înregistrare Logare
Puncte:1
avatar Server

Google Cloud - Conformitate Hipaa - Jurnalele de audit PgAudit vs IAM

drapel cn
Shawn Northrop

Infrastructura noastră este găzduită pe Google Cloud și utilizează instanțe postgresql prin Cloud SQL

Trebuie să configurez înregistrarea pentru conformitate cu HIPAA. Am citit 2 articole din documentația Google:

https://cloud.google.com/logging/docs/audit/configure-data-access#config-console https://cloud.google.com/sql/docs/postgres/pg-audit#overview

Prima vorbește despre activarea jurnalelor de audit din cadrul IAM, aici pot selecta Cloud SQL și pot activa jurnalele r+w pentru date și administratori

Al doilea vorbește despre PgAudit și setează următorul steag pgaudit.log=toate

Am câteva întrebări:

  1. Cum diferă jurnalele IAM și PgAudit, ar trebui să le activez pe ambele sau există redundanță făcând acest lucru?
  2. Pentru conformitatea HIPAA folosind PgAudit, ar trebui să mă înregistrez toate sau există o altă valoare care are sens
134
0 + 0
Puncte:1
Gourav B avatar Server
drapel in
Gourav B

După cum se menționează în acest link împărtășit de @Mousumi , PgAudit este recomandat.

O metodă recomandată de auditare în Cloud SQL pentru PostgreSQL este extensia pgAudit; vedea Audit pentru PostgreSQL folosind pgAudit.

De asemenea, după cum am menționat Aici, pentru Cloud SQL și alte produse acceptate, Google va încheia un Acord de Asociat de afaceri (BAA) cu clienții, după cum este necesar în conformitate cu HIPAA. Cu toate acestea, în cele din urmă, clienții sunt responsabili pentru evaluarea conformității lor HIPAA, din cauza lipsei oricărei certificări recunoscute de HHS din SUA pentru HIPAA.

0 + 0
Puncte:1
Mousumi Roy avatar Server
drapel us
Mousumi Roy

Pentru a răspunde la prima întrebare:

Două tipuri de jurnale de audit sunt disponibile pentru IAM:

  1. Jurnalele de audit ale activității administratorului: Include operațiuni de „scriere admin” care scriu metadate sau informații de configurare. Nu puteți dezactiva jurnalele de audit ale activității administratorului.
  2. Jurnalele de auditare a accesului la date: include operațiuni „admin read” care citesc metadate sau informații de configurare. Include, de asemenea, operațiuni de „citire a datelor” și „scriere a datelor” care citesc sau scriu date furnizate de utilizator. Pentru a primi jurnalele de auditare a accesului la date, trebuie să le activați în mod explicit.

Aceste jurnalele sunt utilizate în principal pentru audit operațiuni administrative și de întreținere realizat pe o instanță Cloud SQL.

În schimb, auditarea bazelor de date în Cloud SQL pentru PostgreSQL este disponibilă prin extensia open-source pgAudit. Folosind această extensie, puteți înregistra și urmări selectiv operațiunile SQL efectuate împotriva unei anumite instanțe de bază de date. Extensia vă oferă capabilități de auditare pentru a monitoriza și înregistra un subset selectat de operațiuni. Extensia pgAudit se aplică la a executat comenzi și interogări SQL. Pentru detalii, puteți consulta legătură.

 
Și pentru a răspunde la a doua întrebare:

Extensia de audit PostgreSQL (pgAudit) oferă înregistrare detaliată a sesiunilor și/sau a obiectelor de audit prin intermediul facilitatii standard de înregistrare PostgreSQL. Scopul pgAudit este de a oferi utilizatorilor PostgreSQL capacitatea de a produce jurnalele de audit adesea necesare pentru a se conforma cu certificările guvernamentale, financiare sau ISO.

pg.auditlog poate lua valori read, write, function, role, ddl, misc, misc_set, all, none. Puteți furniza mai multe clase folosind o listă separată prin virgulă și puteți scădea o clasă prefațând clasa cu semnul -. Valoarea implicită este niciunul.

Înregistrarea instrucțiunilor de bază poate fi furnizată de facilitatea standard de înregistrare cu log_statement = all.Acest lucru este acceptabil pentru monitorizare și alte utilizări, dar nu oferă nivelul de detaliu necesar în general pentru un audit. Nu este suficient să aveți o listă cu toate operațiunile efectuate împotriva bazei de date. De asemenea, trebuie să fie posibil să se găsească anumite declarații care prezintă interes pentru un auditor. Facilitatea de înregistrare standard arată ce a cerut utilizatorul, în timp ce pgAudit se concentrează pe detaliile a ceea ce s-a întâmplat în timp ce baza de date satisface cererea.

Pentru conformitatea cu HIPAA, sub garanțiile tehnice se menționează introducerea jurnalelor de activitate și controalelor de audit. Vă puteți referi la legătură pentru mai multe detalii.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.