Google Hipaa遵从性- PgAudit与IAM审计日志

Question

我们的基础设施托管在Google上，并通过Cloud使用postgresql实例

我需要配置日志记录以满足HIPAA的要求。我从谷歌的文档中读到了两篇文章：

https://cloud.google.com/logging/docs/audit/configure-data-access#config-console https://cloud.google.com/sql/docs/postgres/pg-audit#overview

第一个讨论从IAM内部启用审计日志，这里我可以选择Cloud并为数据和管理员启用r+w日志

第二节讨论PgAudit，并设置以下标志pgaudit.log=all

我有几个问题：

1. IAM日志和PgAudit有什么不同，我应该启用两者，或者这样做是否存在冗余？
2. 对于使用PgAudit的HIPAA遵从性，我应该记录all还是有另一个有意义的值

Answer 1

要回答第一个问题：

IAM有两种类型的审计日志：

1. 管理活动审核日志:包括写入元数据或配置信息的“管理写”操作。不能禁用管理活动审核日志。
2. 数据访问审核日志:包括读取元数据或配置信息的"admin“操作。还包括读取或写入用户提供的数据的“数据读取”和“数据写入”操作。若要接收数据访问审核日志，必须显式启用它们。

这些日志主要用于审计在Cloud实例上执行的管理和维护操作。

与此相反，中的数据库审计可以通过开源pgAudit扩展获得.使用此扩展，您可以选择性地记录和跟踪针对给定数据库实例执行的SQL操作。该扩展为您提供了监视和记录所选操作子集的审计功能。pgAudit扩展适用于已执行的SQL命令和查询。有关详细信息，您可以参考链接。

And to answer the second question:

PostgreSQL审核扩展(pgAudit)通过标准的PostgreSQL日志记录工具提供详细的会话和/或对象审计日志记录。pgAudit的目标是向PostgreSQL用户提供生成符合政府、财务或国际标准化组织认证所需的审计日志的能力。

pg.auditlog可以读取、写入、函数、角色、ddl、misc、misc_set、all、none等值。您可以使用逗号分隔的列表提供多个类，并以符号作为类的前缀来减去类。默认为无。

标准日志工具可以使用log_statement = all提供基本语句日志记录。这对于监测和其他用途来说是可以接受的，但并没有提供审计通常需要的详细程度。仅有一个针对数据库执行的所有操作的列表是不够的。还必须能够找到审计人员感兴趣的特定报表。标准日志记录工具显示用户请求的内容，而pgAudit则关注数据库满足请求时发生的详细情况。

对于HIPAA遵从性，在技术保障下，提到引入活动日志和审计控制。有关更多细节，您可以参考链接。

Answer 2

正如@Mousumi所共享的此链接中所提到的，建议使用PgAudit。

中推荐的一种审计方法是pgAudit扩展；参见使用PostgreSQL对pgAudit进行审计。

此外，正如提到的这里一样，对于Cloud和其他受支持的产品，谷歌将根据HIPAA的需要与客户签订业务关联协议(，BAA)。然而，由于缺乏美国HHS认可的HIPAA认证，最终客户有责任评估他们自己的HIPAA遵从性。