Información general

Google Cloud Armor ayuda a proteger los despliegues de Google Cloud frente a diferentes tipos de amenazas, incluidos los ataques de denegación de servicio distribuidos (DDoS) y los ataques a aplicaciones como cross-site scripting (XSS) y SQL injection (SQLi).

Managed Protection de Armor es el servicio gestionado de protección para aplicaciones que ayuda a proteger las aplicaciones y los servicios web frente a ataques DDoS distribuidos y otras amenazas de Internet. Managed Protection cuenta con protecciones siempre activas para los balanceadores de carga y proporciona acceso a las reglas WAF.

Google Cloud Armor se integra automáticamente con Security Command Center y exporta dos hallazgos al dashboard del Security Command Center: pico de tráfico permitido e índice de denegación creciente.

Habilita esta integración junto con la integración del Security Command Center con Google Cloud para visualizar las amenazas DDoS a tu entorno Google Cloud en Datadog. Con esta integración, Datadog recopila importantes eventos de seguridad de tus configuraciones y métricas de seguridad de red de Google Cloud desde Google Cloud Armor.

Esta integración ofrece información de la actividad de los usuarios sobre cambios en recursos de nube y en cada solicitud evaluada por una política de seguridad, desde logs de auditoría a logs de solicitudes.

Configuración

Instalación

1. Antes de empezar, asegúrate de que las siguientes API están habilitadas para los proyectos de los que quieres recopilar eventos de Google Cloud Armor:

• API del gestor de recursos en la nube
• API de facturación de Google Cloud
• API de monitorización de Google Cloud
• API del Security Command Center de Google Cloud

2. Dado que los eventos de Google Cloud Armor se simplifican como hallazgos en el Security Command Center de Google, asegúrate de que Google Cloud Armor está habilitado en el Security Command Center en tu consola de Google Cloud. Para obtener más información, consulta Configuración del Security Command Center.

3. A continuación, habilita la recopilación de hallazgos de seguridad en la principal integración Google Cloud Platform.

Configuración

Para recopilar métricas de Google Cloud Armor, configura la principal integración Google Cloud.

Para recopilar eventos de Google Cloud Armor, debes añadir el rol de Visor de hallazgos del Security Center a la cuenta de servicio. Instala la integración del Security Command Center de Google Cloud y habilita la recopilación de hallazgos de seguridad en la principal integración de Google Cloud.

Para configurar el reenvío de logs desde tu entorno Google Cloud a Datadog, consulta la sección Recopilación de logs.

Los logs de auditoría pueden reenviarse utilizando el reenvío estándar de logs. Estos logs de auditoría utilizan los tipos de recursos gce_backend_service y network_security_policy de Google Cloud. Para incluir únicamente logs de auditoría, utiliza filtros como protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" al crear el sumidero de logs.

Los logs de solicitudes pueden reenviarse utilizando el reenvío estándar de logs. Estos logs se recopilan automáticamente en logs de balanceo de carga de Google Cloud. Utiliza filtros como jsonPayload.enforcedSecurityPolicy.outcome="DENY" al crear el sumidero de logs para ver las solicitudes denegadas por una política de seguridad.

Datos recopilados

Métricas

Checks de servicio

La integración Google Cloud Armor no incluye checks de servicios.

Eventos

La integración Google Cloud Armor no incluye eventos.

Solucionar problemas

¿Necesitas ayuda? Ponte en contacto con el equipo de asistencia de Datadog.

Referencias adicionales

Más enlaces, artículos y documentación útiles:

• Monitorizar ataques de red con Google Cloud Armor y Datadog