En esta página, se proporciona información para configurar el registro detallado, una función opcional que puedes usar con tus políticas de seguridad de Google Cloud Armor.
Puedes ajustar el nivel de detalle que se ingresa en tus registros. Te recomendamos habilitar el registro detallado solo cuando creas una política, realizas cambios en ella o solucionas sus problemas. Si habilitas el registro detallado, este estará activo para las reglas en modo de vista previa y para las reglas activas (sin vista previa) durante las operaciones estándar.
Considera un ejemplo en el que no puedes saber por qué una solicitud específica activa una regla de WAF preconfigurada. Los registros de eventos predeterminados de Google Cloud Armor contienen la regla que se activó, así como la firma secundaria. Sin embargo, es posible que debas identificar los detalles de la solicitud entrante que activó la regla para solucionar problemas, validar o realizar ajustes. Para este ejemplo, te recomendamos que habilites el registro detallado.
Puedes configurar el nivel de registro de Google Cloud Armor para habilitar registros más detallados de cada política de seguridad con la marca --log-level en Google Cloud CLI.
De forma predeterminada, esta opción está inhabilitada. La sintaxis de la marca es la siguiente:
--log-level=[NORMAL | VERBOSE]
La marca solo está disponible con el comando gcloud compute security-policies update. No puedes crear una política de seguridad nueva con esta opción, a menos que crees una política de seguridad en un archivo y, luego, importes ese archivo. Para obtener más información, consulta Importa políticas de seguridad.
Por ejemplo:
gcloud compute security-policies update ca-policy-1 \
--log-level=VERBOSE
Te recomendamos habilitar el registro detallado cuando crees una política, realices cambios en ella o soluciones sus problemas.
Valores que se registran cuando se habilita el registro detallado
Cuando el registro detallado está habilitado, se registra información adicional en el registro de solicitud de balanceo de cargas HTTP(S) que se envía a Cloud Logging. Los siguientes campos adicionales aparecen en el registro de solicitud cuando el registro detallado está habilitado:
matchedFieldType(cadena): Es el tipo de campo que causa la coincidencia.ARG_NAMESARG_VALUESBODY- Cuando el campo
BODYestá en el registro, significa que todo el cuerpo de POST coincide con una regla.
- Cuando el campo
COOKIE_VALUESCOOKIE_NAMESFILENAMEHEADER_VALUESRAW_URIREFERERREQUEST_LINEURIUSER_AGENTHEADER_NAMESARGS_GETX_FILENAMEARG_NAME_COUNTTRANSFER_ENCODINGREQUEST_METHOD
matchedFieldName(cadena): Si esto coincide con la parte del valor de un par clave-valor, el valor de la clave se almacena en este campo. De lo contrario, está vacío.matchedFieldValue(cadena): Es un prefijo de hasta 16 bytes para la parte del campo que causa la coincidencia.matchedFieldLength(número entero): La longitud total del campo.matchedOffset(número entero): Es el desplazamiento de inicio dentro del campo que causa la coincidencia.matchedLength(número entero): Es la longitud de la coincidencia.inspectedBodySize(número entero): Es el límite de inspección configurado (cantidad de bytes) para un cuerpo de solicitud que estableces con la marca--request-body-inspection-size. Para obtener más información sobre este límite, consulta Limitación de inspección del cuerpo de POST y PATCH.
Por ejemplo, puedes enviar la siguiente solicitud a un proyecto en el que las reglas de WAF de inyección de SQL estén habilitadas:
curl http://IP_ADDR/?sql_table=abc%20pg_catalog%20xyz
La entrada en el Explorador de registros es similar a la siguiente:
enforcedSecurityPolicy: {
name: "user-staging-sec-policy"
priority: 100
configuredAction: "DENY"
outcome: "DENY
inspectedBodySize: 65536
preconfiguredExprIds: [
0: "owasp-crs-v030001-id942140-sqli"
]
matchedFieldType: "ARG_VALUES"
matchedFieldName: "sql_table"
matchedFieldValue: "pg_catalog"
matchedFieldLength: 18
matchedOffset: 4
matchedLength: 10
}
Mantén la privacidad cuando el registro detallado esté activado
Cuando usas el registro detallado, Google Cloud Armor registra los fragmentos de los elementos de las solicitudes entrantes que activaron una regla de WAF preconfigurada específica. Estos fragmentos pueden contener partes de encabezados de la solicitud, parámetros de solicitud o elementos del cuerpo de POST. Un fragmento puede contener datos sensibles, como una dirección IP o cualquier otro dato sensible de la solicitud entrante, según lo que haya en el encabezado o el cuerpo de la solicitud y lo que active la regla de WAF.
Cuando habilitas el registro detallado, existe el riesgo de acumular datos potencialmente sensibles en los registros en Logging. Te recomendamos que habilites el registro detallado solo durante la creación y validación de la regla o para la solución de problemas. Durante las operaciones normales, te recomendamos que dejes el registro detallado inhabilitado.