Google Cloud - Hippa 合规性 - PgAudit 与 IAM 审核日志

Question

我们的基础架构托管在 Google Cloud 上，并通过 Cloud SQL 使用 postgresql 实例

我需要为 HIPAA 合规性配置日志记录。 我已经阅读了 Google 文档中的 2 篇文章：

https://cloud.google.com/logging/docs/audit/configure-data-access#config-console https://cloud.google.com/sql/docs/postgres/pg-audit#overview

第一次谈到从 IAM 中启用审计日志，这里我可以选择 Cloud SQL 并为数据和管理员启用 r+w 日志

第二个谈论PgAudit并设置以下标志pgaudit.log=all

我有几个问题：

1. IAM 日志和 PgAudit 有何不同，我应该同时启用两者还是这样做有冗余？
2. 对于使用 PgAudit 的 HIPAA 合规性，我应该记录 all 还是有其他有意义的值

Answer 1

IAM 日志和 PgAudit 有何不同，我应该同时启用两者还是这样做有冗余？

IAM Logs 专注于管理活动和数据访问：

• 管理员活动审核日志：包括“管理员写入”操作 写入元数据或配置信息。
• 数据访问审核日志：包括读取的“管理员读取”操作 元数据或配置信息。还包括“数据读取”和 读取或写入用户提供的数据的“数据写入”操作。

另一方面，pgAudit extension 适用于执行的 SQL 命令和查询。

标准日志可以提供基本语句日志 log_statement = all 的设施。这对于监控是可以接受的 和其他用法，但一般不提供详细程度 需要进行审计。列出所有的清单是不够的 对数据库执行的操作。还必须可以 找到审计师感兴趣的特定陈述。这 标准日志工具显示用户请求的内容，而 pgAudit 重点关注数据库运行时发生的事情的细节 满足要求。

对于使用 PgAudit 的 HIPAA 合规性，我应该记录全部还是有其他有意义的值

谈到 HIPAA 合规性，我没有任何经验，但in this page 提到 HIPAA 安全规则的部分技术保障是引入活动日志和审计控制。

也许将 IAM 日志（谁做了什么、在哪里、何时？）与 pgAudit（执行的命令和查询）结合起来，可以更好地应对这种实施规范。