Google Cloud Armor 보안 정책 모니터링

Google Cloud Armor는 보안 정책의 모니터링 데이터를 Cloud Monitoring으로 내보냅니다. 모니터링 측정항목을 사용하면 정책이 의도한 대로 작동하는지 확인하거나 문제를 해결할 수 있습니다. 예를 들어 백엔드 서비스마다 차단되거나 허용된 트래픽을 볼 수 있습니다. 단일 보안 정책(여러 백엔드 서비스에 적용 가능) 또는 단일 백엔드 서비스의 측정항목을 모니터링할 수 있습니다.

Monitoring의 사전 정의된 대시보드 외에도 Cloud Monitoring API를 통해 커스텀 대시보드를 만들고, 알림 정책을 설정하고, 측정항목을 쿼리할 수 있습니다.

Monitoring 대시보드에서 미해결 이슈는 사용자가 구성한 알림 정책에 따라 처리됩니다. 알림이 트리거되면 대시보드에서 알림이 이슈로 표시됩니다. 이는 Monitoring의 일반 기능입니다.

Security Command Center에 대한 Monitoring 로그는 없습니다.

Monitoring에 대한 자세한 내용은 Cloud Monitoring 문서를 참조하세요.

모니터링 대시보드 보기

Cloud Monitoring에서 사전 구성된 네트워크 보안 정책 리소스 대시보드를 사용하여 정책 및 백엔드 서비스별로 상태를 모니터링하고 트래픽 볼륨(허용, 거부, 미리보기)을 요청할 수 있습니다.

대시보드를 보려면 다음 단계를 따르세요.

  1. Google Cloud Console에서 Monitoring으로 이동합니다.

    모니터링으로 이동

  2. 왼쪽의 탐색창에서 대시보드를 선택합니다.

  3. 이름에서 네트워크 보안 정책을 선택합니다.

  4. 정책 이름을 클릭합니다.

대시보드에 액세스하면 오른쪽에 전체 측정항목이 표시됩니다. 여기에는 결과로 세분화된 보안 정책에서 평가한 요청의 요청 볼륨 측정항목(허용, 거부, 미리보기 허용, 미리보기 거부)이 포함됩니다. 프로젝트별, 정책별, 백엔드 서비스별을 포함하여 세부사항의 다양한 수준에서 측정항목을 확인할 수 있습니다.

정책 이름을 클릭하면 정책에 대한 세부정보가 표시됩니다.

Google Cloud Armor 모니터링 대시보드
Google Cloud Armor 모니터링 대시보드(확대하려면 클릭)

커스텀 대시보드 정의

네트워크 보안 정책 측정항목에 대해 커스텀 Monitoring 대시보드를 만들려면 다음 단계를 따르세요.

콘솔

  1. Google Cloud Console에서 Monitoring으로 이동합니다.

    모니터링으로 이동

  2. 대시보드를 클릭한 다음 대시보드 만들기를 클릭합니다.

  3. 대시보드의 이름을 만든 후 확인을 클릭합니다.

  4. 차트 추가를 클릭합니다.

  5. 차트 제목을 입력합니다.

  6. 측정항목과 필터를 선택합니다. 측정항목의 경우 리소스 유형은 네트워크 보안 정책입니다.

  7. 'Save(저장)'를 클릭합니다.

알림 정책 정의

콘솔

알림 정책을 만들어 측정항목 값을 모니터링하고 측정항목이 조건을 위반하면 이에 대한 알림을 수신할 수 있습니다.

하나 이상의 네트워크 보안 정책 리소스를 모니터링하는 알림 정책을 만들려면 다음 단계를 따르세요.

