Sumo Logic エンドポイントとファイアウォールのセキュリティ

最後の更新
PDFとして保存

Sumo Logic には複数のデプロイがあります。これは、アカウントが作成された地理的位置と日付に応じて割り当てられます。

Sumo Logic はブラウザを正しいログイン URL にリダイレクトし、Collector も正しいエンドポイントにリダイレクトします。ただし、API を使用している場合は、手動で API クライアントを正しい Sumo Logic API URL にダイレクトする必要があります。

デプロイ	サービスエンドポイント (ログイン URL)	API Endpoint	コレクションエンドポイント	クラウド Syslog エンドポイント
AU	https://service.au.sumologic.com	https://api.au.sumologic.com/api/	https://collectors.sumologic.com https://collectors.au.sumologic.com	syslog.collection.au.sumologic.com
CA	https://service.ca.sumologic.com	https://api.ca.sumologic.com/api/	https://collectors.sumologic.com https://collectors.ca.sumologic.com	syslog.collection.ca.sumologic.com
DE	https://service.de.sumologic.com	https://api.de.sumologic.com/api/	https://collectors.sumologic.com https://collectors.de.sumologic.com	syslog.collection.de.sumologic.com
EU	https://service.eu.sumologic.com	https://api.eu.sumologic.com/api/	https://collectors.sumologic.com https://collectors.eu.sumologic.com https://endpoint1.collection.eu.sumologic.com	syslog.collection.eu.sumologic.com
FED	https://service.fed.sumologic.com	https://api.fed.sumologic.com/api/	https://collectors.fed.sumologic.com	クラウド syslog はサポート対象外
IN	https://service.in.sumologic.com	https://api.in.sumologic.com/api/	https://collectors.in.sumologic.com	syslog.collection.in.sumologic.com
JP	https://service.jp.sumologic.com	https://api.jp.sumologic.com/api/	https://collectors.sumologic.com https://collectors.jp.sumologic.com	syslog.collection.jp.sumologic.com
US1	https://service.sumologic.com	https://api.sumologic.com/api/	https://collectors.sumologic.com https://endpoint1.collection.sumologic.com https://endpoint2.collection.sumologic.com https://endpoint3.collection.sumologic.com	syslog.collection.us1.sumologic.com
US2	https://service.us2.sumologic.com	https://api.us2.sumologic.com/api/	https://collectors.sumologic.com https://collectors.us2.sumologic.com https://endpoint1.collection.us2.sumologic.com https://endpoint2.collection.us2.sumologic.com https://endpoint3.collection.us2.sumologic.com https://endpoint4.collection.us2.sumologic.com https://endpoint5.collection.us2.sumologic.com	syslog.collection.us2.sumologic.com

FedRAMP

Sumo Logic の FedRAMP デプロイは、US2 などの他のデプロイと似ています。ただし、FedRAMP は、米国の標準である Security Categorization of Federal Information and Information Systems (FIPS-199) に準拠済みと認定されている点が異なります。このデプロイでは、影響度が「中度」に分類されるデータを処理、保存、および転送するために必要なセキュリティ要件に準拠しています。

使用すべきエンドポイントの見分け方

アカウントで使用しているデプロイポッドを見分けるための最も簡単な方法は、使用する Sumo Logic の URL を確認することです。"us2" と表示されている場合は、US2 ポッドで実行中です。"eu"、"jp"、"de"、"in"、"ca"、または "au" と表示されている場合は、それらのポッドのいずれかで実行中です。US1 ポッドでは、service.sumologic.com が使用されます。次の画像には、US2 ポッドからの URL の例が示されています。

sumo web address pod highlight.png

コレクションエンドポイントはアカウントによって異なります。一般的な形式は次の通りです。

endpoint[N].collection.[deploymentID].sumologic.com

アカウントで使用しているデプロイポッドを調べるには、HTTP Source を作成して、表示される URL を確認するという方法もあります。

DNS 名や IP アドレスによる Sumo Logic インフラストラクチャへのアクセスの保護

コレクションが機能するためには、ファイアウォールが Sumo Logic へのアウトバウンドトラフィックを許可する必要があります。ポート 443 でアウトバウンドトラフィックを許可する方法については「Sumo Logic Collector の接続試験」を参照してください。

