0

我们的基础架构托管在 Google Cloud 上,并通过 Cloud SQL 使用 postgresql 实例

我需要为 HIPAA 合规性配置日志记录。我已阅读 Google 文档中的 2 篇文章:

https://cloud.google.com/logging/docs/audit/configure-data-access#config-console https://cloud.google.com/sql/docs/postgres/pg-audit#overview

第一个讨论从 IAM 中启用审计日志,这里我可以选择 Cloud SQL 并为数据和管理员启用 r+w 日志

第二个谈论 PgAudit 并设置以下标志pgaudit.log=all

我有一些问题:

  1. IAM 日志和 PgAudit 有何不同,我应该同时启用两者还是这样做有冗余?
  2. 对于使用 PgAudit 的 HIPAA 合规性,我应该记录all还是有其他有意义的值
4

1 回答 1

1

IAM 日志和 PgAudit 有何不同,我应该同时启用两者还是这样做有冗余?

IAM日志专注于管理活动和数据访问:

  • 管理员活动审核日志:包括写入元数据或配置信息的“管理员写入”操作。
  • 数据访问审核日志:包括读取元数据或配置信息的“管理员读取”操作。还包括读取或写入用户提供的数据的“数据读取”和“数据写入”操作。

另一方面,pgAudit 扩展适用于执行的 SQL 命令和查询。

基本语句日志记录可以由标准日志记录工具提供,log_statement = all。这对于监控和其他用途是可以接受的,但不能提供审计通常所需的详细程度。拥有对数据库执行的所有操作的列表是不够的。还必须能够找到审计员感兴趣的特定陈述。标准日志记录工具显示用户请求的内容,而 pgAudit 专注于数据库满足请求时发生的事情的详细信息。

对于使用 PgAudit 的 HIPAA 合规性,我应该记录全部还是有另一个有意义的值

关于 HIPAA 合规性,我没有任何经验,但在此页面中提到 HIPAA 安全规则的技术保障的一部分是引入活动日志和审计控制。

也许将 IAM 日志(谁做了什么,在哪里,何时?)与 pgAudit(执行的命令和查询)结合起来,将提供更好的覆盖面来面对这个实现规范。

于 2021-11-11T17:44:50.473 回答