Categorias e estados do Firewall Insights

Nesta página, descrevemos as categorias e os estados do Firewall Insights. Os insights analisam a configuração e o uso da regra de firewall usando o tipo de insight google.compute.firewall.Insight.

Categorias de insight

No Firewall Insights, os insights se enquadram nas duas categorias gerais descritas na tabela a seguir.

Categoria Descrição Insights
Baseada em configuração Os insights são gerados com base nos dados sobre como você configurou as regras de firewall. Regras ocultas
Com base em registros Os insights são gerados com base na geração de registros sobre o uso das regras de firewall e informações sobre como você as configurou.

Regras excessivamente permissivas

  • Regras Allow sem ocorrências
  • Regras Allow obsoletas com base na análise adaptativa
  • Regras Allow com atributos não utilizados
  • Regras Allow com intervalos de portas ou endereços IP excessivamente permissivos

Regras Deny com ocorrências

Cada subtipo de insight tem um nível de gravidade. Por exemplo, para insights de regras sombreadas, o nível de gravidade é medium. Para mais informações, consulte Gravidade na documentação do recomendador.

Estados de insight

Cada insight pode ter um dos seguintes estados, que podem ser alterados conforme descrito na tabela a seguir.

Estado Descrição
ACTIVE O insight está ativo. O Google continua a atualizar o conteúdo de ACTIVE com base nas informações mais recentes.
DISMISSED

O insight é dispensado e não é mais exibido para os usuários nas listas de insights ativos. É possível restaurar o estado DISMISSED para ACTIVE na página Histórico de insights descartados.

Para mais informações, consulte Como marcar um insight como descartado.

Regras ocultas

As regras ocultas compartilham atributos, como endereços IP, com outras regras com prioridade mais alta ou igual, chamadas de regras de sombreamento. O Firewall Insights analisa suas regras de firewall VPC e políticas de firewall para detectar essas regras sombreadas.

  • Para políticas de firewall atribuídas a uma rede VPC, é possível ver insights sobre uma regra de política sombreada por uma regra de VPC na mesma política ou em qualquer outra.
  • Políticas de firewall hierárquicas, políticas de firewall de rede global e regras de firewall da VPC são avaliadas com base na ordem de avaliação de políticas e regras. Por exemplo, no caso de políticas de firewall de rede global, é possível receber insights sobre qual regra de política de firewall de rede global é sombreada por uma regra de firewall da VPC com base na ordem de avaliação de regras.
  • Se você tiver regras de firewall com tags seguras em uma política de firewall de rede global, será possível conferir insights sobre essas regras que sombreiam umas às outras na mesma política de firewall global. Para mais informações, consulte Tags para firewalls.

O Firewall Insights não identifica todas as regras de sombreamento possíveis. Especificamente, ele não identifica que várias tags de outras regras de firewall ocultaram as tags de uma regra de firewall.

Exemplos de regras sombreadas

Neste exemplo, algumas regras sombreadas e de sombreamento têm filtros de intervalo de IP de origem sobrepostos e outras têm prioridades de regras diferentes.

A tabela a seguir mostra as regras de firewall A a E. Para diferentes cenários de regras sombreadas, consulte as seções que seguem a tabela.

Política
de firewall
Tipo Metas Filtros Protocolos
ou portas
Ação Priority
Regra de firewall A X Entrada Aplicar a todas 10.10.0.0/16 tcp:80 Allow 1000
Regra de firewall B Sim Entrada Aplicar a todas 10.10.0.0/24 tcp:80 Allow 1000
Regra de firewall C - Entrada web 10.10.2.0/24 tcp:80
tcp:443
Allow 1000
Regra de firewall D - Entrada web 10.10.2.0/24 tcp:80 Negar 900
Regra de firewall E - Entrada web 10.10.2.0/24 tcp:443 Negar 900

Exemplo 1: a regra de firewall B é sombreada pela regra de firewall A

Neste exemplo, existem duas regras de firewall, A e B. Essas regras são quase idênticas, exceto pelos filtros de intervalo de endereços IP de origem. Por exemplo, o intervalo de endereços IP de A é 10.10.0.0/16, enquanto o intervalo de endereços IP de B é 10.10.0.0/24. Assim, a regra de firewall B é sombreada pela regra de firewall A.

O insight shadowed firewall rules geralmente indica uma configuração incorreta de firewall. Por exemplo, a configuração de filtro de endereço IP de A é ampla, ou a configuração de filtro de B é muito restritiva e desnecessária.

Exemplo 2: a regra de firewall C é sombreada pelas regras de firewall D e E

Neste exemplo, existem três regras de firewall: C, D e E. A regra de firewall C permite a entrada do tráfego da Web das portas HTTP 80 e HTTPS 443 e tem uma prioridade de 1000 (prioridade padrão). Por outro lado, as regras de firewall D e E negam a entrada de tráfego da Web HTTP e HTTPS, respectivamente, e ambas têm uma prioridade de 900 (alta prioridade). Assim, a regra de firewall C é sombreada pelas regras de firewall D e E combinadas.

