WafCharm の設定に必要な情報の紹介をします。初期設定の大きな流れは
WafCharm for Google Cloud の利用開始方法について をご覧ください。
上の記事をまずは読んだ上で、導入手順の全体像を掴んだ上で本記事をご覧になれると、スムーズにご理解いただけるかと思われます。
1. アカウント登録が済むと、以下のページが表示されますので、Security Policy Config の設定から始めます。
2. Add をクリックします。
3. 必要な情報 (①〜⑥) を入力し、Save をクリックします。
| ① Security Policy Name | 対象の Security Policy 名を入力してください。 |
| ② Log Routing Sink Name | WafCharm とログ情報を共有するために、 対象のログルーターのシンク名を入力してください。 ログルーターのシンクの作成方法は こちら をご確認ください。 |
| ③ Service Account Key | サービスアカウントで発行したキーを JSON 形式で入力してください。 参考:WafCharm for Google Cloud で必要となる権限 |
| ④ Black List Option | WafCharm が自動で投入するブラックリストルールのモードを BLOCK / PREVIEW / DISABLE から選択してください。後から変更することも可能です。 BLOCK:ブラックリストが ブロック 状態で設定されます。 PREVIEW:ブラックリストが プレビュー 状態で設定されます。 DISABLE:ブラックリストが無効になります。 |
| ⑤ Blacklist | 初期設定の段階でブラックリストに登録したい IP アドレスがある場合に入力します。 後から追加設定することも可能です。 ※ Black List Option で DISABLE を選択した場合、入力項目は非表示となります。 |
| ⑥ Whitelist | 初期設定の段階でホワイトリストに登録したい IP アドレスがある場合に入力します。 後から追加設定することも可能です。 |
以上の設定を正しく登録することで、WafCharm がご利用頂けます。
設定が正しく行われたかは WafCharm for Google Cloud の利用開始方法について を参照してください。
(補足)ログルーターのシンク作成方法
WafCharm と連携する上でおそらく Security Policy の設定自体は難しくないでしょう。ただし ログルーターの設定は人によって難しいと感じる方もいるかもしれないため、本記事で紹介します。
対象のセキュリティポリシーからポリシーの詳細画面を表示します。
「ログ」の項目を開きます。
「ポリシーログを表示」を選択すると Google Cloud Logging の画面に遷移します。
画面左のログルーターを選択します。
画面上の「シンクを作成する」を選択します。
シンクサービスの選択します。
今回は Google Cloud Logging バケットを利用する構成で進めます。
新しいログバケットを作成します。
※既存のバケットを利用する場合はそのバケットを選択してください。
バケット作成画面でバケット名を入力し、作成リージョンを選択します。
バケットを作成すると自動でバケットが選択されているので次へ進みます。
シンクに含めるログの選択で以下を入力します。
resource.type = http_load_balancer AND resource.labels.backend_service_name = "<バックエンドサービス名>"
※ <バックエンドサービス名> は WafCharm に登録する Google Cloud Armor に紐づく対象を選択してください。
シンクを作成で完了です。