  1. Google Cloud Console에서 Monitoring 페이지로 이동합니다.

    Monitoring으로 이동

    Cloud Monitoring을 사용한 적이 없는 경우 Google Cloud Console에서 Monitoring에 처음 액세스하면 작업공간이 자동으로 생성되고 프로젝트가 해당 작업공간과 연결됩니다. 또는 프로젝트가 작업공간과 연결되어 있지 않으면 대화상자가 표시되고 작업공간을 만들거나 프로젝트를 기존 작업공간에 추가할 수 있습니다. 작업공간을 만드는 것이 좋습니다. 선택을 완료한 후 추가를 클릭합니다.

  2. Monitoring 탐색창에서 알림을 선택한 다음 정책 만들기를 선택합니다.
  3. 조건 추가:를 클릭합니다.
    1. 대상 창의 설정은 모니터링할 리소스와 측정항목을 지정합니다. 리소스 유형 및 측정항목 찾기 필드에서 네트워크 보안 정책 리소스를 선택합니다. 다음으로 측정항목 목록에서 측정항목을 선택합니다.
    2. 알림 정책의 구성 창에 있는 설정에 따라 알림이 트리거되는 시점이 결정됩니다. 이 창의 필드 대부분은 기본값으로 채워집니다. 창 내의 필드에 대한 자세한 내용은 알림 정책 문서의 구성을 참조하세요.
    3. 추가를 클릭합니다.
  4. 알림 섹션으로 이동하려면 다음을 클릭합니다.
  5. 선택사항: 알림 정책에 알림을 추가하려면 알림 채널을 클릭합니다. 대화상자의 메뉴에서 하나 이상의 알림 채널을 선택한 다음 확인을 클릭합니다.

    추가할 알림 채널이 나열되어 있지 않으면 알림 채널 관리를 클릭합니다. 새 브라우저 탭에서 알림 채널 페이지로 이동합니다. 이 페이지에서 구성된 알림 채널을 업데이트할 수 있습니다. 업데이트를 완료한 후에는 원래 탭으로 돌아가서 새로고침을 클릭한 다음 알림 채널을 선택하여 알림 정책에 추가합니다.

  6. 문서 섹션으로 이동하려면 다음을 클릭합니다.
  7. 이름을 클릭하고 알림 정책의 이름을 입력합니다.
  8. 선택사항: 문서를 클릭하고 알림 메시지에 포함할 정보를 추가합니다.
  9. 저장을 클릭합니다.
자세한 내용은 알림 정책을 참조하세요.

측정항목 보고 빈도 및 보관

Google Cloud Armor 보안 정책의 측정항목은 1분 단위로 일괄적으로 Cloud Monitoring으로 내보내집니다. 모니터링 데이터는 6주간 보관됩니다. 대시보드는 다음과 같은 기본 간격으로 데이터 분석을 제공합니다.

  • 1H(1시간)
  • 6H(6시간)
  • 1D(1일)
  • 1W(1주)
  • 6W(6주)

Monitoring 페이지의 오른쪽 상단에 있는 컨트롤을 사용하여 1분에서 6주까지 원하는 간격으로 수동으로 분석을 요청할 수 있습니다.

보안 정책의 모니터링 측정항목

네트워크 보안 정책 대시보드에는 다음과 같은 측정항목이 보고됩니다.

항목 설명
요청 Google Cloud Armor 보안 정책에서 처리한 요청 수
미리보기된 요청

미리보기 모드 규칙과 일치하는 요청 수. 미리보기된 요청은 로깅되지만 해당 작업은 적용되지 않습니다.

모든 요청이 구성된 미리보기가 아닌 규칙이나 기본 규칙과 일치해야 하므로 미리보기된 요청 수는 앞의 요청 수 측정항목에 포함됩니다.

보안 정책의 필터링 측정기준

측정항목이 Google Cloud Armor 보안 정책마다 집계됩니다. 집계된 측정항목을 다음 측정기준으로 필터링할 수 있습니다.

측정기준 설명
backend_target_name 트래픽이 이동한 백엔드 대상(서비스)을 기준으로 요청을 추적합니다.
차단됨 보안 정책 규칙에서 요청이 허용 또는 차단되었는지 여부를 기준으로 요청을 추적합니다.

다음 단계