장됨

(2) 예를 들어 사용자가 VM 인스턴스를 만들거나 IAM 권한을 변경하면 로그가 기록됨

(3) Admin Activity audit logs는 항상 기록되며 구성하거나 제외하거나 사용 중지할 수 없음

(4) Cloud Logging API를 사용 중지해도 감사 로그는 계속 생성됨

(5) 로그 저장시 요금은 무료임

(6) Activity page라는 콘솔에서 activity의 요약된 로깅내용을 볼 수 있음

Activity page URL : https://console.cloud.google.com/home/activity

3

실제 Cloud Audit log 콘솔에서는 당연히 Activity page에 표시된 것보다 많은 정보를 확인할 수 있음

타입 2. Data Access audit logs(data_access)

(1) Data Access audit logs는 리소스의 구성 또는 설정값을 읽는 API 호출외에 특정 리소스를 갖고 데이터를 생성하고, 수정하고, 읽는 모 든 API 호출에 대해서 로그를 저장하는 개념임

(2) 쉽게 말해서 데이터에 접근하는 모든 행위에 대한 로깅이라고 이해하면 됨

(3) BigQuery Data Access audit logs를 제외한 모든 Data Access audit logs는 default로는 중지되어 있음

(4) BigQuery 이외의 Google Cloud 서비스에 대해 Data Access audit logs를 기록해서 저장하도록 하려면 별도로 설정을 해줘야함

(5) 로그 저장시 요금 유료임

타입 3. System Event audit logs(system_event)

(1) 리소스 구성을 수정하는 Google Cloud 작업들의 로그 항목으로 Google 시스템에서 생성됨

(2) 예를들어서 GCE의 Live Migration 로그와 구글 인프라 상에서 발생하는 인스턴스의 시스템 이벤트 로그 등이 이에 해당됨

(3) System Event audit logs는 항상 기록되며, 구성하거나 제외하거나 사용 중지할 수 없음

(4) 로그 저장시 요금은 무료임

타입 4. Policy Denied audit logs(policy)

(1) 보안 정책 위반으로 인해 GCP가 사용자 또는 서비스 계정에 대해 액세스를 거부할 때 기록되는 로그임

(2) 보안 정책은 Cloud Logging에 Policy Denied audit logs를 제공하는 VPC 관련 서비스에서 설정하는 값들에 의해 결정됨

(3) 디폴트로 Policy Denied audit logs가 생성되며 Cloud 프로젝트에 로그 스토리지에 대한 요금이 청구됨 (저장시 가격 유료)

(4) Policy Denied audit logs를 중지할 수 없지만 예외 필터를 사용하여 원하지 않는 Policy Denied audit logs가 수집되어 Cloud Logging에 저장되 지 않게 할 수 있음

  1. 로그 보관장소 및 보존기간

  • 로그는 로그 버킷이라는 Cloud Logging으로 전송된 로그들을 위한 별도의 저장소에 저장됨

  • 로그 버킷은 프로젝트 별로 기본적으로 생성됨

  • 사용자는 조직의 요구 조건에 따라 별도의 로그 버킷을 생성하여 사용자 정의 보관 정책등을 구성할 수 있음

  • 로그 버킷 콘솔 주소 : https://console.cloud.google.com/logs/storage

4

  • 로그 버킷의 종류 및 특징

종류 1. _Required

(1) Admin Activity Audit, System Event Audit, Access Transparency 로그

(2) 무료 로그, 400일 동안 보관, 보관기간 및 삭제 불가능

종류 2. _Default

(1) _Required 저장 로그를 제외한 모든 수집 로그 저장

(2) 표준 Cloud Logging 가격 책정 적용

(3) 커스텀 보관 기간을 적용하지 않는 한 30일 보관

(4) 버킷 삭제 불가능, 로그를 이 버킷으로 라우팅하는 _Default 로그 싱크 사용 중지 가능

종류 3. Custom

(1) 커스텀 보관기간 설정 가능

(2) 커스텀 보관기간은 최대 10년

(3) 로그 버킷은 클라우드 콘솔의 Logging > Logs Storage에서 신규 로그 버킷을 생성하거나 기존 로그 버킷을 관리할 수 있음

  1. Cloud Logging 가격 정책

  • 로그 데이터 $0.50/GiB, 프로젝트당 월별 최초 50GiB 무료

  • 2021년 3월 31일부터 기본 보관 기간 초과 시 매월 $0.01/GiB의 요금 발생

  • Admin Activity Audit 및 System Event Audit 로그 등 무료 로그를 제외한 모든 로그에 대해서 무료 사용량을 초과하는 로그에 대해 비용 발생