Google Cloud Armor セキュリティ ポリシーのモニタリング

Google Cloud Armor は、セキュリティ ポリシーから Cloud Monitoring にモニタリング データをエクスポートします。モニタリング指標を使用すると、ポリシーが意図したとおりに機能しているかどうかを確認することや、問題をトラブルシューティングすることが可能です。たとえば、バックエンド サービスごとにブロックまたは許可されたトラフィックを表示できます。1 つのセキュリティ ポリシー(複数のバックエンド サービスに適用できる)または 1 つのバックエンド サービスの指標をモニタリングできます。

Cloud Monitoring の事前定義されたダッシュボードに加えて、カスタム ダッシュボードの作成、アラート ポリシーの設定、Cloud Monitoring API を使用して指標に関するクエリの実行を行うことができます。

Cloud Monitoring ダッシュボードでは、対応待ちのインシデントは、構成したアラート ポリシーによって駆動されます。アラートがトリガーされると、ダッシュボードにインシデントとして表示されます。これらは、Cloud Monitoring の一般的な機能です。

Security Command Center の Cloud Monitoring ログはありません。

Cloud Monitoring の詳細については、Cloud Monitoring のドキュメントをご覧ください。

モニタリング ダッシュボードの表示

Cloud Monitoring の事前構成されたネットワーク セキュリティ ポリシー リソースのダッシュボードを使用して、ポリシーごとおよびバックエンド サービスごとに、ステータスとリクエスト トラフィック量(許可、拒否、またはプレビュー)をモニタリングできます。

ダッシュボードを表示する手順は次のとおりです。

  1. Google Cloud Console で [モニタリング] に移動します。
    [Monitoring] に移動
  2. [ダッシュボード] を選択してから、[Network Security Policiespoli] というダッシュボードを選択します。

  3. ポリシーの名前をクリックします。

ダッシュボードにアクセスすると、右側に全体的な指標が表示されます。これには、セキュリティ ポリシーによって評価された、結果(許可、拒否、プレビュー許可、プレビュー拒否)ごとのリクエスト数の指標が含まれます。指標は、プロジェクトごと、ポリシーごと、バックエンド サービスごとなど、さまざまなレベルの粒度でモニタリングできます。

ポリシー名をクリックすると、そのポリシーの詳細が表示されます。

Google Cloud Armor モニタリング ダッシュボード
Google Cloud Armor モニタリング ダッシュボード(クリックして拡大)

アラート ポリシーを定義する

アラート ポリシーを作成して指標の値をモニタリングすると、条件に違反した場合に通知できます。ネットワーク セキュリティ ポリシー リソースをモニタリングするアラート ポリシーを作成する一般的な手順を以下に示します。

  1. Google Cloud Console で [モニタリング] を選択するか、次のボタンを使用します。
    [モニタリング] に移動
  2. Monitoring のナビゲーション パネルで、 [アラート] を選択し、[ポリシーを作成] を選択します。
  3. アラート ポリシー名を入力します。
  4. [Add Condition] をクリックします。
    1. [Target] ペインの設定で、モニタリングするリソースと指標を指定します。テキスト ボックスをクリックしてメニューを有効にし、リソース [Network Security Policy] を選択します。次に、指標リストから指標を選択します。
    2. アラート ポリシーの [Configuration] ペインの設定で、アラートがトリガーされるタイミングを決定します。このペインのほとんどのフィールドにはデフォルト値が入力されています。ペインのフィールドについての詳細は、アラート ポリシーのドキュメントの構成をご覧ください。
    3. [追加] をクリックします。
  5. (省略可)[Add Notification Channel] をクリックして、通知チャネルの情報を入力します。
  6. (省略可)[Documentation] をクリックして、通知メッセージに追加する情報を入力します。
  7. [保存] をクリックします。
詳細については、アラート ポリシーをご覧ください。

Cloud Monitoring のカスタム ダッシュボードの定義

ネットワーク セキュリティ ポリシーの指標に対してカスタムの Cloud Monitoring ダッシュボードを作成できます。

  1. Google Cloud Console で [モニタリング] に移動します。
    [モニタリング] に移動
  2. [ダッシュボード] > [ダッシュボードを作成] を選択します。
  3. [Add Chart] をクリックします。
  4. グラフにタイトルを付けます。
  5. 指標とフィルタを選択します。指標のリソースタイプは [Network Security Policy] です。
  6. [Save] をクリックします。

指標報告の頻度と保持

Google Cloud Armor セキュリティ ポリシーの指標は、1 分単位のバッチで Cloud Monitoring にエクスポートされます。モニタリング データは 6 週間保持されます。ダッシュボードでは、次のデフォルト間隔でデータ分析が行われます。

  • 1H(1 時間)
  • 6H(6 時間)
  • 1D(1 日)
  • 1W(1 週間)
  • 6W(6 週間)

Stackdriver Monitoring ページの右上隅にあるコントロールを使用すると、6 週間から 1 分までの任意の間隔で、分析を手動でリクエストできます。

Google Cloud Armor セキュリティ ポリシーのモニタリング指標

次の指標は、Google Cloud Armor セキュリティ ポリシー ダッシュボードで報告されます。

指標 説明
リクエスト数 Google Cloud Armor セキュリティ ポリシーによって処理されたリクエストの数。
プレビュー リクエスト数 プレビュー モードのルールに一致するリクエストの数。プレビュー リクエストはログに記録されますが、対応するアクションは適用されません。
すべてのリクエストが構成済みの非プレビュー ルールまたはデフォルト ルールと一致することが見込まれるので、上記のリクエスト カウント指標にはプレビュー リクエスト カウントが含まれます。

Google Cloud Armor セキュリティ ポリシーのフィルタリング ディメンション

指標は、Google Cloud Armor のセキュリティ ポリシーごとに集計されます。集計された指標は、次のディメンションでフィルタ処理できます。

ディメンション 説明
backend_target_name トラフィックの宛先であるバックエンド ターゲット(サービス)に基づいてリクエストを追跡します。
blocked Google Cloud Armor セキュリティ ポリシー ルールによって許可またはブロックされたかどうかに基づいて、リクエストを追跡します。