Surveiller les règles de sécurité Google Cloud Armor

Google Cloud Armor exporte les données de surveillance des stratégies de sécurité vers Cloud Monitoring. Vous pouvez utiliser des métriques de surveillance pour vérifier si vos stratégies fonctionnent comme prévu ou pour résoudre les problèmes. Par exemple, vous avez la possibilité d'afficher le trafic bloqué ou autorisé pour chaque service de backend. Il est également possible de surveiller les métriques d'une seule stratégie de sécurité (qui peut être appliquée à plusieurs services de backend) ou d'un seul service de backend.

En plus des tableaux de bord prédéfinis proposés dans Monitoring, vous pouvez créer des tableaux de bord personnalisés, configurer des règles d'alerte et interroger les métriques via l'API Cloud Monitoring.

Dans le tableau de bord Monitoring, les incidents ouverts dépendent des règles d'alerte que vous configurez. Les alertes s'affichent en tant qu'incidents dans le tableau de bord lorsque l'alerte est déclenchée. Il s'agit des fonctions générales de Monitoring.

Il n'existe pas de journaux Monitoring pour Security Command Center.

Pour obtenir des informations complètes sur Monitoring, consultez la documentation de Cloud Monitoring.

Afficher le tableau de bord de surveillance

Vous pouvez surveiller l'état et les volumes de trafic des requêtes (autorisées, refusées ou prévisualisées) par stratégie ou par service de backend à l'aide du tableau de bord des ressources Stratégies de sécurité réseau préconfiguré dans Cloud Monitoring.

Pour afficher ce tableau de bord, procédez comme suit :

  1. Dans Google Cloud Console, accédez à Monitoring.

    Accéder à Monitoring

  2. Dans le volet de navigation de gauche, sélectionnez Dashboards (Tableaux de bord).

  3. Sous Name (Nom), sélectionnez Network Security Policies (Stratégies de sécurité réseau).

  4. Cliquez sur le nom de votre stratégie.

Sur le tableau de bord, les métriques globales sont affichées sur la droite. Il s'agit par exemple des métriques de volume de requêtes pour les requêtes évaluées par une stratégie de sécurité, réparties par résultat : autorisées, refusées, prévisualisées et autorisées, prévisualisées et refusées. Les métriques peuvent être observées à différents niveaux de précision, y compris par projet, par stratégie et par service de backend.

Lorsque vous cliquez sur le nom d'une stratégie, les détails la concernant s'affichent.

Tableau de bord de surveillance Google Cloud Armor
Tableau de bord de surveillance Google Cloud Armor (cliquez pour agrandir)

Définir des tableaux de bord personnalisés

Pour créer des tableaux de bord Monitoring personnalisés sur des métriques de stratégie de sécurité réseau, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à Monitoring.

    Accéder à Monitoring

  2. Cliquez sur Tableaux de bord, puis sur Créer un tableau de bord.

  3. Attribuez un nom à votre tableau de bord, puis cliquez sur Confirmer.

  4. Cliquez sur Ajouter un graphique.

  5. Indiquez un titre pour le graphique.

  6. Sélectionnez des métriques et des filtres. Pour les métriques, le type de ressource est Règle de sécurité du réseau.

  7. Cliquez sur Enregistrer.

Définir des règles d'alerte

Console

Vous pouvez créer des règles d'alerte pour surveiller les valeurs des métriques et être informé lorsqu'elles ne respectent pas une condition.

  1. Dans la console Google Cloud, accédez à la page Alertes :

    Accéder à l'interface des alertes

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Surveillance.

  2. Si vous n'avez pas créé vos canaux de notification et que vous souhaitez être averti, cliquez sur Modifier les canaux de notification et ajoutez vos canaux de notification. Revenez à la page Alertes après avoir ajouté vos canaux.
  3. Sur la page Alertes, cliquez sur Créer une règle.
  4. Pour sélectionner la métrique, développez le menu Sélectionner une métrique, puis procédez comme suit :
    1. Pour limiter le menu aux entrées pertinentes, saisissez Network Security Policy dans la barre de filtre. Si aucun résultat ne s'affiche après avoir filtré le menu, désactivez l'option Afficher seulement les ressources et les métriques actives.
    2. Pour le Type de ressource, sélectionnez Règle de sécurité du réseau.
    3. Sélectionnez une Catégorie de métrique et une Métrique, puis cliquez sur Appliquer.
  5. Cliquez sur Suivant.
  6. Les paramètres de la page Configurer le déclencheur d'alerte déterminent le moment où l'alerte se déclenche. Sélectionnez un type de condition et, si nécessaire, spécifiez un seuil. Pour plus d'informations, consultez la page Créer des règles d'alerte basées sur un seuil de métrique.
  7. Cliquez sur Suivant.
  8. Facultatif : Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.
  9. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
  10. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
  11. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
  12. Cliquez sur Créer une stratégie.
Pour plus d'informations, consultez la page Règles d'alerte.

Fréquence et conservation des rapports sur les métriques

Les métriques des stratégies de sécurité Google Cloud Armor sont exportées vers Cloud Monitoring par lots de précision d'une minute. Les données de surveillance sont conservées pendant six semaines. Le tableau de bord fournit une analyse des données aux intervalles par défaut suivants :

  • 1H (une heure)
  • 6H (six heures)
  • 1D (un jour)
  • 1W (une semaine)
  • 6W (six semaines)

À l'aide des commandes situées dans l'angle supérieur droit de la page Monitoring, vous pouvez demander manuellement une analyse en choisissant un intervalle compris entre une minute et six semaines.

Métriques de surveillance pour les stratégies de sécurité

Les métriques suivantes figurent dans le tableau de bord Stratégies de sécurité réseau :

Métrique Description
Nombre de requêtes Nombre de requêtes traitées par une stratégie de sécurité Google Cloud Armor.
Nombre de requêtes prévisualisées

Nombre de requêtes correspondant aux règles en mode aperçu. Les requêtes prévisualisées sont consignées, mais l'action correspondante n'est pas appliquée.

Le nombre de requêtes prévisualisées est inclus dans la métrique du nombre de requêtes précédente, car toutes les requêtes doivent correspondre à une règle hors aperçu configurée ou à la règle par défaut.

Filtrer les dimensions pour les stratégies de sécurité

Les métriques sont agrégées pour chaque stratégie de sécurité Google Cloud Armor. Vous pouvez filtrer les métriques agrégées selon les dimensions suivantes :

Description de la dimension
backend_target_name Suivez les requêtes en fonction de la cible (service) de backend à laquelle le trafic était destiné.
blocked Suivez les requêtes selon qu'elles ont été autorisées ou bloquées par les règles de stratégie de sécurité.

Étape suivante