Google Cloud Armor セキュリティ ポリシーのモニタリング

Google Cloud Armor は、セキュリティ ポリシーから Cloud Monitoring にモニタリング データをエクスポートします。モニタリング指標を使用すると、ポリシーが意図したとおりに機能しているかどうかを確認することや、問題をトラブルシューティングすることが可能です。たとえば、バックエンド サービスごとにブロックまたは許可されたトラフィックを表示できます。1 つのセキュリティ ポリシー(複数のバックエンド サービスに適用できる)または 1 つのバックエンド サービスの指標をモニタリングできます。

Monitoring の事前定義されたダッシュボードに加えて、カスタム ダッシュボードを作成して、アラート ポリシーをセットアップし、Cloud Monitoring API を使用して指標をクエリできます。

Monitoring ダッシュボードに表示される対応待ちのインシデントは、構成したアラート ポリシーに従って作成されます。アラートがトリガーされると、ダッシュボードにインシデントとして表示されます。これらは、Monitoring の一般的な機能です。

Security Command Center の Monitoring ログはありません。

Monitoring の詳細については、Cloud Monitoring のドキュメントをご覧ください。

モニタリング ダッシュボードの表示

Cloud Monitoring の事前構成されたネットワーク セキュリティ ポリシー リソースのダッシュボードを使用して、ポリシーごとおよびバックエンド サービスごとに、ステータスとリクエスト トラフィック量(許可、拒否、またはプレビュー)をモニタリングできます。

ダッシュボードを表示する方法は次のとおりです。

コンソール

  1. Google Cloud Console で [Monitoring] に移動します。

    [モニタリング] に移動

  2. [ダッシュボード] を選択してから、[ネットワーク セキュリティ ポリシー] というダッシュボードを選択します。

  3. ポリシーの名前をクリックします。

ダッシュボードにアクセスすると、右側に全体的な指標が表示されます。これには、セキュリティ ポリシーによって評価された、結果(許可、拒否、プレビュー許可、プレビュー拒否)ごとのリクエスト数の指標が含まれます。指標は、プロジェクトごと、ポリシーごと、バックエンド サービスごとなど、さまざまなレベルの粒度でモニタリングできます。

ポリシー名をクリックすると、そのポリシーの詳細が表示されます。

Google Cloud Armor モニタリング ダッシュボード
Google Cloud Armor モニタリング ダッシュボード(クリックして拡大)

カスタム ダッシュボードの定義

ネットワーク セキュリティ ポリシーの指標に関するカスタムの Monitoring ダッシュボードを作成する手順は次のとおりです。

Console

  1. Google Cloud Console で [Monitoring] に移動します。

    [Monitoring] に移動

  2. [ダッシュボード] をクリックし、[ダッシュボードを作成] をクリックします。

  3. ダッシュボードの名前を作成して、[確認] をクリックします。

  4. [Add chart] をクリックします。

  5. グラフにタイトルを付けます。

  6. 指標とフィルタを選択します。指標のリソースタイプは [Network Security Policy] です。

  7. [保存] をクリックします。

アラート ポリシーを定義する

Console

アラート ポリシーを作成して指標の値をモニタリングすると、条件に違反した場合に通知できます。1 つ以上のネットワーク セキュリティ ポリシー リソースをモニタリングするアラート ポリシーの一般的な作成手順は次のとおりです。

  1. Google Cloud Console で [Monitoring] に移動します。

    [Monitoring] に移動

  2. Monitoring のナビゲーション パネルで [アラート] を選択し、次に [Create Policy] を選択します。
  3. [Add Condition] をクリックします。
    1. [ターゲット] ペインの設定で、モニタリングするリソースと指標を指定します。テキスト ボックスをクリックしてメニューを有効にし、リソース [Network Security Policy] を選択します。次に、指標リストから指標を選択します。
    2. アラート ポリシーの [Configuration] ペインの設定で、アラートがトリガーされるタイミングを決定します。このペインのほとんどのフィールドにはデフォルト値が入力されています。ペインのフィールドの詳細については、アラート ポリシーのドキュメントの構成をご覧ください。
    3. [追加] をクリックします。
  4. 通知セクションに移動するには、[次へ] をクリックします。
  5. (省略可)アラート ポリシーに通知を追加するには、[通知チャネル] をクリックします。ダイアログで、メニューから 1 つ以上の通知チャネルを選択し、[OK] をクリックします。

    追加する通知チャネルが一覧にない場合は、[通知チャネルを管理] をクリックします。新しいブラウザタブの [通知チャネル] ページが表示されます。このページで、構成された通知チャネルを更新できます。更新が完了したら、元のタブに戻って [更新] をクリックし、アラート ポリシーに追加する通知チャネルを選択します。

  6. ドキュメントのセクションに移動するには、[次へ] をクリックします。
  7. [名前] をクリックし、アラート ポリシーの名前を入力します。
  8. (省略可)[Documentation] をクリックして、通知メッセージに追加する情報を入力します。
  9. [保存] をクリックします。
詳細については、アラート ポリシーをご覧ください。

指標報告の頻度と保持

Google Cloud Armor セキュリティ ポリシーの指標は、1 分単位のバッチで Cloud Monitoring にエクスポートされます。モニタリング データは 6 週間保持されます。ダッシュボードでは、次のデフォルト間隔でデータ分析が行われます。

  • 1H(1 時間)
  • 6H(6 時間)
  • 1D(1 日)
  • 1W(1 週間)
  • 6W(6 週間)

Monitoring ページの右上隅にあるコントロールを使用すると、6 週間から 1 分までの任意の間隔で、分析を手動でリクエストできます。

セキュリティ ポリシーのモニタリング指標

次の指標は、ネットワーク セキュリティ ポリシー ダッシュボードで報告されます。

指標 説明
リクエスト Google Cloud Armor セキュリティ ポリシーによって処理されたリクエストの数。
プレビューされたリクエスト

プレビュー モードのルールに一致するリクエストの数。プレビューされたリクエストはログに記録されますが、対応するアクションは適用されません。

上記のリクエスト数の指標にはプレビューされたリクエストの数が含まれます。これは、すべてのリクエストが構成済みの非プレビュー ルールまたはデフォルト ルールと一致することが想定されるためです。

セキュリティ ポリシーのフィルタリング ディメンジョン

指標は、Google Cloud Armor のセキュリティ ポリシーごとに集計されます。集計された指標は、次のディメンションでフィルタ処理できます。

ディメンション 説明
backend_target_name トラフィックの宛先であるバックエンド ターゲット(サービス)に基づいてリクエストを追跡します。
blocked セキュリティ ポリシー ルールによって許可またはブロックされたかどうかに基づいて、リクエストを追跡します。

次のステップ