Sumo Logic エンドポイントとファイアウォールのセキュリティ
Sumo Logic には複数のデプロイがあります。これは、アカウントが作成された地理的位置と日付に応じて割り当てられます。
Sumo Logic はブラウザを正しいログイン URL にリダイレクトし、Collector も正しいエンドポイントにリダイレクトします。ただし、API を使用している場合は、手動で API クライアントを正しい Sumo Logic API URL にダイレクトする必要があります。
FedRAMP
Sumo Logic の FedRAMP デプロイは、US2 などの他のデプロイと似ています。ただし、FedRAMP は、米国の 標準である Security Categorization of Federal Information and Information Systems (FIPS-199) に準拠済みと認定されている点が異なります。このデプロイでは、影響度が「中度」に分類されるデータを処理、保存、および転送するために必要なセキュリティ要件に準拠しています。
使用すべきエンドポイントの見分け方
アカウントで使用しているデプロイ ポッドを見分けるための最も簡単な方法は、使用する Sumo Logic の URL を確認することです。"us2" と表示されている場合は、US2 ポッドで実行中です。"eu"、"jp"、"de"、"in"、"ca"、または "au" と表示されている場合は、それらのポッドのいずれかで実行中です。US1 ポッドでは、service.sumologic.com
が使用されます。次の画像には、US2 ポッドからの URL の例が示されています。
コレクション エンドポイントはアカウントによって異なります。一般的な形式は次の通りです。
endpoint[N].collection.[deploymentID].sumologic.com
アカウントで使用しているデプロイ ポッドを調べるには、HTTP Source を作成して、表示される URL を確認するという方法もあります。
DNS 名や IP アドレスによる Sumo Logic インフラストラクチャへのアクセスの保護
コレクションが機能するためには、ファイアウォールが Sumo Logic へのアウトバウンド トラフィックを許可する必要があります。ポート 443 でアウトバウンド トラフィックを許可する方法については「Sumo Logic Collector の接続試験」を参照してください。
-
ファイアウォールで DNS エントリが許可されている場合は、ファイアウォールのホワイトリストに以下を追加して、sumologic.com へのアウトバウンド トラフィックを許可してください。
*.sumologic.com
デフォルトでは、Collector は最初にcollectors.sumologic.com
に接続してから、以下のようなデプロイ特有のエンドポイントにリダイレクトされます。collectors.us2.sumologic.com
または
endpoint[N].collection.[deploymentID].[sumologic.com]
-
ファイアウォールで DNS エントリが許可されていない場合は、デプロイ リージョンのすべての IP アドレスをホワイトリストに登録する必要があります。ホワイトリストに登録するアドレスは、Sumo Logic デプロイによって異なります。ホワイトリストに登録する必要のある IP アドレスを確認するには、Amazon Web Services (AWS) で提供されている JSON オブジェクトをダウンロードしてください。Amazon では、このファイルは週に数回変更することを推奨しています。この JSON ファイルが更新される仕組み、ファイルの使い方や構文、そしてダウンロード方法については「AWS の IP アドレス範囲」を参照してください。
Sumo デプロイで使用する AWS リージョン
各 Sumo Logic デプロイで使用する AWS リージョンを下表に示します。詳細については、リージョンとエンドポイントについての AWS ページを参照してください。
Sumo Logic デプロイ |
AWS リージョン名 |
AWS のリージョン |
AU |
アジア太平洋 (シドニー) |
ap-southeast-2 |
CA |
カナダ (中央) |
ca-central-1 |
DE |
EU (フランクフルト) |
eu-central-1 |
EU |
EU (アイルランド) |
eu-west-1 |
FED |
米国東武 (北バージニア) |
us-east-1 |
IN |
アジア太平洋 (ムンバイ) |
ap-south-1 |
JP |
アジア太平洋 (東京) |
ap-northeast-1 |
US1 |
米国東武 (北バージニア) |
us-east-1 |
US2 |
米国西部 (オレゴン) |
us-west-2 |
このリンクには、最新の AWS IP 範囲、サブネット、接頭辞の全リストがあります。この表に従って自分のアカウントの Sumo デプロイが使用する AWS リージョンの IP プレフィクスのみを使用することで、ファイアウォールのエントリ数を制限することができます。
Sumo Logic にダウンロードしたファイルに対して以下のクエリを実行することで、各デプロイの IP アドレスを調べることができます。
| parse regex "\s+\"ip_prefix\":\s+\"(?<ip_prefix>.*?)\",\n\s+\"region\":\s+\"(?<region>.*?)\",\n\s+\"service\":\s+\"(?<service>.*?)\"" multi | where service="AMAZON" and (region="us-west-2" or region="us-east-1" or region="eu-west-1" or region="ap-southeast-2") | if (region="us-west-2", "US2", region) as region | if (region="us-east-1", "PROD", region) as region | if (region="eu-west-1", "EU", region) as region | if (region="ap-southeast-2", "AU", region) as region | count by ip_prefix, region, service | fields - _count | sort by region, ip_prefix
ファイアウォール、Collector、そして Source を設定したら、指定した場所で特定の種類のメッセージ (syslog メッセージなど) が受信できていることを検証して、Collector と Source が機能していることを確認します。
バージョニングと競合の検出
Collector 管理 API は、楽観的ロックによってバージョニングと競合の検出を行っています。1 つのエンティティを返すすべての応答には、エンティティのバージョンを示す ETag ヘッダがあります。そのエンティティへの以降の更新 (PUT
リクエスト) では、If-Match ヘッダでその ETag
ヘッダ値を指定する必要があります。ヘッダが指定されていない場合や、値がエンティティの最新バージョンと一致しない場合は (それぞれ 403 Forbidden
と 412 Precondition Failed
のエラー メッセージと共に) リクエストは失敗します。エンティティに対して同時更新が行われる可能性がある場合は、クライアントでこれらの失敗を処理するための準備が必要です。また、ETag
ヘッダの値を、GET
リクエストの If-None-Match
ヘッダで取得してキャッシュしておくこともできます。