En esta página se explica cómo configurar el registro detallado, una función opcional que puedes usar con tus políticas de seguridad de Cloud Armor.
Puedes ajustar el nivel de detalle que se registra en tus registros. Te recomendamos que habilites el registro detallado solo cuando crees una política por primera vez, cuando hagas cambios en una política o cuando quieras solucionar problemas relacionados con una política. Si habilita el registro detallado, se aplicará a las reglas en modo de vista previa, así como a las reglas activas (no vistas previamente) durante las operaciones estándar.
Supongamos que no sabes por qué una regla de WAF preconfigurada se activa con una solicitud concreta. Los registros de eventos predeterminados de Cloud Armor contienen la regla que se ha activado, así como la subsignature. Sin embargo, es posible que tengas que identificar los detalles de la solicitud entrante que ha activado la regla para solucionar problemas, validar la regla o ajustar la regla. En este ejemplo, te recomendamos que habilites el registro detallado.
Puedes configurar el nivel de registro de Cloud Armor para habilitar un registro más detallado de cada política de seguridad mediante la marca --log-level en la CLI de Google Cloud.
Esta opción está inhabilitada de forma predeterminada. La sintaxis de la marca es la siguiente:
--log-level=[NORMAL | VERBOSE]
La marca solo está disponible si se usa el comando gcloud compute security-policies update. No puedes crear una política de seguridad con esta opción a menos que crees una política de seguridad en un archivo y, a continuación, importes ese archivo. Para obtener más información, consulta Importar políticas de seguridad.
Por ejemplo:
gcloud compute security-policies update ca-policy-1 \
--log-level=VERBOSE
Te recomendamos que habilites el registro detallado cuando crees una política, hagas cambios en ella o tengas que solucionar problemas relacionados con una política.
Valores registrados cuando se habilita el registro detallado
Cuando se habilita el registro detallado, se registra información adicional en el registro de solicitudes de balanceo de carga que se envía a Cloud Logging. Los siguientes campos adicionales aparecen en el registro de solicitudes cuando el registro detallado está habilitado:
matchedFieldType(cadena): es el tipo de campo que provoca la coincidencia.ARG_NAMESARG_VALUESBODY- Cuando el campo
BODYestá en el registro, significa que todo el cuerpo de la publicación coincide con una regla.
- Cuando el campo
COOKIE_VALUESCOOKIE_NAMESFILENAMEHEADER_VALUESRAW_URIREFERERREQUEST_LINEURIUSER_AGENTHEADER_NAMESARGS_GETX_FILENAMEARG_NAME_COUNTTRANSFER_ENCODINGREQUEST_METHOD
matchedFieldName(cadena): si coincide con la parte del valor de un par clave-valor, el valor de la clave se almacena en este campo. De lo contrario, estará vacío.matchedFieldValue(cadena): prefijo de hasta 16 bytes de la parte del campo que provoca la coincidencia.matchedFieldLength(entero): longitud total del campo.matchedOffset(entero): el desplazamiento inicial dentro del campo que provoca la coincidencia.matchedLength(entero): la duración de la coincidencia.inspectedBodySize(entero): límite de inspección configurado (número de bytes) para un cuerpo de solicitud que se define mediante la marca--request-body-inspection-size. Para obtener más información sobre este límite, consulta Limitación de la inspección del cuerpo de las solicitudes POST y PATCH.
Por ejemplo, puedes enviar la siguiente solicitud a un proyecto en el que estén habilitadas las reglas de WAF de inyección de SQL:
curl http://IP_ADDR/?sql_table=abc%20pg_catalog%20xyz
La entrada del Explorador de registros es similar a la siguiente:
enforcedSecurityPolicy: {
name: "user-staging-sec-policy"
priority: 100
configuredAction: "DENY"
outcome: "DENY
inspectedBodySize: 65536
preconfiguredExprIds: [
0: "owasp-crs-v030001-id942140-sqli"
]
matchedFieldType: "ARG_VALUES"
matchedFieldName: "sql_table"
matchedFieldValue: "pg_catalog"
matchedFieldLength: 18
matchedOffset: 4
matchedLength: 10
}
Mantener la privacidad cuando el registro detallado está activado
Cuando usas el registro detallado, Cloud Armor registra fragmentos de los elementos de las solicitudes entrantes que han activado una regla de WAF preconfigurada concreta. Estos fragmentos pueden contener partes de encabezados de solicitud, parámetros de solicitud o elementos del cuerpo POST. Un fragmento puede contener datos sensibles, como una dirección IP u otros datos sensibles de la solicitud entrante, en función de lo que haya en los encabezados o el cuerpo de la solicitud y de lo que active la regla del WAF.
Si habilitas el registro detallado, existe el riesgo de acumular datos potencialmente sensibles en tus registros de Logging. Te recomendamos que habilites el registro detallado solo durante la creación y validación de reglas o para solucionar problemas. Durante el funcionamiento normal, te recomendamos que dejes inhabilitado el registro detallado.