Google Hippa遵从性- PgAudit与IAM审计日志

Question

我们的基础设施托管在Google上，并通过Cloud使用postgresql实例

我需要配置日志记录以满足HIPAA的要求。我从谷歌的文档中读到了两篇文章：

https://cloud.google.com/logging/docs/audit/configure-data-access#config-console https://cloud.google.com/sql/docs/postgres/pg-audit#overview

第一个讨论从IAM内部启用审计日志，这里我可以选择Cloud并为数据和管理员启用r+w日志

第二节讨论PgAudit，并设置以下标志pgaudit.log=all

我有几个问题：

1. IAM日志和PgAudit有什么不同，我应该启用两者，或者这样做是否存在冗余？
2. 对于使用PgAudit的HIPAA遵从性，我应该记录all还是有另一个有意义的值

Answer 1

IAM日志和PgAudit有何不同，我应该启用两者，还是这样做存在冗余？

IAM日志的重点是管理活动和数据访问：

• 管理活动审核日志:包括写入元数据或配置信息的“管理写”操作。
• 数据访问审核日志:包括读取元数据或配置信息的"admin“操作。还包括读取或写入用户提供的数据的“数据读取”和“数据写入”操作。

另一方面，pgAudit扩展适用于已执行的SQL命令和查询。

标准日志工具可以使用log_statement = all提供基本语句日志记录。这对于监测和其他用途来说是可以接受的，但并没有提供审计通常需要的详细程度。仅有一个针对数据库执行的所有操作的列表是不够的。还必须能够找到审计人员感兴趣的特定报表。标准日志记录工具显示用户请求的内容，而pgAudit则关注数据库满足请求时发生的详细情况。

使用实现HIPAA遵从性时，我应该记录所有内容还是有另一个有意义的值()

在HIPAA遵从性方面，我对这个主题没有任何经验，但在这一页提到，HIPAA安全规则的技术保障措施的一部分是引入活动日志和审计控制。

也许组合IAM日志(谁做了什么、地点和时间？)使用pgAudit(执行的命令和查询)将提供更好的覆盖率，以满足此实现规范。