Categorie e stati di Firewall Insights

In questa pagina vengono descritti le categorie e gli stati di Firewall Insights. Gli insight analizzano la configurazione e l'utilizzo delle regole firewall utilizzando il tipo di insight google.compute.firewall.Insight.

Categorie di insight

In Firewall Insights, gli insight rientrano nelle due categorie generali descritte nella tabella seguente.

Categoria Descrizione Insight
Basato sulla configurazione Gli insight vengono generati in base ai dati relativi a come hai configurato le regole firewall. Regole con shadowing
Basato su log Gli insight vengono generati in base al logging relativo all'utilizzo delle regole firewall e alle informazioni su come sono state configurate.

Regole eccessivamente permissive

  • Regole Allow senza corrispondenze
  • Allow regole obsolete in base all'analisi adattiva
  • Regole Allow con attributi inutilizzati
  • Allow regole con indirizzi IP o intervalli di porte eccessivamente permissivi

Regole Deny con corrispondenze

Ogni sottotipo di insight ha un livello di gravità. Ad esempio, per gli insight sulle regola oscurata, il livello di gravità è medium. Per ulteriori informazioni, consulta la sezione Gravità nella documentazione del motore per suggerimenti.

Stati degli insight

Ogni insight può avere uno dei seguenti stati, che puoi modificare come descritto nella tabella seguente.

Stato Descrizione
ACTIVE L'insight è attivo. Google continua ad aggiornare i contenuti per ACTIVE approfondimenti in base alle informazioni più recenti.
DISMISSED

L'insight viene ignorato e non viene più mostrato a nessun utente in nessun elenco di insight attivi. Puoi ripristinare lo stato DISMISSED su ACTIVE nella pagina Cronologia ignorati.

Per maggiori informazioni, consulta Contrassegnare un insight come ignorato.

Regole con shadowing

Le regole con shadowing condividono attributi, come gli indirizzi IP, con altre regole con priorità superiore o uguale, chiamate regole di shadowing. Firewall Insights analizza le regole firewall VPC e i criteri firewall per rilevare queste regole con shadowing.

  • Per i criteri firewall assegnati a una rete VPC, puoi visualizzare insight su una regola di criterio con shadowing da parte di una regola VPC nello stesso criterio o in qualsiasi altro criterio.
  • I criteri firewall gerarchici, i criteri firewall di rete globali e le regole firewall VPC vengono valutati in base all'ordine di valutazione dei criteri e delle regole. Ad esempio, nel caso di criteri firewall di rete globali, potresti ottenere insight su quale regola del criterio firewall di rete globale viene sottoposta a shadowing da una regola firewall VPC in base all'ordine di valutazione delle regole.
  • Se hai regole firewall con tag sicuri in un criterio firewall di rete globale, puoi visualizzare insight su queste regole che si eseguono con shadowing nello stesso criterio firewall globale. Per maggiori informazioni, consulta Tag per i firewall.

Firewall Insights non identifica tutte le possibili regole di shadowing. In particolare, non identifica che più tag di altre regole firewall abbiano eseguito lo shadowing dei tag di una regola firewall.

Esempi di regole con shadowing

In questo esempio, alcune regole di shadowing e shadowing hanno filtri dell'intervallo IP di origine sovrapposti, mentre altre hanno priorità delle regole diverse.

La tabella seguente mostra le regole firewall da A a E. Per diversi scenari delle regole con shadowing, consulta le sezioni riportate di seguito.

