In questa pagina viene descritto come abilitare le API e le funzionalità necessarie per utilizzare Firewall Insights.
Prima di utilizzare Firewall Insights, seleziona un progetto, assicurati di disporre delle autorizzazioni e dei ruoli richiesti, quindi completa le attività di configurazione richieste. Per ulteriori informazioni sui primi due passaggi, consulta Ruoli e autorizzazioni.
Le attività di configurazione variano in base alle metriche e agli insight che vuoi utilizzare. Per maggiori dettagli consulta la tabella seguente.
| Attività | Tutte le metriche | Insight sulle regole con shadowing | Insight sulle regole eccessivamente permissive | Regole di negazione con attributi attivati |
|---|---|---|---|---|
| Abilita l'API Firewall Insights | ✔ | ✔ | ✔ | ✔ |
| Abilita il logging delle regole firewall | ✔ | ✔ | ✔ | |
| Abilita l'API Recommender | ✔ | ✔ | ||
| Attiva questo tipo di insight | ✔ | ✔ | ||
| Configurare un periodo di osservazione | ✔ | ✔ | ||
| Pianificare un ciclo di aggiornamento personalizzato | ✔ |
Le sezioni seguenti descrivono come abilitare le API e le funzionalità.
Abilita Firewall Insights API
Prima di eseguire attività con Firewall Insights, devi abilitare l'Firewall Insights API.
Per abilitare l'API, puoi utilizzare i seguenti passaggi o la libreria API della console Google Cloud, descritta in Abilitazione delle API nella documentazione delle API Cloud.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti firewall.
Nella pagina Firewall Insights API, fai clic su Abilita.
gcloud
Utilizza il seguente comando:
gcloud services enable firewallinsights.googleapis.com
Abilita il logging delle regole firewall
Se vuoi visualizzare uno dei seguenti elementi, devi abilitare il logging delle regole firewall:
- Metriche sulle regole firewall
- Insight sulle regole eccessivamente permissive
o sulle regole
deny; questi insight sono noti collettivamente come insight basati su log
Firewall Insights genera metriche e insight basati su log solo per le regole in cui è abilitato il logging. Per maggiori informazioni, consulta la panoramica del logging delle regole firewall.
Abilita l'API Recommender
Abilita l'API Recommender a eseguire le seguenti operazioni:
- Utilizza insight sulle regola oscurata
- Utilizza insight sulle regole eccessivamente permissive
Recupera tutti i dati effettuando chiamate API o utilizzando Google Cloud CLI
Console
Nella console Google Cloud, vai alla pagina Abilita l'accesso all'API.
Assicurati che sia selezionato il progetto corretto, quindi fai clic su Avanti.
Fai clic su Abilita.
gcloud
Utilizza il seguente comando:
gcloud services enable recommender.googleapis.com
Abilita regola oscurata o insight sulle regole eccessivamente permissive
Firewall Insights non genera insight sulle regole con shadowing o eccessivamente permissive, a meno che non abiliti attivamente queste funzionalità nella pagina Firewall Insights.
Dopo aver attivato una delle due funzionalità, potresti dover attendere fino a 48 ore per visualizzare gli insight generati.
Quando crei o aggiorni una regola firewall, potresti dover attendere fino a dieci giorni per vedere le previsioni del machine learning e ottenere insight sulle regole eccessivamente permissive. Nel frattempo, puoi visualizzare insight basati sui dati raccolti dal logging delle regole firewall.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti firewall.
Fai clic su Configurazione.
Fai clic su Abilitazione.
A seconda dei casi, sposta il dispositivo di scorrimento su Attivata o Disattivata per una o entrambe le seguenti opzioni:
Approfondimenti sulle regole con shadowing
Insight sulle regole eccessivamente permissive
API
Puoi utilizzare l'API Recommender per abilitare o disabilitare gli insight regola oscurata e gli insight sulle regole eccessivamente permissive. Puoi anche utilizzare l'API per impostare il periodo di osservazione per insight sulle regole eccessivamente permissive e recuperare i dettagli di configurazione.
Per abilitare gli insight sulle regola oscurata e gli insight sulle regole eccessivamente permissive, utilizza il metodo updateConfig.
Per utilizzare il metodo updateConfig, devi impostare i valori di tutti i parametri. Quando abiliti o disabiliti gli insight, devi anche configurare il periodo di osservazione per gli insight eccessivamente permissivi.
Per effettuare questo tipo di aggiornamento, utilizza la richiesta seguente.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
Sostituisci i seguenti valori:
- PROJECT_ID: l'ID del progetto
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: il tempo, in secondi, del periodo di osservazione per gli insight sulle regole eccessivamente permissive
- ENABLEMENT_SHADOWED: un valore booleano che rappresenta se gli insight regola oscurata sono abilitati
- ENABLEMENT_OVERLY_PERMISSIVE: un valore booleano che indica se sono abilitati gli insight sulle regole eccessivamente permissive
- ETAG: il valore etag del criterio IAM. Per recuperare il valore etag, utilizza il metodo
getConfig, come descritto nella sezione seguente
Esempio
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
Recuperare i dettagli di configurazione
Per recuperare i dettagli su come è configurato Firewall Insights, utilizza il
metodo getConfig
come mostrato nell'esempio seguente.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Configurare un periodo di osservazione
Per alcuni insight, puoi configurare un periodo di osservazione, o l'intervallo di tempo interessato dall'insight. Per maggiori informazioni, consulta Configurare il periodo di osservazione in Configurare il periodo di osservazione e il ciclo di aggiornamento.
Pianificare un ciclo di aggiornamento personalizzato
Puoi configurare un ciclo di aggiornamento per generare insight sulle regola oscurata per il tuo progetto. Per saperne di più, consulta Pianificare un ciclo di aggiornamento personalizzato in Configurare il periodo di osservazione e il ciclo di aggiornamento.