방화벽 정책 규칙 로깅을 사용하면 방화벽 정책 규칙의 영향을 감사, 확인, 분석할 수 있습니다. 예를 들어 트래픽을 거부하도록 설계된 방화벽 정책 규칙이 의도한 대로 작동하는지 확인할 수 있습니다. 방화벽 정책 규칙 로깅은 지정된 방화벽 정책 규칙의 영향을 받는 연결 수를 확인해야 하는 경우에도 유용합니다.
연결을 로깅해야 하는 각 방화벽 정책 규칙에 방화벽 정책 규칙 로깅을 개별적으로 사용 설정합니다. 방화벽 정책 규칙 로깅은 방화벽 정책 규칙의 작업 (allow 또는 deny) 또는 방향 (ingress 또는 egress)에 관계없이 모든 방화벽 정책 규칙에 대한 옵션입니다.
방화벽 정책 규칙 로깅은 Compute Engine 가상 머신 (VM) 인스턴스에서 주고받는 트래픽을 로깅합니다. 여기에는 Google Kubernetes Engine (GKE) 클러스터 및 Google Kubernetes Engine 가변형 환경 인스턴스와 같이 Compute Engine VM에서 빌드된 Google Cloud 제품이 포함됩니다.
방화벽 정책 규칙에 로깅을 사용 설정하면 Google Cloud 는 규칙이 트래픽을 허용하거나 거부할 때마다 연결 레코드라고 하는 항목을 만듭니다. 이러한 기록은 Cloud Logging에서 볼 수 있으며 Cloud Logging 내보내기가 지원되는 모든 대상으로 로그를 내보낼 수 있습니다.
각 연결 레코드에는 소스 및 대상 IP 주소, 프로토콜 및 포트, 날짜 및 시간, 트래픽에 적용된 방화벽 정책 규칙에 대한 참조가 포함됩니다.
방화벽 정책 규칙 로깅은 계층적 방화벽 정책 규칙과 네트워크 방화벽 정책 규칙 모두에 사용할 수 있습니다. 로그를 보는 방법에 대한 자세한 내용은 방화벽 정책 규칙 로깅 관리를 참고하세요.
사양
방화벽 정책 규칙 로깅의 사양은 다음과 같습니다.
지원되는 배포: 일반 VPC 네트워크와 연결된 계층식, 전역 네트워크, 리전 네트워크, 리전 시스템 방화벽 정책 내의 방화벽 정책 규칙과 RoCE VPC 네트워크와 연결된 리전 네트워크 방화벽 정책에 대해 방화벽 정책 규칙 로깅을 사용 설정할 수 있습니다.
지원되지 않는 규칙: 레거시 네트워크의 규칙, 일반 VPC 네트워크의 묵시적 인그레스 거부 및 묵시적 이그레스 허용 규칙 또는 RoCE VPC 네트워크의 묵시적 인그레스 및 이그레스 허용 규칙에는 방화벽 정책 규칙 로깅이 지원되지 않습니다.
프로토콜 지원: 방화벽 정책 규칙 로깅은
TCP및UDP연결만 기록합니다. 다른 프로토콜을 모니터링하려면 대역 외 통합을 사용하는 것이 좋습니다.연결 기반 로깅: 연결이 설정될 때 방화벽 정책 규칙 로깅이 생성되며 개별 패킷마다 생성되지는 않습니다. 10분마다 한 번 이상 패킷이 교환되는 한 연결은 활성 상태로 유지됩니다. 새 패킷마다 유휴 타이머가 재설정됩니다. 따라서 연속적인 트래픽 스트림은 전체 기간에 대해 하나의 로그 항목만 생성합니다. 유휴 기간 없이 활성 상태의 장기 스트림을 지속적으로 파악해야 하는 경우 VPC 흐름 로그를 사용하세요.
기존 연결: 이미 활성 상태인
TCP또는UDP연결과 일치하는 규칙에서 로깅을 사용 설정하면 새 로그 항목이 생성되지 않습니다. 방화벽 정책 규칙은 연결이 10분 이상 유휴 상태로 유지되고 이후 새 패킷이 전송되는 경우에만 연결을 기록합니다.허용 및 거부 동작:
허용 + 로깅: 허용된 연결은 한 번만 로깅되며, 방화벽 규칙이 스테이트풀 형식이기 때문에 연결이 지속되더라도 항목이 반복되지 않습니다. 응답 트래픽은 자동으로 허용되며 로깅되지 않습니다.
거부 + 로깅: 고유한 5-튜플에 해당하는 삭제된 각 패킷은 실패한 시도로 로깅됩니다. 로그 항목은 거부된 연결에 패킷이 관찰되는 한 5초마다 반복됩니다.
로그 생성 관점: 로그 항목은 방화벽 정책 규칙에 로깅이 사용 설정되고 방화벽 정책 규칙이 VM을 오가는 트래픽에 적용될 때만 생성됩니다. 항목은 연결 로깅 한도에 따라 생성됩니다.
속도 제한: 시간 단위로 로깅되는 연결 수는 일반 VPC 네트워크의 경우 VM의 머신 유형에 따라, RoCE VPC 네트워크의 경우 규칙의 모니터링 또는 로깅 작업에 따라 결정됩니다. 자세한 내용은 연결 로깅 한도 및 모니터링 및 로깅을 참고하세요.
고급 검사를 위한 세션 기반 로직: 방화벽 정책에서 고급
apply_security_profile_group작업을 사용하는 경우 로깅 동작이 연결 기반에서 세션 기반 로직으로 전환됩니다.Cloud NGFW는 기본 연결이 여러 개가 동일한 세션에 속하더라도 규칙과 일치하고 심층 패킷 검사를 위해 성공적으로 차단된 초기 세션에 대해 단일 상위 수준 로그 항목을 생성합니다. 이 개략적인 방화벽 로그는 검사된 모든 연결에 대해 생성되는 URL 필터링 또는 위협 로그와 같은 자세한 레이어 7 로그와는 다릅니다.
순 액션 및 처리: Cloud NGFW 정책 로그는
INTERCEPTED처리 및APPLY_SECURITY_PROFILE_GROUP액션을 기록할 수 있는 유일한 로그입니다. 이 작업을 사용하면 시스템에서 추가 필드(apply_security_profile_fallback_action)를 로깅합니다.감사 로그: Cloud NGFW 감사 로그에서 방화벽 정책 규칙의 구성 변경사항을 확인할 수 있습니다. 자세한 내용은 Cloud NGFW 감사 로깅을 참고하세요.
제한사항
로깅이 사용 설정된 상태에서
apply_security_profile_group작업을 사용하면 Cloud NGFW가 모든 세션의 로그를 캡처하지 않습니다. 이 제한은 트래픽 검사 또는 가로채기에는 영향을 미치지 않습니다.기존
TCP또는UDP연결과 일치하는 방화벽 정책 규칙에 로깅을 사용 설정하면 이러한 활성 연결에 대한 로그 항목이 생성되지 않습니다. 이러한 연결에 대한 로깅은 최소 10분 동안 유휴 상태가 된 후에만 시작됩니다.IP 프로토콜 (
IpPortInfo.ip_protocol)을 지정할 때 방화벽 정책 규칙의 값을ALL로 설정할 수 없습니다.방화벽 정책 규칙은 기존 메타데이터 필드(특히
source_tag,target_tag,source_service_account,target_service_accounts)의 로깅을 지원하지 않습니다.