Criterio
firewall
Tipo Destinazioni Filtri Protocolli
o porte
Azione Priorità
Regola firewall A X In entrata Applica a tutto 10.10.0.0/16 tcp:80 Consenti 1000
Regola firewall B Y In entrata Applica a tutto 10.10.0.0/24 tcp:80 Consenti 1000
Regola firewall C - In entrata web 10.10.2.0/24 tcp:80
tcp:443
Consenti 1000
Regola firewall D - In entrata web 10.10.2.0/24 tcp:80 Nega 900
Regola firewall E - In entrata web 10.10.2.0/24 TCP:443 Nega 900

Esempio 1: la regola firewall B è sottoposta a shadowing dalla regola firewall A

In questo esempio sono presenti due regole firewall: A e B. Queste regole sono quasi identiche, ad eccezione dei filtri dell'intervallo di indirizzi IP di origine. Ad esempio, l'intervallo di indirizzi IP di A è 10.10.0.0/16, mentre l'intervallo di indirizzi IP di B è 10.10.0.0/24. Di conseguenza, la regola firewall B viene sottoposta a shadowing dalla regola firewall A.

L'insight shadowed firewall rules di solito indica un'errata configurazione del firewall, ad esempio se l'impostazione del filtro degli indirizzi IP di A è ampia o l'impostazione del filtro B è troppo restrittiva e non necessaria.

Esempio 2: la regola firewall C è sottoposta a shadowing dalle regole firewall D ed E

In questo esempio sono presenti tre regole firewall: C, D ed E. La regola firewall C consente il traffico web in entrata della porta HTTP 80 e della porta HTTPS 443 e ha una priorità pari a 1000 (priorità predefinita). Al contrario, le regole firewall D ed E negano rispettivamente il traffico in entrata del traffico web HTTP e HTTPS ed entrambe hanno una priorità pari a 900 (priorità alta). Di conseguenza, la regola firewall C viene sottoposta a shadowing dalle regole firewall D ed E combinate.

Esempio 3: la regola firewall B nel criterio firewall Y è sottoposta a shadowing dalla regola firewall A nel criterio X

In questo esempio sono presenti due regole firewall: A e B. La regola firewall A si trova nel criterio X associato alla Cartella 1, mentre la regola firewall B si trova nel criterio Y associato alla Cartella 2. Cartella 1 e Cartella 2 si trovano nello stesso nodo organizzazione, mentre Cartella 2 è un elemento secondario di Cartella 1. Queste due regole sono identiche, tranne che per l'intervallo di indirizzi IP di origine. Questo insight indica che la regola firewall B nel criterio Y non è necessaria perché è già coperta dalla regola firewall A nel criterio X. Di conseguenza, la regola firewall B nel criterio Y viene sottoposta a shadowing dalla regola firewall A nel criterio X.

Esempio 4: la regola firewall B nel criterio firewall di rete globale Y è sottoposta a shadowing dalla regola firewall A

In questo esempio sono presenti due regole firewall: A e B. Le regole firewall A e B sono entrambe nel criterio firewall A e B, mentre la regola firewall B si trova nel criterio firewall di rete globale Y. L'ordine di applicazione del criterio firewall per il criterio Y è AFTER_CLASSIC_FIREWALLS. Queste due regole sono quasi identiche, ad eccezione dell'intervallo di indirizzi IP di origine. Questo insight indica che la regola B nel criterio Y non è necessaria, in quanto è già coperta dalla regola A. Di conseguenza, la regola firewall B nel criterio Y è sottoposta a shadowing dalla regola firewall A.

Regole di negazione con hit

Questo insight fornisce dettagli sulle regole deny che hanno ricevuto hit durante il periodo di osservazione.

Questi insight forniscono segnali di lancio di pacchetti del firewall. Puoi quindi verificare se i pacchetti persi sono previsti a causa delle protezioni di sicurezza o se sono dovuti a errori di configurazione della rete.

Regole eccessivamente permissive

Firewall Insights fornisce un'analisi completa per capire se le regole firewall sono eccessivamente permissive. Questa analisi include i seguenti approfondimenti:

I dati forniti da questi insight provengono dal logging delle regole firewall. Pertanto, questi dati sono accurati solo se hai abilitato il logging delle regole firewall per l'intero periodo di osservazione. In caso contrario, il numero di regole in ogni categoria di insight potrebbe essere superiore a quanto indicato.

