监控 Google Cloud Armor 安全政策

Google Cloud Armor 将监控数据从安全政策导出到 Cloud Monitoring。您可以使用监控指标来检查您的政策是否按预期工作或进行问题排查。例如,您可以查看为每项后端服务阻止或允许的流量。您可以监控单项安全政策(可以应用于多项后端服务)或单项后端服务的指标。

除了 Monitoring 中的预定义信息中心,您还可以通过 Cloud Monitoring API 创建自定义信息中心、设置提醒政策和查询指标。

在 Monitoring 信息中心,Open Incidents 由您配置的提醒政策决定。当提醒被触发时,提醒会在信息中心显示为突发事件。这些功能是 Monitoring 的常规功能。

Security Command Center 没有 Monitoring 日志。

如需了解 Monitoring 的完整信息,请参阅 Cloud Monitoring 文档

查看监控信息中心

您可以使用 Cloud Monitoring 中预配置的网络安全政策资源信息中心,针对每项政策和每项后端服务监控状态并请求流量(允许、拒绝或预览)。

如需查看信息中心,请按以下步骤操作:

  1. 在 Google Cloud 控制台中,前往 Monitoring

    前往 Monitoring

  2. 在左侧导航窗格中,选择信息中心

  3. 名称下,选择网络安全政策

  4. 点击您的政策名称。

访问信息中心时,您会在右侧看到总体指标。其中包括由安全政策评估的请求的请求量指标,按结果可细分为:允许、拒绝、预览允许、预览拒绝。可以在不同的粒度层级上观察指标,包括每个项目、每项政策和每项后端服务

点击政策名称时,您会看到有关该政策的详细信息。

Google Cloud Armor 监控信息中心
Google Cloud Armor 监控信息中心(点击可放大)

定义自定义信息中心

如需通过“网络安全政策”指标创建自定义 Monitoring 信息中心,请按以下步骤操作:

控制台

  1. 在 Google Cloud 控制台中,前往 Monitoring

    前往 Monitoring

  2. 点击信息中心,然后点击创建信息中心

  3. 为您的信息中心创建一个名称,然后点击确认

  4. 点击添加图表

  5. 给图表添加一个标题。

  6. 选择指标和过滤条件。对于指标,资源类型为网络安全政策

  7. 点击保存

定义提醒政策

控制台

您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。

  1. 在 Google Cloud 控制台中,转到 提醒页面:

    进入提醒

    如果您使用搜索栏查找此页面,请选择子标题为监控的结果。

  2. 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
  3. 提醒页面中,点击创建政策
  4. 如需选择指标,请展开选择指标菜单,然后执行以下操作:
    1. 如需将菜单限制为相关条目,请在过滤栏中输入 Network Security Policy。如果过滤菜单后没有显示任何结果,请停用仅显示活跃的资源和指标切换开关。
    2. 资源类型部分,选择网络安全政策
    3. 选择指标类别指标,然后选择应用
  5. 点击下一步
  6. 配置提醒触发器页面中的设置决定了何时触发提醒。 选择条件类型,并在必要时指定阈值。如需了解详情,请参阅创建指标阈值提醒政策
  7. 点击下一步
  8. 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定
  9. 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
  10. 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
  11. 点击提醒名称,然后输入提醒政策的名称。
  12. 点击 Create Policy(创建政策)。
如需了解详情,请参阅提醒政策

指标报告频率和保留

系统会每隔 1 分钟将 Google Cloud Armor 安全政策的指标批量导出到 Cloud Monitoring 中。监控数据会保留六周。信息中心会按以下默认时间间隔提供数据分析:

  • 1H(一小时)
  • 6H(六小时)
  • 1D(一天)
  • 1W(一周)
  • 6W(六周)

使用 Monitoring 页面右上角的控件,您可以手动请求系统以 1 分钟到 6 周的任何时间间隔执行分析。

安全政策的监控指标

以下指标在网络安全政策信息中心内报告:

指标 说明
请求 Google Cloud Armor 安全政策处理的请求数。
预览请求

与预览模式规则匹配的请求数。预览请求已记录,但未执行相应的操作。

预览请求数包含在上述请求数指标中,因为所有请求均应与配置的非预览规则或默认规则匹配。

安全政策的过滤维度

各个 Google Cloud Armor 安全政策的指标将进行汇总。您可以按照以下维度过滤汇总的指标:

维度 说明
backend_target_name 根据流量定向到的后端目标(服务)跟踪请求。
blocked 根据安全政策规则是允许还是阻止来跟踪请求。

后续步骤