Google Cloud - Conformité HIPAA - PGAUDIT VS IAM Audit Journaux
Notre infrastructure est hébergée sur Google Cloud et utilise des instances PostgreSQL via Cloud SQL
J'ai besoin de configurer la journalisation pour la conformité HIPAA. J'ai lu 2 articles de la documentation de Google:
https://cloud.google.com/logging/docs/audit/configure-data-access#config-consolehttps://cloud.google.com/sql/docs/ Postgres/PG-Audit # Vue d'ensemble
La première discussion sur l'activation des journaux d'audit dans IAM, ici, je peux sélectionner Cloud SQL et activer les journaux R + W pour les données et les administrateurs.
La seconde parle de PGAUDIT et définit le drapeau suivant pgaudit.log=all
J'ai quelques questions:
- Comment les journaux IAM et PGAUDIT diffèrent-ils, devrions-je permettre à la fois ou y at-il une redondance en le faisant?
- Pour la conformité HIPAA à l'aide de PGAUDIT, dois-je me connecter
allou y a-t-il une autre valeur qui a du sens
Comme mentionné dans ce lien partagé par @Mousumi, PgAudit est recommandé.
Une méthode recommandée pour l'audit dans Cloud SQL pour PostgreSQL est l'extension PGAUDIT; Voir Audit pour PostgreSQL à l'aide de PGAUDIT .
De plus, comme mentionné ici , pour Cloud SQL et d'autres produits pris en charge, Google entrera dans des accords associés d'entreprise (BAA) avec des clients si nécessaire sous HIPAA. Toutefois, finalement, les clients sont responsables de l'évaluation de leur propre conformité HIPAA, faute de toute certification reconnue par les États-Unis HHS pour HIPAA.