Gli insight sulle regole eccessivamente permissive valutano il traffico TCP e UDP. Altri tipi di traffico non vengono analizzati. Per maggiori dettagli, consulta la descrizione di ogni insight.

Ogni sottotipo di insight ha un livello di gravità. Ad esempio, il livello di gravità è high per insight sulle regole eccessivamente permissive. Per ulteriori informazioni, consulta la sezione Gravità nella documentazione del motore per suggerimenti.

Regole di autorizzazione senza corrispondenze

Questo insight identifica le regole allow che non hanno avuto hit durante il periodo di osservazione.

Per ogni regola, puoi visualizzare previsioni del machine learning che indicano se una regola o un attributo ha probabilità di essere raggiunti in futuro. Questa previsione è prodotta da un'analisi di machine learning che considera il modello di traffico storico di questa regola e regole simili nella stessa organizzazione.

Per aiutarti a comprendere la previsione, questo insight identifica regole simili nello stesso progetto a cui è associata la regola identificata dall'insight. L'insight elenca il numero di hit di queste regole e riassume i relativi dettagli di configurazione. Questi dettagli includono la priorità e gli attributi di ogni regola, come gli intervalli di indirizzi IP e porte.

Allow rules with no hits valuta le regole firewall applicate per il traffico TCP e UDP. Se una regola firewall consente qualsiasi altro tipo di traffico, non è incluso in questa analisi.

Consenti regole obsolete in base all'analisi adattiva

Questo insight identifica le regole allow che hanno meno probabilità di essere attive in base a modelli di utilizzo e analisi adattiva. L'insight è prodotto da un'analisi di machine learning che tiene conto del numero medio di hit nelle ultime sei settimane e dell'analisi adattiva del numero di hit recenti. Tuttavia, se la regola non è mai stata attiva dall'inizio del monitoraggio del numero di hit, può essere inclusa nell'approfondimento fino a quando non diventa di nuovo attiva.

Ad esempio, supponi che una regola firewall abbia avuto corrispondenze frequenti nelle ultime settimane del periodo di osservazione e che ne sia stata interrotta per diversi giorni. In tal caso, potresti visualizzare questo insight per la regola in questione, a indicare una modifica nel pattern di utilizzo. Tuttavia, le regole firewall vengono analizzate per identificare questi hit non di frequente ma attivi; queste regole attive non vengono visualizzate in questo insight.

Per ogni regola, se l'analisi di machine learning identifica la regola come inattiva, puoi visualizzare gli approfondimenti basati sull'analisi adattiva più velocemente e prima della fine del periodo di osservazione. Ad esempio, potresti iniziare a ricevere approfondimenti basati sull'analisi adattiva dopo la prima settimana del periodo di osservazione, anche se il periodo di osservazione è di 12 mesi.

Al termine del periodo di osservazione, puoi visualizzare insight basati sui dati raccolti tramite il logging delle regole firewall per l'intero periodo di osservazione.

Regole di autorizzazione con attributi inutilizzati

Questo insight identifica le regole allow che hanno attributi come intervalli di indirizzi IP e porte che non hanno avuto corrispondenze durante il periodo di osservazione.

Per ogni regola identificata, questo insight segnala anche la probabilità che la regola venga applicata in futuro. Questa previsione si basa su previsioni del machine learning che considerano i pattern di traffico storici di questa regola e regole simili nella stessa organizzazione.

Per aiutarti a comprendere la previsione, l'insight riassume altre regole firewall nello stesso progetto che hanno attributi simili. Questo riepilogo include dati che indicano se gli attributi di tali regole hanno avuto esito positivo.

Allow rules with unused attributes valuta solo gli attributi definiti per il traffico TCP e UDP. Se una regola consente altri tipi di traffico oltre a TCP e UDP, può essere inclusa in questa analisi. Tuttavia, gli attributi relativi ad altri tipi di traffico non vengono analizzati.

