Google Cloud Armor セキュリティ ポリシーのモニタリング

Google Cloud Armor は、セキュリティ ポリシーから Cloud Monitoring にモニタリング データをエクスポートします。モニタリング指標を使用すると、ポリシーが意図したとおりに機能しているかどうかを確認することや、問題をトラブルシューティングすることが可能です。たとえば、バックエンド サービスごとにブロックまたは許可されたトラフィックを表示できます。1 つのセキュリティ ポリシー(複数のバックエンド サービスに適用できる)または 1 つのバックエンド サービスの指標をモニタリングできます。

Monitoring の事前定義されたダッシュボードに加えて、カスタム ダッシュボードの作成、アラート ポリシーの設定、Cloud Monitoring API を使用して指標に関するクエリの実行を行うことができます。

Monitoring ダッシュボードに表示される対応待ちのインシデントは、構成したアラート ポリシーに従って作成されます。アラートがトリガーされると、ダッシュボードにインシデントとして表示されます。これらは、Monitoring の一般的な機能です。

Security Command Center の Monitoring ログはありません。

Monitoring の詳細については、Cloud Monitoring のドキュメントをご覧ください。

モニタリング ダッシュボードの表示

Cloud Monitoring の事前構成されたネットワーク セキュリティ ポリシー リソースのダッシュボードを使用して、ポリシーごとおよびバックエンド サービスごとに、ステータスとリクエスト トラフィック量(許可、拒否、またはプレビュー)をモニタリングできます。

ダッシュボードを表示する方法は次のとおりです。

  1. Google Cloud コンソールで [Monitoring] に移動します。

    [Monitoring] に移動

  2. 左側のナビゲーション パネルで、[ダッシュボード] を選択します。

  3. [名前] で [Network Security Policies] を選択します。

  4. ポリシーの名前をクリックします。

ダッシュボードにアクセスすると、右側に全体的な指標が表示されます。これには、セキュリティ ポリシーによって評価された、結果(許可、拒否、プレビュー許可、プレビュー拒否)ごとのリクエスト数の指標が含まれます。指標は、プロジェクトごと、ポリシーごと、バックエンド サービスごとなど、さまざまなレベルの粒度でモニタリングできます。

ポリシー名をクリックすると、そのポリシーの詳細が表示されます。

Google Cloud Armor モニタリング ダッシュボード
Google Cloud Armor モニタリング ダッシュボード(クリックして拡大)

カスタム ダッシュボードの定義

ネットワーク セキュリティ ポリシーの指標に関するカスタムの Monitoring ダッシュボードを作成する手順は次のとおりです。

コンソール

  1. Google Cloud コンソールで [Monitoring] に移動します。

    [Monitoring] に移動

  2. [ダッシュボード] をクリックし、[ダッシュボードを作成] をクリックします。

  3. ダッシュボードの名前を作成して、[確認] をクリックします。

  4. [Add chart] をクリックします。

  5. グラフにタイトルを付けます。

  6. 指標とフィルタを選択します。指標のリソースタイプは [Network Security Policy] です。

  7. [保存] をクリックします。

アラート ポリシーを定義する

Console

アラート ポリシーを作成して指標の値をモニタリングすると、指標が条件に違反した場合に通知できます。

  1. Google Cloud コンソールで、[アラート] ページに移動します。

    [アラート] に移動

    検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] である結果を選択します。

  2. 通知チャンネルを作成せずに通知を受け取る場合は、[EDIT NOTIFICATION CHANNELS] をクリックして、通知チャンネルを追加します。チャンネルを追加したら、[アラート] ページに戻ります。
  3. [アラート] ページで、[CREATE POLICY] をクリックします。
  4. 指標を選択するには、[指標を選択] メニューを開き、次の操作を行います。
    1. メニューを関連するエントリに限定するには、フィルタバーに「Network Security Policy」と入力します。結果が表示されない場合は、[有効なリソースと指標のみを表示] をオフに切り替えます。
    2. [Resource type] に [Network Security Policy] を選択します。
    3. 指標カテゴリ指標を選択して、[適用] を選択します。
  5. [次へ] をクリックします。
  6. [Configure alert trigger] ページの設定によって、アラートがトリガーされるタイミングが決まります。条件タイプを選択し、必要に応じてしきい値を指定します。詳細については、指標しきい値のアラート ポリシーを作成するをご覧ください。
  7. [次へ] をクリックします。
  8. (省略可)アラート ポリシーに通知を追加するには、[通知チャネル] をクリックします。ダイアログで、メニューから 1 つ以上の通知チャンネルを選択し、[OK] をクリックします。
  9. (省略可)インシデントの自動クローズ期間を更新します。このフィールドは、指標データがない場合に Monitoring がインシデントを閉じるタイミングを決定します。
  10. (省略可)[Documentation] をクリックして、通知メッセージに追加する情報を入力します。
  11. [アラート名] をクリックして、アラート ポリシーの名前を入力します。
  12. [Create Policy] をクリックします。
詳細については、アラート ポリシーをご覧ください。

指標報告の頻度と保持

Google Cloud Armor セキュリティ ポリシーの指標は、1 分単位のバッチで Cloud Monitoring にエクスポートされます。モニタリング データは 6 週間保持されます。ダッシュボードでは、次のデフォルト間隔でデータ分析が行われます。

  • 1H(1 時間)
  • 6H(6 時間)
  • 1D(1 日)
  • 1W(1 週間)
  • 6W(6 週間)

Monitoring ページの右上隅にあるコントロールを使用すると、6 週間から 1 分までの任意の間隔で、分析を手動でリクエストできます。

セキュリティ ポリシーのモニタリング指標

次の指標は、ネットワーク セキュリティ ポリシー ダッシュボードで報告されます。

指標 説明
リクエスト Google Cloud Armor セキュリティ ポリシーによって処理されたリクエストの数。
プレビューされたリクエスト

プレビュー モードのルールに一致するリクエストの数。プレビューされたリクエストはログに記録されますが、対応するアクションは適用されません。

上記のリクエスト数の指標にはプレビューされたリクエストの数が含まれます。これは、すべてのリクエストが構成済みの非プレビュー ルールまたはデフォルト ルールと一致すると想定されているためです。

セキュリティ ポリシーのフィルタリング ディメンジョン

指標は、Google Cloud Armor のセキュリティ ポリシーごとに集計されます。集計された指標は、次のディメンションでフィルタ処理できます。

ディメンション 説明
backend_target_name トラフィックの宛先であるバックエンド ターゲット(サービス)に基づいてリクエストを追跡します。
blocked セキュリティ ポリシー ルールによって許可またはブロックされたかどうかに基づいて、リクエストを追跡します。

次のステップ