Tham gia Đăng nhập
Điểm:1
avatar Server

Google Cloud - Tuân thủ Hipaa - Nhật ký kiểm tra PgAudit và IAM

lá cờ cn
Shawn Northrop

Cơ sở hạ tầng của chúng tôi được lưu trữ trên Google Cloud và sử dụng các phiên bản postgresql qua Cloud SQL

Tôi cần định cấu hình ghi nhật ký để tuân thủ HIPAA. Tôi đã đọc 2 bài báo từ tài liệu của Google:

https://cloud.google.com/logging/docs/audit/configure-data-access#config-console https://cloud.google.com/sql/docs/postgres/pg-audit#overview

Phần đầu tiên nói về việc bật Nhật ký kiểm tra từ bên trong IAM, ở đây tôi có thể chọn Cloud SQL và bật nhật ký r+w cho dữ liệu và quản trị viên

Cuộc nói chuyện thứ hai về PgAudit và đặt cờ sau pgaudit.log=all

Tôi có một vài câu hỏi:

  1. Nhật ký IAM và PgAudit khác nhau như thế nào, tôi có nên bật cả hai hay không hoặc có dư thừa khi làm như vậy không?
  2. Để tuân thủ HIPAA bằng PgAudit, tôi có nên đăng nhập tất cả các hoặc có một giá trị khác có ý nghĩa
134
0 + 0
Điểm:1
Gourav B avatar Server
lá cờ in
Gourav B

Như đã đề cập trong liên kết này được chia sẻ bởi @Mousumi , PgAudit được khuyến khích.

Một phương pháp được đề xuất để kiểm tra trong Cloud SQL cho PostgreSQL là phần mở rộng pgAudit; xem Kiểm tra PostgreSQL bằng pgAudit.

Ngoài ra, như đã đề cập đây, đối với Cloud SQL và các sản phẩm được hỗ trợ khác, Google sẽ ký kết Thỏa thuận liên kết kinh doanh (BAA) với khách hàng khi cần thiết theo HIPAA. Tuy nhiên, cuối cùng thì khách hàng chịu trách nhiệm đánh giá việc tuân thủ HIPAA của chính họ, do không có bất kỳ chứng nhận nào được HHS Hoa Kỳ công nhận cho HIPAA.

0 + 0
Điểm:1
Mousumi Roy avatar Server
lá cờ us
Mousumi Roy

Để trả lời câu hỏi đầu tiên:

Hai loại nhật ký kiểm tra có sẵn cho IAM:

  1. Nhật ký kiểm tra hoạt động của quản trị viên: Bao gồm các hoạt động "viết quản trị" ghi siêu dữ liệu hoặc thông tin cấu hình. Bạn không thể tắt nhật ký kiểm tra Hoạt động của quản trị viên.
  2. Nhật ký kiểm tra Truy cập dữ liệu: Bao gồm các thao tác "admin read" đọc siêu dữ liệu hoặc thông tin cấu hình. Cũng bao gồm các hoạt động "đọc dữ liệu" và "ghi dữ liệu" đọc hoặc ghi dữ liệu do người dùng cung cấp. Để nhận nhật ký kiểm tra Truy cập dữ liệu, bạn phải bật chúng một cách rõ ràng.

Những nhật ký này chủ yếu được sử dụng để kiểm tra hoạt động hành chính và bảo trì được thực hiện trên phiên bản Cloud SQL.

Ngược lại, kiểm tra cơ sở dữ liệu trong Cloud SQL cho PostgreSQL có sẵn thông qua tiện ích mở rộng pgAudit mã nguồn mở. Sử dụng tiện ích mở rộng này, bạn có thể ghi lại và theo dõi có chọn lọc các thao tác SQL được thực hiện đối với một phiên bản cơ sở dữ liệu nhất định. Tiện ích mở rộng cung cấp cho bạn khả năng kiểm tra để giám sát và ghi lại một tập hợp con các hoạt động được chọn. Tiện ích mở rộng pgAudit áp dụng cho các lệnh và truy vấn SQL đã thực thi. Chi tiết bạn có thể tham khảo tại liên kết.

 
Và để trả lời câu hỏi thứ hai:

Tiện ích mở rộng kiểm tra PostgreSQL (pgAudit) cung cấp ghi nhật ký kiểm tra phiên và/hoặc đối tượng chi tiết thông qua cơ sở ghi nhật ký PostgreSQL tiêu chuẩn. Mục tiêu của pgAudit là cung cấp cho người dùng PostgreSQL khả năng tạo nhật ký kiểm tra thường được yêu cầu để tuân thủ các chứng nhận của chính phủ, tài chính hoặc ISO.

pg.auditlog có thể nhận các giá trị read, write, function, role, ddl, misc, misc_set, all, none. Bạn có thể cung cấp nhiều lớp bằng cách sử dụng danh sách được phân tách bằng dấu phẩy và trừ một lớp bằng cách đặt trước lớp bằng dấu -. Mặc định là không.

Ghi nhật ký câu lệnh cơ bản có thể được cung cấp bởi tiện ích ghi nhật ký tiêu chuẩn với log_statement = all.Điều này có thể chấp nhận được đối với việc giám sát và các mục đích sử dụng khác nhưng không cung cấp mức độ chi tiết thường được yêu cầu cho một cuộc kiểm toán. Không đủ để có một danh sách tất cả các hoạt động được thực hiện đối với cơ sở dữ liệu. Cũng phải có khả năng tìm thấy các báo cáo cụ thể mà kiểm toán viên quan tâm. Cơ sở ghi nhật ký tiêu chuẩn hiển thị những gì người dùng yêu cầu, trong khi pgAudit tập trung vào chi tiết về những gì đã xảy ra trong khi cơ sở dữ liệu đáp ứng yêu cầu.

Để tuân thủ HIPAA, theo các biện pháp bảo vệ kỹ thuật, nó được đề cập để giới thiệu nhật ký hoạt động và kiểm soát kiểm toán. Bạn có thể tham khảo các liên kết để biết thêm chi tiết.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.