Surveiller les règles de sécurité Google Cloud Armor

Google Cloud Armor exporte les données de surveillance des stratégies de sécurité vers Cloud Monitoring. Vous pouvez utiliser des métriques de surveillance pour vérifier si vos stratégies fonctionnent comme prévu ou pour résoudre les problèmes. Par exemple, vous avez la possibilité d'afficher le trafic bloqué ou autorisé pour chaque service de backend. Il est également possible de surveiller les métriques d'une seule stratégie de sécurité (qui peut être appliquée à plusieurs services de backend) ou d'un seul service de backend.

En plus des tableaux de bord prédéfinis proposés dans Monitoring, vous pouvez créer des tableaux de bord personnalisés, configurer des règles d'alerte et interroger les métriques via l'API Cloud Monitoring.

Dans le tableau de bord Monitoring, les incidents ouverts dépendent des règles d'alerte que vous configurez. Les alertes s'affichent en tant qu'incidents dans le tableau de bord lorsque l'alerte est déclenchée. Il s'agit des fonctions générales de Monitoring.

Il n'existe pas de journaux Monitoring pour Security Command Center.

Pour obtenir des informations complètes sur Monitoring, consultez la documentation de Cloud Monitoring.

Afficher le tableau de bord de surveillance

Vous pouvez surveiller l'état et les volumes de trafic des requêtes (autorisées, refusées ou prévisualisées) par stratégie ou par service de backend à l'aide du tableau de bord des ressources Stratégies de sécurité réseau préconfiguré dans Cloud Monitoring.

Pour afficher ce tableau de bord, procédez comme suit :

  1. Dans Google Cloud Console, accédez à Monitoring.

    Accéder à Monitoring

  2. Dans le volet de navigation de gauche, sélectionnez Dashboards (Tableaux de bord).

  3. Sous Name (Nom), sélectionnez Network Security Policies (Stratégies de sécurité réseau).

  4. Cliquez sur le nom de votre stratégie.

Sur le tableau de bord, les métriques globales sont affichées sur la droite. Il s'agit par exemple des métriques de volume de requêtes pour les requêtes évaluées par une stratégie de sécurité, réparties par résultat : autorisées, refusées, prévisualisées et autorisées, prévisualisées et refusées. Les métriques peuvent être observées à différents niveaux de précision, y compris par projet, par stratégie et par service de backend.

Lorsque vous cliquez sur le nom d'une stratégie, les détails la concernant s'affichent.

Tableau de bord de surveillance Google Cloud Armor
Tableau de bord de surveillance Google Cloud Armor (cliquez pour agrandir)

Définir des tableaux de bord personnalisés

Pour créer des tableaux de bord Monitoring personnalisés sur des métriques de stratégie de sécurité réseau, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à Monitoring.

    Accéder à Monitoring

  2. Cliquez sur Tableaux de bord, puis sur Créer un tableau de bord.

  3. Attribuez un nom à votre tableau de bord, puis cliquez sur Confirmer.

  4. Cliquez sur Ajouter un graphique.

  5. Indiquez un titre pour le graphique.

  6. Sélectionnez des métriques et des filtres. Pour les métriques, le type de ressource est Règle de sécurité du réseau.

  7. Cliquez sur Enregistrer.

Définir des règles d'alerte

Console

Vous pouvez créer des règles d'alerte pour surveiller les valeurs des métriques et être informé lorsqu'elles ne respectent pas une condition.

Pour créer une règle d'alerte qui surveille une ou plusieurs ressources de règle de sécurité du réseau, procédez comme suit :

  1. Dans Google Cloud Console, accédez à la page Monitoring.

    Accéder à Monitoring

    Si vous n'avez jamais utilisé Cloud Monitoring, la première fois que vous y accédez dans Google Cloud Console, un espace de travail est automatiquement créé et votre projet lui est associé. Sinon, si votre projet n'est pas associé à un espace de travail, une boîte de dialogue s'affiche. Vous pouvez soit créer un espace de travail, soit ajouter le projet à un espace de travail existant. Nous vous recommandons de créer un espace de travail. Après avoir effectué votre sélection, cliquez sur Ajouter.

  2. Dans le volet de navigation "Monitoring", sélectionnez  Alertes, puis Créer une règle.
  3. Cliquez sur Ajouter une condition :
    1. Les paramètres du volet Cible permettent de spécifier la ressource et la métrique à surveiller. Dans le champ Rechercher un type de ressource et une métrique, sélectionnez la ressource règle de sécurité du réseau. Sélectionnez ensuite une métrique dans la liste.
    2. Les paramètres du volet Configuration de la règle d'alerte déterminent le moment où l'alerte se déclenche. La plupart des champs de ce volet sont renseignés avec des valeurs par défaut. Pour en savoir plus sur les champs du volet, consultez la section Configuration dans la documentation sur les règles d'alerte.
    3. Cliquez sur Ajouter.
  4. Pour accéder à la section "Notifications", cliquez sur Suivant.
  5. Facultatif : Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.

    Si un canal de notification que vous souhaitez ajouter n'est pas répertorié, cliquez sur Gérer les canaux de notification. La page Canaux de notification s'affiche dans un nouvel onglet du navigateur. Sur cette page, vous pouvez mettre à jour les canaux de notification configurés. Une fois vos mises à jour effectuées, revenez à l'onglet d'origine, cliquez sur Actualiser, puis sélectionnez les canaux de notification à ajouter à la règle d'alerte.

  6. Pour accéder à la section "Documentation", cliquez sur Suivant.
  7. Cliquez sur Nom et saisissez un nom pour la règle d'alerte.
  8. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
  9. Cliquez sur Enregistrer.
Pour plus d'informations, consultez la page Règles d'alerte.

Fréquence et conservation des rapports sur les métriques

Les métriques des stratégies de sécurité Google Cloud Armor sont exportées vers Cloud Monitoring par lots de précision d'une minute. Les données de surveillance sont conservées pendant six semaines. Le tableau de bord fournit une analyse des données aux intervalles par défaut suivants :

  • 1H (une heure)
  • 6H (six heures)
  • 1D (un jour)
  • 1W (une semaine)
  • 6W (six semaines)

À l'aide des commandes situées dans l'angle supérieur droit de la page Monitoring, vous pouvez demander manuellement une analyse en choisissant un intervalle compris entre une minute et six semaines.

Métriques de surveillance pour les stratégies de sécurité

Les métriques suivantes figurent dans le tableau de bord Stratégies de sécurité réseau :

Métrique Description
Nombre de requêtes Nombre de requêtes traitées par une stratégie de sécurité Google Cloud Armor.
Nombre de requêtes prévisualisées

Nombre de requêtes correspondant aux règles en mode aperçu. Les requêtes prévisualisées sont consignées, mais l'action correspondante n'est pas appliquée.

Le nombre de requêtes prévisualisées est inclus dans la métrique du nombre de requêtes précédente, car toutes les requêtes doivent correspondre à une règle hors aperçu configurée ou à la règle par défaut.

Filtrer les dimensions pour les stratégies de sécurité

Les métriques sont agrégées pour chaque stratégie de sécurité Google Cloud Armor. Vous pouvez filtrer les métriques agrégées selon les dimensions suivantes :

Description de la dimension
backend_target_name Suivez les requêtes en fonction de la cible (service) de backend à laquelle le trafic était destiné.
blocked Suivez les requêtes selon qu'elles ont été autorisées ou bloquées par les règles de stratégie de sécurité.

Étape suivante