En esta página, se proporciona información para configurar el registro detallado, una función opcional que puedes usar con tus políticas de seguridad de Google Cloud Armor.
Puedes ajustar el nivel de detalle que se ingresa en tus registros. Te recomendamos habilitar el registro detallado solo cuando creas una política, realizas cambios en ella o solucionas sus problemas. Si habilitas el registro detallado, este estará activo para las reglas en modo de vista previa y para las reglas activas (sin vista previa) durante las operaciones estándar.
Considera un ejemplo en el que no puedas saber por qué un WAF preconfigurado "regla" se activó a partir de una solicitud específica. Evento predeterminado de Google Cloud Armor registros contienen la regla que se activó y la subfirma. Sin embargo, quizás debas identificar los detalles de la solicitud entrante que activó la regla para solucionar problemas, validar reglas o ajustar reglas. Este es Por ejemplo, recomendamos que habilites el registro detallado.
Puedes configurar el nivel de registro de Google Cloud Armor para habilitar registros más detallados de cada política de seguridad mediante la marca --log-level
en la CLI de gcloud.
De forma predeterminada, esta opción está inhabilitada. La sintaxis de la marca es la siguiente:
--log-level=[NORMAL | VERBOSE]
La marca solo está disponible mediante gcloud compute security-policies update
.
kubectl. No puedes crear una política de seguridad nueva con esta opción, a menos que
crear una política de seguridad en un archivo y, luego, importarlo. Para ver más
información, consulta
Importa políticas de seguridad.
Por ejemplo:
gcloud compute security-policies update ca-policy-1 \ --log-level=VERBOSE
Te recomendamos habilitar el registro detallado cuando crees una política, realices cambios en ella o soluciones sus problemas.
Valores que se registran cuando se habilita el registro detallado
Cuando el registro detallado está habilitado, se registra información adicional en el registro de solicitud de balanceo de cargas HTTP(S) que se envía a Cloud Logging. Los siguientes campos adicionales aparecen en el registro de solicitud cuando el registro detallado está habilitado:
matchedFieldType
(string): este es el tipo de campo que causa la coincidencia.ARG_NAMES
ARG_VALUES
BODY
- Cuando el campo
BODY
está en el registro, significa que todo el cuerpo de POST coincide con una regla.
- Cuando el campo
COOKIE_VALUES
COOKIE_NAMES
FILENAME
HEADER_VALUES
RAW_URI
REFERER
REQUEST_LINE
URI
USER_AGENT
HEADER_NAMES
ARGS_GET
X_FILENAME
ARG_NAME_COUNT
TRANSFER_ENCODING
REQUEST_METHOD
matchedFieldName
(string): si esto coincide con la parte del valor de un par clave-valor, el par clave-valor se almacena en este campo. De lo contrario, está vacío.matchedFieldValue
(string): un prefijo de hasta 16 bytes para la parte del campo que causa la coincidencia.matchedFieldLength
(número entero): la longitud total del campo.matchedOffset
(número entero): el desplazamiento de inicio dentro del campo que causa la coincidencia.matchedLength
(número entero): la longitud de la coincidencia.
Por ejemplo, puedes enviar esta solicitud a un proyecto en el que las reglas de WAF de inserción de SQL estén habilitadas:
curl http://IP_ADDR/?sql_table=abc%20pg_catalog%20xyz
La entrada en el Explorador de registros se vería como la siguiente:
enforcedSecurityPolicy: { name: "user-staging-sec-policy" priority: 100 configuredAction: "DENY" outcome: "DENY preconfiguredExprIds: [ 0: "owasp-crs-v030001-id942140-sqli" ] matchedFieldType: "ARG_VALUES" matchedFieldName: "sql_table" matchedFieldValue: "pg_catalog" matchedFieldLength: 18 matchedOffset: 4 matchedLength: 10 }
Mantén la privacidad cuando el registro detallado esté activado
Cuando usas el registro detallado, Google Cloud Armor registra los fragmentos de los elementos de las solicitudes entrantes que activaron una regla de WAF preconfigurada específica. Estos fragmentos pueden contener partes de encabezados de la solicitud, parámetros de solicitud o elementos del cuerpo de POST. Es posible que un fragmento contenga datos sensibles, como una dirección IP o cualquier otro dato sensible de la solicitud entrante, según lo que haya en el encabezado o el cuerpo de la solicitud y lo que active la regla de WAF.
Si habilitas el registro detallado, ten en cuenta que existe el riesgo de acumular datos potencialmente sensibles en los registros en Logging. Te recomendamos que habilites el registro detallado solo durante la creación y validación de la regla o para la solución de problemas. Durante las operaciones normales, te recomendamos que dejes el registro detallado inhabilitado.
¿Qué sigue?
- Configura las políticas de seguridad de Google Cloud Armor
- Obtén más información sobre el registro de solicitudes.