ファイアウォールで DNS エントリが許可されている場合は、ファイアウォールのホワイトリストに以下を追加して、sumologic.com へのアウトバウンドトラフィックを許可してください。
*.sumologic.com
デフォルトでは、Collector は最初に collectors.sumologic.com に接続してから、以下のようなデプロイ特有のエンドポイントにリダイレクトされます。
collectors.us2.sumologic.com
または
endpoint[N].collection.[deploymentID].[sumologic.com]
ファイアウォールで DNS エントリが許可されていない場合は、デプロイリージョンのすべての IP アドレスをホワイトリストに登録する必要があります。ホワイトリストに登録するアドレスは、Sumo Logic デプロイによって異なります。ホワイトリストに登録する必要のある IP アドレスを確認するには、Amazon Web Services (AWS) で提供されている JSON オブジェクトをダウンロードしてください。Amazon では、このファイルは週に数回変更することを推奨しています。この JSON ファイルが更新される仕組み、ファイルの使い方や構文、そしてダウンロード方法については「AWS の IP アドレス範囲」を参照してください。

Sumo デプロイで使用する AWS リージョン

各 Sumo Logic デプロイで使用する AWS リージョンを下表に示します。詳細については、リージョンとエンドポイントについての AWS ページを参照してください。

Sumo Logic デプロイ	AWS リージョン名	AWS のリージョン
AU	アジア太平洋 (シドニー)	ap-southeast-2
CA	カナダ (中央)	ca-central-1
DE	EU (フランクフルト)	eu-central-1
EU	EU (アイルランド)	eu-west-1
FED	米国東武 (北バージニア)	us-east-1
IN	アジア太平洋 (ムンバイ)	ap-south-1
JP	アジア太平洋 (東京)	ap-northeast-1
US1	米国東武 (北バージニア)	us-east-1
US2	米国西部 (オレゴン)	us-west-2

このリンクには、最新の AWS IP 範囲、サブネット、接頭辞の全リストがあります。この表に従って自分のアカウントの Sumo デプロイが使用する AWS リージョンの IP プレフィクスのみを使用することで、ファイアウォールのエントリ数を制限することができます。

Sumo Logic にダウンロードしたファイルに対して以下のクエリを実行することで、各デプロイの IP アドレスを調べることができます。

| parse regex "\s+\"ip_prefix\":\s+\"(?<ip_prefix>.*?)\",\n\s+\"region\":\s+\"(?<region>.*?)\",\n\s+\"service\":\s+\"(?<service>.*?)\"" multi | where service="AMAZON" and (region="us-west-2" or region="us-east-1" or region="eu-west-1" or region="ap-southeast-2") | if (region="us-west-2", "US2", region) as region | if (region="us-east-1", "PROD", region) as region | if (region="eu-west-1", "EU", region) as region | if (region="ap-southeast-2", "AU", region) as region | count by ip_prefix, region, service | fields - _count | sort by region, ip_prefix

ファイアウォール、Collector、そして Source を設定したら、指定した場所で特定の種類のメッセージ (syslog メッセージなど) が受信できていることを検証して、Collector と Source が機能していることを確認します。

バージョニングと競合の検出

Collector 管理 API は、楽観的ロックによってバージョニングと競合の検出を行っています。1 つのエンティティを返すすべての応答には、エンティティのバージョンを示す ETag ヘッダがあります。そのエンティティへの以降の更新 (PUT リクエスト) では、If-Match ヘッダでその ETag ヘッダ値を指定する必要があります。ヘッダが指定されていない場合や、値がエンティティの最新バージョンと一致しない場合は (それぞれ 403 Forbidden と 412 Precondition Failed のエラーメッセージと共に) リクエストは失敗します。エンティティに対して同時更新が行われる可能性がある場合は、クライアントでこれらの失敗を処理するための準備が必要です。また、ETag ヘッダの値を、GET リクエストの If-None-Match ヘッダで取得してキャッシュしておくこともできます。