Ad esempio, supponiamo che una regola consenta il traffico sia TCP che ICMP. Se l'intervallo di indirizzi IP consentito risulta inutilizzato, non viene considerato inutilizzato perché potresti utilizzarlo per il traffico ICMP. Tuttavia, se la stessa regola ha un intervallo di porte TCP inutilizzate, viene contrassegnata come eccessivamente permissiva.

Regole di autorizzazione con intervalli di porte o indirizzi IP eccessivamente permissivi

Questo insight identifica le regole allow che potrebbero avere indirizzi IP o intervalli di porte troppo ampi.

Le regole firewall vengono spesso create con un ambito più ampio del necessario. Un ambito troppo ampio può comportare rischi per la sicurezza.

Questo insight aiuta a mitigare il problema analizzando l'utilizzo effettivo degli intervalli di indirizzi IP e porte delle regole firewall. Suggerisce inoltre una combinazione alternativa di intervalli di indirizzi IP e porte per le regole con intervalli troppo ampi. Grazie a queste informazioni, puoi rimuovere gli intervalli di porte non necessari in base ai pattern di traffico durante il periodo di osservazione.

Allow rules with overly permissive IP address or port ranges valuta solo gli attributi definiti per il traffico TCP e UDP. Se una regola consente altri tipi di traffico oltre a TCP e UDP, può essere inclusa in questa analisi. Tuttavia, gli attributi relativi ad altri tipi di traffico non vengono analizzati.

Ad esempio, supponiamo che una regola consenta il traffico sia TCP che ICMP. Se l'intervallo di indirizzi IP consentiti sembra essere utilizzato solo parzialmente, l'insight non segnala l'intervallo di indirizzi IP come troppo ampio perché potrebbe essere utilizzato per il traffico ICMP. Tuttavia, se la stessa regola ha un intervallo di porte TCP utilizzato solo parzialmente, la regola viene contrassegnata come eccessivamente permissiva.

Tieni presente che il tuo progetto potrebbe avere regole firewall che consentono l'accesso da determinati blocchi di indirizzi IP per i controlli di integrità del bilanciatore del carico o per altre funzionalità di Google Cloud. Questi indirizzi IP potrebbero non avere corrispondenze, ma non devono essere rimossi dalle regole firewall. Per ulteriori informazioni su questi intervalli, consulta la documentazione di Compute Engine.

Previsioni tramite machine learning

Come descritto nelle sezioni precedenti, due insight (regole allow senza hit e regole allow con attributi inutilizzati) utilizzano le previsioni del machine learning.

Per generare previsioni, Firewall Insights addestra un modello di machine learning utilizzando regole firewall nella stessa organizzazione. In questo modo, Firewall Insights apprende i pattern comuni. Ad esempio, Firewall Insights apprende le combinazioni di attributi che tendono a ricevere Questi attributi possono includere intervalli di indirizzi IP, intervalli di porte e protocolli IP.

Se la regola firewall contiene pattern comuni che mostrano è probabile che venga soddisfatta la regola, Firewall Insights ha una maggiore probabilità che la regola possa essere soddisfatta in futuro. Questo è vero anche in caso contrario.

Per ogni insight che utilizza le previsioni, Firewall Insights mostra i dettagli sulle regole considerate simili a quella identificata dall'insight. Ad esempio, nel riquadro Dettagli insight, puoi visualizzare informazioni dettagliate sulle tre regole più simili alla regola oggetto della previsione. Maggiore è la sovrapposizione tra gli attributi delle due regole, più simili vengono considerate.

Per le regole allow senza hit, considera il seguente esempio:

Supponiamo che la regola A abbia i seguenti attributi:

Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80

Supponiamo che la regola B abbia i seguenti attributi:

Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80

Queste due regole condividono gli stessi tag di destinazione, protocollo e porta. e differiscono solo negli attributi di origine. Per questo motivo, sono considerati simili.

Per le regole allow con attributi inutilizzati, la somiglianza viene determinata allo stesso modo. Per questo insight, Firewall Insights considera le regole simili quando la loro configurazione include gli stessi attributi.

Passaggi successivi