Surveiller les règles de sécurité Google Cloud Armor

Google Cloud Armor exporte les données de surveillance des stratégies de sécurité vers Cloud Monitoring. Vous pouvez utiliser des métriques de surveillance pour vérifier si vos stratégies fonctionnent comme prévu ou pour résoudre les problèmes. Par exemple, vous avez la possibilité d'afficher le trafic bloqué ou autorisé pour chaque service de backend. Il est également possible de surveiller les métriques d'une seule stratégie de sécurité (qui peut être appliquée à plusieurs services de backend) ou d'un seul service de backend.

En plus des tableaux de bord prédéfinis proposés dans Cloud Monitoring, vous pouvez créer des tableaux de bord personnalisés, configurer des règles d'alerte et interroger les métriques via l'API Cloud Monitoring.

Sur le tableau de bord Cloud Monitoring, les incidents ouverts sont régis par les règles d'alerte que vous configurez. Les alertes s'affichent en tant qu'incidents dans le tableau de bord lorsque l'alerte est déclenchée. Il s'agit des fonctions générales de Cloud Monitoring.

Il n'existe pas de journaux Cloud Monitoring pour Security Command Center.

Pour obtenir des informations complètes sur Cloud Monitoring, consultez la documentation Cloud Monitoring.

Afficher le tableau de bord de surveillance

Vous pouvez surveiller l'état et demander les volumes de trafic (autorisés, refusés ou prévisualisés) pour une stratégie ou pour un service de backend à l'aide du tableau de bord des ressources de stratégie de sécurité réseau préconfigurées dans Cloud Monitoring.

Suivez ces instructions pour afficher le tableau de bord.

  1. Accédez à Monitoring dans Google Cloud Console.
    Accéder à Monitoring
  2. Sélectionnez Tableaux de bord, puis sélectionnez le tableau de bord nommé Stratégies de sécurité réseau.

  3. Cliquez sur le nom de votre stratégie.

Sur le tableau de bord, les métriques globales sont affichées sur la droite. Il s'agit par exemple des métriques de volume de requêtes pour les requêtes évaluées par une stratégie de sécurité, réparties par résultat : autorisées, refusées, prévisualisées et autorisées, prévisualisées et refusées. Les métriques peuvent être observées à différents niveaux de précision, y compris par projet, par stratégie et par service de backend.

Lorsque vous cliquez sur le nom d'une stratégie, les détails la concernant s'affichent.

Tableau de bord de surveillance Google Cloud Armor
Tableau de bord de surveillance Google Cloud Armor (cliquez pour agrandir)

Définir des règles d'alerte

Vous pouvez créer des règles d'alerte pour surveiller les valeurs des métriques et être informé lorsqu'elles ne respectent pas une condition. Pour créer une règle d'alerte qui surveille une ou plusieurs ressources de Stratégie de sécurité réseau, procédez comme suit :

  1. Dans Google Cloud Console, accédez à Monitoring.

    Accéder à Monitoring

  2. Dans le volet de navigation "Monitoring", sélectionnez  Alertes, puis Créer une règle.
  3. Cliquez sur Ajouter une condition :
    1. Les paramètres du volet Cible permettent de spécifier la ressource et la métrique à surveiller. Cliquez sur la zone de texte pour activer un menu, puis sélectionnez la ressource Stratégie de sécurité réseau. Sélectionnez ensuite une métrique dans la liste.
    2. Les paramètres du volet Configuration de la règle d'alerte déterminent le moment où l'alerte se déclenche. La plupart des champs de ce volet sont renseignés avec des valeurs par défaut. Pour en savoir plus sur les champs du volet, consultez la section Configuration dans la documentation sur les règles d'alerte.
    3. Cliquez sur Ajouter.
  4. Pour accéder à la section "Notifications", cliquez sur Suivant.
  5. Facultatif : Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.

    Si un canal de notification que vous souhaitez ajouter n'est pas répertorié, cliquez sur Gérer les canaux de notification. La page Canaux de notification s'affiche dans un nouvel onglet du navigateur. Sur cette page, vous pouvez mettre à jour les canaux de notification configurés. Une fois vos mises à jour effectuées, revenez à l'onglet d'origine, cliquez sur Actualiser , puis sélectionnez les canaux de notification à ajouter à la règle d'alerte.

  6. Pour accéder à la section "Documentation", cliquez sur Suivant.
  7. Cliquez sur Nom et saisissez un nom pour la règle d'alerte.
  8. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
  9. Cliquez sur Enregistrer.
Pour plus d'informations, consultez la page Règles d'alerte.

Définir des tableaux de bord personnalisés Cloud Monitoring

Vous pouvez créer des tableaux de bord Cloud Monitoring personnalisés sur des métriques de stratégie de sécurité réseau :

  1. Accédez à Monitoring dans Google Cloud Console.
    Accéder à Monitoring
  2. Sélectionnez Tableaux de bord > Créer un tableau de bord.
  3. Cliquez sur Add Chart (Ajouter un graphique).
  4. Indiquez un titre pour le graphique.
  5. Sélectionnez des métriques et des filtres. Pour les métriques, le type de ressource est Règle de sécurité du réseau.
  6. Cliquez sur Enregistrer.

Fréquence et conservation des rapports sur les métriques

Les métriques des stratégies de sécurité Google Cloud Armor sont exportées vers Cloud Monitoring par lots de précision d'une minute. Les données de surveillance sont conservées pendant six semaines. Le tableau de bord fournit une analyse des données aux intervalles par défaut suivants :

  • 1H (une heure)
  • 6H (six heures)
  • 1D (un jour)
  • 1W (une semaine)
  • 6W (six semaines)

À l'aide des commandes situées en haut à droite de la page Stackdriver Monitoring, vous pouvez demander manuellement une analyse en choisissant un intervalle compris entre une minute et six semaines.

Métriques de surveillance pour les stratégies de sécurité Google Cloud Armor

Les métriques suivantes sont indiquées sur le tableau de bord des stratégies de sécurité Google Cloud Armor :

Métrique Description
Nombre de requêtes Nombre de requêtes traitées par une stratégie de sécurité Google Cloud Armor.
Nombre de requêtes prévisualisées Nombre de requêtes correspondant aux règles en mode aperçu. Les requêtes prévisualisées sont journalisées, mais l'action correspondante n'est pas appliquée.
Le nombre de requêtes prévisualisées est inclus dans la métrique du nombre de requêtes ci-dessus, car toutes les requêtes doivent correspondre à une règle hors aperçu configurée ou à la règle par défaut.

Dimension de filtrage pour les stratégies de sécurité Google Cloud Armor

Les métriques sont agrégées pour chaque stratégie de sécurité Google Cloud Armor. Vous pouvez filtrer les métriques agrégées selon les dimensions suivantes :

Description de la dimension
backend_target_name Suivez les requêtes en fonction de la cible (service) de backend à laquelle le trafic était destiné.
blocked Suivez les requêtes selon qu'elles ont été autorisées ou bloquées par les règles de stratégie de sécurité Google Cloud Armor.