Exemplo 3: a regra de firewall B na política de firewall Y é sombreada pela regra de firewall A na política X

Neste exemplo, existem duas regras de firewall, A e B. A regra de firewall A está na política X associada à pasta Folder1, enquanto a regra de firewall B está na política Y associada à pasta Folder2. As pastas Folder1 e Folder2 estão no mesmo nó da organização, sendo Folder2 filho de Folder1. Essas duas regras são idênticas, exceto pelo intervalo de endereços IP de origem. Esse insight indica que a regra de firewall B na política Y é desnecessária porque já foi coberta pela regra de firewall A na política X. Assim, a regra de firewall B na política Y é sombreada pela regra A na política X.

Exemplo 4: a regra de firewall B na política de firewall de rede global Y é sombreada pela regra de firewall A

Neste exemplo, existem duas regras de firewall, A e B. As duas regras de firewall A e B estão na rede Network1, mas a regra de firewall B está na política de firewall de rede global Y. A ordem de aplicação da política de firewall da política Y é AFTER_CLASSIC_FIREWALLS. Essas duas regras são quase idênticas, exceto pelo intervalo de endereços IP de origem. Esse insight indica que a regra B na política Y é desnecessária, uma vez que já está coberta pela regra A. Assim, a regra de firewall B na política Y é sombreada pela regra de firewall A.

Negar regras com ocorrências

Esse insight fornece detalhes sobre as regras deny que tiveram hits durante o período de observação.

Esses insights fornecem sinais de queda de pacote do firewall. É possível verificar se os pacotes descartados são esperados devido a proteções de segurança ou se resultam de configurações incorretas da rede.

Regras excessivamente permissivas

O Firewall Insights fornece uma análise abrangente das regras de firewall. Esta análise inclui os seguintes insights:

Os dados fornecidos por esses insights são da geração de registros de regras de firewall. Portanto, esses dados só serão precisos se você tiver ativado a geração de registros de regras de firewall durante todo o período de observação. Caso contrário, o número de regras em cada categoria de insight poderá ser maior que o indicado.

Insights de regra excessivamente permissivos avaliam o tráfego TCP e UDP. Outros tipos de tráfego não são analisados. Para mais detalhes, consulte a descrição de cada insight.

Cada subtipo de insight tem um nível de gravidade. Por exemplo, o nível de gravidade é high para insights de regra excessivamente permissivos. Para mais informações, consulte Gravidade na documentação do recomendador.

Regras de permissão sem ocorrências

Esse insight identifica regras allow que não tiveram ocorrências durante o período de observação.

É possível conferir as previsões de machine learning para cada regra, a fim de analisar a probabilidade de uma regra ou atributo ser atingido no futuro. Essa previsão é produzida por uma análise de machine learning que considera o padrão de tráfego histórico dessa regra e de regras semelhantes na mesma organização.

Para ajudar você a entender a previsão, esse insight identifica regras semelhantes no mesmo projeto que a regra identificada pelo insight. O insight lista a contagem de hits dessas regras e resume os detalhes de configuração delas. Esses detalhes incluem a prioridade e os atributos de cada regra, como o endereço IP e os intervalos de portas.

Allow rules with no hits avalia as regras de firewall aplicadas ao tráfego TCP e UDP. Se uma regra de firewall permitir qualquer outro tipo de tráfego, ela não será incluída nesta análise.

Permitir regras obsoletas com base na análise adaptativa

Esse insight identifica regras allow que têm menor chance de serem ativas com base em padrões de uso e na análise adaptativa. O insight é produzido por uma análise de machine learning que considera a contagem média de hits nas últimas seis semanas e a análise adaptativa recente de contagens de hits. No entanto, se a regra nunca esteve ativa desde que o rastreamento de contagens de hits começou, ela também poderá ser incluída no insight até ficar ativa novamente.

Por exemplo, suponha que uma regra de firewall foi hit com frequência durante as últimas semanas do período de observação e parou de ser hit por vários dias. Nesse caso, talvez você veja esse insight sobre essa regra, indicando uma alteração no padrão de uso. No entanto, as regras de firewall são analisadas para identificar esses hits infrequentes, mas ativos. Essas regras ativas não aparecem nesse insight.

No caso de cada regra, se a análise de machine learning identificá-la como inativa, será possível visualizar insights com base na análise adaptativa mais rapidamente e antes do final do período de observação. Por exemplo, você pode começar a receber insights com base na análise adaptativa após a primeira semana do período de observação, mesmo que ele seja de 12 meses.

