Como monitorar as políticas de segurança do Google Cloud Armor

O Google Cloud Armor exporta dados de monitoramento de políticas de segurança para o Cloud Monitoring. É possível usar as métricas de monitoramento para verificar se suas políticas estão funcionando conforme o planejado ou para solucionar problemas. Por exemplo, você pode ver o tráfego bloqueado ou permitido em cada serviço de back-end. É possível monitorar as métricas apenas de uma política de segurança (que pode ser aplicada a vários serviços de back-end) ou de apenas um serviço de back-end.

Além dos painéis predefinidos no Monitoring, é possível criar painéis personalizados, configurar políticas de alertas e consultar as métricas por meio da API Cloud Monitoring.

No painel do Monitoring, os Incidentes abertos são acionados pelas políticas de alertas que você configura. Os alertas aparecem como incidentes no painel quando são acionados. Essas são funções gerais do Monitoring.

Não há registros do Monitoring para o Security Command Center.

Para mais informações sobre o Monitoring, consulte a documentação do Cloud Monitoring.

Como visualizar o painel de monitoramento

É possível monitorar o status e solicitar volumes de tráfego (permitidos, negados ou visualizados) por política e por serviço de back-end com o recurso Políticas de segurança de rede pré-configurado. painel no Cloud Monitoring.

Para visualizar o painel, siga estas etapas:

  1. No Console do Google Cloud, acesse o Monitoring.

    Acessar Monitoring

  2. No painel de navegação à esquerda, selecione Painéis.

  3. Em Nome, selecione Políticas de segurança de rede.

  4. Clique no nome da sua política.

Ao acessar o painel, você verá as métricas gerais à direita. Elas incluem métricas de volume de solicitação para solicitações avaliadas por uma política de segurança dividida por resultado: permitido, negado, visualizado e permitido, visualizado e negado. As métricas podem ser observadas em vários níveis de granularidade, incluindo por projeto, por política e por serviço de back-end

Ao clicar no nome de uma política, você verá detalhes sobre ela.

Painel de monitoramento do Google Cloud Armor
Painel de monitoramento do Google Cloud Armor (clique para ampliar)

Como definir painéis personalizados

Para criar painéis personalizados do Monitoring sobre métricas da política de segurança de rede, siga estas etapas:

Console

  1. No Console do Google Cloud, acesse o Monitoring.

    Acessar Monitoring

  2. Clique em Painéis e em Criar painel.

  3. Crie um nome para seu painel e clique em Confirmar.

  4. Clique em Adicionar gráfico.

  5. Dê um título ao gráfico.

  6. Selecione as métricas e os filtros. Para métricas, o tipo de recurso é Política de segurança de rede.

  7. Clique em Salvar.

Como definir políticas de alertas

Console

É possível criar políticas de alertas para monitorar os valores das métricas e ser notificado quando elas violarem uma condição.

  1. No console do Google Cloud, acesse a página  Alertas:

    Acessar Alertas

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Monitoring.

  2. Se você não tiver criado seus canais de notificação e quiser receber uma notificação, clique em Editar canais de notificação e adicione-os. Volte para a página Alertas depois de adicionar seus canais.
  3. Na página Alertas, clique em Criar política.
  4. Para selecionar a métrica, expanda o menu Selecionar uma métrica e faça isto:
    1. Para limitar o menu a entradas relevantes, insira Network Security Policy na barra de filtro. Se não houver resultados depois de filtrar o menu, desative a opção Mostrar somente recursos e métricas ativos.
    2. Em Tipo de recurso, selecione Política de segurança de rede.
    3. Selecione uma Categoria de métrica e uma Métrica, depois selecione Aplicar.
  5. Clique em Next.
  6. As configurações da página Configurar acionador de alertas determinam quando o alerta é acionado. Selecione um tipo de condição e, se necessário, especifique um limite. Para mais informações, consulte Criar políticas de alertas de limite de métrica.
  7. Clique em Próxima.
  8. Opcional: para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.
  9. Opcional: Atualize a Duração do fechamento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métrica.
  10. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
  11. Clique em Nome e digite um nome para a política de alertas.
  12. Clique em Criar política.
Saiba mais em Políticas de alertas.

Frequência e retenção de geração de relatórios de métricas

As métricas das políticas de segurança do Google Cloud Armor são exportadas para o Cloud Monitoring em lotes de granularidade de um minuto. Os dados de monitoramento são armazenados por seis semanas. O painel fornece análise de dados nos seguintes intervalos padrão:

  • 1H (uma hora)
  • 6H (seis horas)
  • 1D (um dia)
  • 1W (uma semana)
  • 6W (seis semanas)

Usando os controles no canto superior direito da página Monitoramento, é possível solicitar manualmente a análise em qualquer intervalo, de seis semanas a um minuto.

Métricas de monitoramento para políticas de segurança

As seguintes métricas são relatadas no painel Políticas de segurança de rede:

Métrica Descrição
Contagem de solicitações O número de solicitações processadas por uma política de segurança do Google Cloud Armor.
Contagem de Solicitações visualizadas

O número de solicitações que correspondem às regras do modo de visualização. As Solicitações visualizadas são registradas, mas a ação correspondente não é aplicada.

As contagens de Solicitações visualizadas são incluídas na métrica anterior Solicitações porque todas as solicitações devem corresponder a uma regra não prévia de configuração ou à regra padrão.

Como filtrar dimensões para políticas de segurança

As métricas são agregadas para cada política de segurança do Google Cloud Armor. É possível filtrar as métricas agregadas pelas seguintes dimensões:

Dimensão Descrição
backend_target_name Rastreia solicitações com base no back-end (serviço) ao qual o tráfego foi destinado.
bloqueado Acompanhe as solicitações com base na permissão ou no bloqueio das regras da política de segurança.

A seguir