Monitoraggio delle policy di sicurezza di Cloud Armor

Google Cloud Armor esporta i dati di monitoraggio dalle policy di sicurezza in Cloud Monitoring. Puoi utilizzare le metriche di monitoraggio per verificare se le tue policy funzionano come previsto o per risolvere i problemi. Ad esempio, puoi visualizzare il traffico bloccato o consentito per ogni servizio di backend. Puoi monitorare le metriche di una singola policy di sicurezza (che può essere applicata a più servizi di backend) o di un singolo servizio di backend.

Oltre alle dashboard predefinite in Monitoring, puoi creare dashboard personalizzate, configurare policy di avviso ed eseguire query sulle metriche tramite l'API Cloud Monitoring.

Nella dashboard di Monitoring, gli Incidenti aperti sono determinati dalle policy di avviso che configuri. Quando viene attivato un avviso, questo viene visualizzato come incidente nella dashboard. Ciò rientra nelle funzioni generali di Monitoring.

Non sono presenti log di Monitoring per Security Command Center.

Per informazioni complete su Monitoring, consulta la documentazione di Cloud Monitoring.

Visualizzazione della dashboard di monitoraggio

Puoi monitorare lo stato e i volumi di traffico delle richieste (consentite, rifiutate o visualizzate in anteprima) in base a ogni policy e servizio di backend utilizzando la dashboard delle risorse preconfigurata della panoramica delle policy di Cloud Armor in Cloud Monitoring.

Per visualizzare la dashboard, segui questi passaggi:

  1. Nella console Google Cloud , vai a Monitoring.

    Vai a Monitoring

  2. Nel riquadro di navigazione a sinistra, seleziona Dashboard.

  3. In Nome, seleziona Panoramica delle policy di Cloud Armor.

  4. Fai clic sul nome della policy.

Quando accedi alla dashboard, visualizzi le metriche generali a destra. Sono incluse le metriche del volume delle richieste per le richieste valutate da una policy di sicurezza, suddivise per risultato: consentito, rifiutato, consentito in anteprima, rifiutato in anteprima. Le metriche possono essere osservate a vari livelli di granularità, tra cui per progetto, per policy e per servizio di backend.

Quando fai clic sul nome di una policy, vengono visualizzati i dettagli.

Dashboard di monitoraggio di Cloud Armor.
Dashboard di monitoraggio di Cloud Armor (fai clic per ingrandire)

Definizione di dashboard personalizzate

Per creare dashboard di Monitoring personalizzate per le metriche delle Policy di sicurezza delle reti, segui questi passaggi:

Console

  1. Nella console Google Cloud , vai a Monitoring.

    Vai a Monitoring

  2. Fai clic su Dashboard, quindi su Crea dashboard.

  3. Crea un nome per la dashboard e fai clic su Conferma.

  4. Fai clic su Aggiungi grafico.

  5. Assegna un titolo al grafico.

  6. Seleziona metriche e filtri. Per le metriche, il tipo di risorsa è Policy di sicurezza delle reti.

  7. Fai clic su Salva.

Definizione delle policy di avviso

Console

Puoi creare policy di avviso per monitorare i valori delle metriche e ricevere una notifica quando queste metriche violano una condizione.

  1. Nella console Google Cloud , vai alla pagina  Avvisi:

    Vai ad Avvisi

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Se non hai creato i canali di notifica e vuoi ricevere le notifiche, fai clic su Modifica canali di notifica e aggiungi i tuoi canali di notifica. Torna alla pagina Avvisi dopo aver aggiunto i canali.
  3. Nella pagina Avvisi, seleziona Crea policy.
  4. Per selezionare la metrica, espandi il menu Seleziona una metrica e poi segui questi passaggi:
    1. Per limitare il menu alle voci rilevanti, inserisci Network Security Policy nella barra dei filtri. Se non vengono visualizzati risultati dopo aver filtrato il menu, disattiva l'opzione Mostra solo risorse e metriche attive.
    2. Per Tipo di risorsa, seleziona Policy di sicurezza delle reti.
    3. Seleziona una Categoria di metrica e una Metrica, quindi seleziona Applica.
  5. Fai clic su Avanti.
  6. Le impostazioni nella pagina Configura trigger di avviso determinano quando viene attivato l'avviso. Seleziona un tipo di condizione e, se necessario, specifica una soglia. Per saperne di più, consulta Crea policy di avviso basate su soglie metriche.
  7. Fai clic su Avanti.
  8. (Facoltativo) Per aggiungere notifiche alla tua policy di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu e fai clic su Ok.
  9. (Facoltativo) Aggiorna la Durata della chiusura automatica degli incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
  10. (Facoltativo) Fai clic su Documentazione e aggiungi tutte le informazioni che vuoi includere in un messaggio di notifica.
  11. Fai clic su Nome avviso e inserisci un nome per la policy di avviso.
  12. Fai clic su Crea policy.
Per saperne di più, consulta la Panoramica degli avvisi.

Frequenza e conservazione dei report sulle metriche

Le metriche per le policy di sicurezza di Cloud Armor vengono esportate in Cloud Monitoring in batch con granularità di un minuto. I dati di Monitoring vengono conservati per sei settimane. La dashboard fornisce l'analisi dei dati nei seguenti intervalli predefiniti:

  • 1 h (un'ora)
  • 6 h (sei ore)
  • 1 g (un giorno)
  • 1 s (una settimana)
  • 6 s (sei settimane)

Per richiedere manualmente l'analisi in qualsiasi intervallo compreso tra 6 settimane e 1 minuto, utilizza i controlli della consoleGoogle Cloud nella pagina Monitoring.

Metriche di Monitoring per le policy di sicurezza

Nella dashboard Panoramica delle policy Cloud Armor vengono riportate le seguenti metriche:

Metrica Descrizione
Numero di richieste Il numero di richieste elaborate da una policy di sicurezza Cloud Armor.
Numero di richieste in anteprima

Il numero di richieste che corrispondono alle regole in modalità di anteprima. Le richieste in anteprima vengono registrate, ma l'azione corrispondente non viene applicata.

Il numero di Richieste in anteprima è incluso nella metrica del numero di Richieste precedente perché tutte le richieste devono corrispondere a una regola non di anteprima configurata o alla regola predefinita.

Dimensioni di filtro per le policy di sicurezza

Le metriche vengono aggregate per ogni policy di sicurezza Cloud Armor. Puoi filtrare le metriche aggregate in base alle seguenti dimensioni:

Dimensione Descrizione
backend_target_name Monitora le richieste in base alla destinazione di backend (servizio) del traffico.
blocked Monitora le richieste in base al fatto che siano state consentite o bloccate dalle regole delle policy di sicurezza.

Passaggi successivi