Após o final do período de observação, é possível visualizar insights com base nos dados coletados pela geração de registros de regras de firewall durante todo o período de observação.

Regras de permissão com atributos não utilizados

Esse insight identifica regras allow que têm atributos como endereços IP e intervalos de porta que não foram atingidos durante o período de observação.

Para cada regra identificada, esse insight também informa a probabilidade de a regra ser hit no futuro. Essa previsão é baseada em previsões de machine learning que consideram os padrões históricos de tráfego dessa regra e de regras semelhantes na mesma organização.

Para ajudar você a entender a previsão, o insight resume outras regras de firewall no mesmo projeto que têm atributos semelhantes. Esse resumo inclui dados sobre a ocorrência dos atributos dessas regras.

Allow rules with unused attributes avalia apenas os atributos definidos para o tráfego TCP e UDP. Se uma regra permitir outros tipos de tráfego além de TCP e UDP, ela poderá ser incluída nessa análise. No entanto, os atributos relacionados a outros tipos de tráfego não são analisados.

Por exemplo, suponha que uma regra permita o tráfego TCP e ICMP. Se o intervalo de endereços IP permitido parecer não utilizado, ele não será considerado não utilizado porque pode ser usado para tráfego ICMP. No entanto, se a mesma regra tiver um intervalo de portas TCP não utilizado, ela será sinalizada como excessivamente permissiva.

Permitir regras com intervalos de portas ou endereços IP excessivamente permissivos

Esse insight identifica regras allow que podem ter endereços IP ou intervalos de portas muito amplos.

As regras de firewall geralmente são criadas com um escopo mais amplo do que o necessário. Um escopo excessivamente amplo pode levar a riscos de segurança.

Esse insight ajuda a atenuar esse problema analisando o uso real do endereço IP e os intervalos de portas das regras de firewall. Ele também sugere uma combinação alternativa de endereços IP e intervalos de portas para regras com intervalos muito amplos. Com esse conhecimento, é possível remover os intervalos de portas desnecessários com base em padrões de tráfego durante o período de observação.

Allow rules with overly permissive IP address or port ranges avalia apenas os atributos definidos para o tráfego TCP e UDP. Se uma regra permitir outros tipos de tráfego além de TCP e UDP, ela poderá ser incluída nessa análise. No entanto, os atributos relacionados a outros tipos de tráfego não são analisados.

Por exemplo, suponha que uma regra permita o tráfego TCP e ICMP. Se o intervalo de endereços IP permitido parecer usado apenas parcialmente, o insight não vai sinalizar o intervalo de endereços IP como excessivamente amplo, porque ele pode ser usado para tráfego ICMP. No entanto, se a mesma regra tiver um intervalo de portas TCP usado apenas parcialmente, ela será sinalizada como excessivamente permissiva.

Tenha em mente que o projeto pode ter regras de firewall que permitem o acesso de determinados blocos de endereços IP para verificações de integridade do balanceador de carga ou para outra funcionalidade do Google Cloud. Esses endereços IP podem não ocorrer, mas não podem ser removidos das suas regras de firewall. Para mais informações sobre esses intervalos, consulte a documentação do Compute Engine.

Previsões de machine learning

Conforme descrito nas seções anteriores, dois insights (regras allow sem hits e regras allow com atributos não utilizados) usam previsões de machine learning.

Para gerar previsões, o Firewall Insights treina um modelo de machine learning usando regras de firewall na mesma organização. Dessa forma, o Firewall Insights aprende padrões comuns. Por exemplo, o Firewall Insights aprende sobre combinações de atributos que tendem a ser atingidos. Esses atributos podem incluir intervalos de endereços IP, intervalos de portas e protocolos de IP.

Se a regra de firewall contiver padrões comuns que mostram que a regra provavelmente será hit, o Firewall Insights terá mais confiança de que a regra poderá ser hit no futuro. O inverso também é verdadeiro.

Para cada insight que usa previsões, o Firewall Insights mostra detalhes sobre as regras que foram consideradas semelhantes à regra identificada pelo insight. Por exemplo, no painel Detalhes do insight, é possível ver detalhes sobre as três regras mais semelhantes à regra que é o assunto da previsão. Quanto maior for a sobreposição entre os atributos das duas regras, mais semelhantes serão consideradas.

Para regras allow sem ocorrências, considere o exemplo a seguir:

Suponha que a regra A tenha os seguintes atributos:

Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80

Suponha que a regra B tenha os atributos a seguir:

Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80

Essas duas regras compartilham as mesmas tags de destino, protocolo e atributos de porta. Elas diferem apenas nos atributos de origem. Por esse motivo, elas são consideradas semelhantes.

Para regras allow com atributos não utilizados, a similaridade é determinada da mesma maneira. Para esse insight, o Firewall Insights considera regras semelhantes quando a configuração delas inclui os mesmos atributos.

A seguir