Auf dieser Seite werden die Kategorien und Zustände von Firewall Insights beschrieben.
Mithilfe des Statistiktyps google.compute.firewall.Insight werden die Konfiguration und die Verwendung Ihrer Firewallregeln analysiert.
Statistikkategorien
Innerhalb von Firewall Insights fallen Informationen in die beiden allgemeinen Kategorien, die in der folgenden Tabelle beschrieben sind.
| Kategorie | Beschreibung | Insights |
|---|---|---|
| Konfigurationsbasiert | Statistiken werden anhand von Daten zur Konfiguration Ihrer Firewallregeln generiert. | Verdeckte Regeln |
| Logbasiert | Statistiken werden basierend auf dem Logging über die Verwendung Ihrer Firewall-Regeln sowie auf Informationen über die Konfiguration der Regeln gewonnen. |
Zu moderate Regeln
|
Jeder Statistik-Untertyp hat einen Schweregrad. Bei Informationen zu verdeckten Regeln ist der Schweregrad beispielsweise medium. Weitere Informationen finden Sie in der Recommender-Dokumentation unter Schweregrad.
Statistikzustände
Jede Erkenntnis kann einen der folgenden Status haben, den Sie wie in der folgenden Tabelle beschrieben ändern können.
| Bundesland | Beschreibung |
|---|---|
ACTIVE |
Die Erkenntnis ist aktiv. Google aktualisiert weiterhin Inhalte für ACTIVE-Insights basierend auf den neuesten Informationen. |
DISMISSED |
Die Statistik wird verworfen und keinem Nutzer mehr in einer aktiven Statistikliste angezeigt. Sie können den Status Weitere Informationen finden Sie unter Statistik als geschlossen markieren. |
Verdeckte Regeln
Verdeckte Regeln teilen Attribute wie IP-Adressen mit anderen Regeln mit höherer oder gleicher Priorität, die als verdeckende Regeln bezeichnet werden. Firewall Insights analysiert Ihre VPC-Firewallregeln und Firewallrichtlinien, um diese verdeckten Regeln zu erkennen.
- Für Firewallrichtlinien, die einem VPC-Netzwerk zugewiesen sind, können Sie Statistiken zu einer Richtlinienregel sehen, die von einer VPC-Regel in derselben oder einer anderen Richtlinie überschattet wird.
- Hierarchische Firewallrichtlinien, globale Netzwerk-Firewallrichtlinien und VPC-Firewallregeln werden gemäß der Richtlinien- und Regelauswertungsreihenfolge ausgewertet. Bei globalen Netzwerk-Firewallrichtlinien können Sie beispielsweise Informationen dazu erhalten, welche globale Netzwerk-Firewallrichtlinienregel aufgrund der Regelauswertungsreihenfolge von einer VPC-Firewallregel überschattet wird.
- Wenn Sie Firewallregeln mit sicheren Tags in einer globalen Netzwerk-Firewallrichtlinie haben, können Sie Statistiken zu diesen Regeln aufrufen, die sich in derselben globalen Firewallrichtlinie überschneiden. Weitere Informationen finden Sie unter Tags für Firewalls.
Firewall Insights identifiziert nicht alle möglichen verdeckenden Regeln. Insbesondere wird nicht festgestellt, dass die Tags einer Firewallregel von mehreren Tags anderer Firewallregeln verdeckt wurden.
Beispiele für verdeckte Regeln
In diesem Beispiel haben einige verdeckte und verdeckende Regeln überlappende Quell-IP-Bereichsfilter, während andere unterschiedliche Regelprioritäten haben.
Die folgende Tabelle zeigt die Firewall-Regeln A bis E. Informationen zu verschiedenen verdeckten Regelszenarien finden Sie in den Abschnitten nach der Tabelle.
| Firewall richtlinie |
Typ | Ziele | Filter | Protokolle oder Ports |
Aktion | Priorität | |
|---|---|---|---|---|---|---|---|
| Firewall-Regel A. | X | Eingehender Traffic | Auf alle anwenden | 10.10.0.0/16 | tcp:80 | Allow | 1000 |
| Firewall-Regel B. | J | Eingehender Traffic | Auf alle anwenden | 10.10.0.0/24 | tcp:80 | Allow | 1000 |
| Firewall-Regel C. | - | Eingehender Traffic | web | 10.10.2.0/24 | tcp:80 tcp:443 | Allow | 1000 |
| Firewall-Regel D. | - | Eingehender Traffic | web | 10.10.2.0/24 | tcp:80 | Ablehnen | 900 |
| Firewall-Regel E. | - | Eingehender Traffic | web | 10.10.2.0/24 | tcp:443 | Ablehnen | 900 |
Beispiel 1: Firewall-Regel B wird von Firewall-Regel A verdeckt
In diesem Beispiel gibt es zwei Firewall-Regeln: A und B. Diese Regeln sind bis auf die Quell-IP-Bereichsfilter nahezu identisch. Der IP-Adressbereich von A ist beispielsweise 10.10.0.0/16, während der IP-Adressbereich von B 10.10.0.0/24 ist. Somit wird die Firewall-Regel B von der Firewall-Regel A verdeckt.
Die Erkenntnis shadowed firewall rules weist normalerweise auf eine Fehlkonfiguration der Firewall hin. Beispielsweise ist die IP-Adressfiltereinstellung von A zu weit gefasst oder die Filtereinstellung von B ist zu restriktiv und wird nicht benötigt.
Beispiel 2: Die Firewall-Regel C wird von den Firewall-Regeln D und E verdeckt
In diesem Beispiel gibt es drei Firewall-Regeln: C, D und E. Die Firewall-Regel C ermöglicht den Eintritt von Web-Traffic über den HTTP-Port 80 und den HTTPS-Port 443 und hat die Priorität 1000 (Standardpriorität). Die Firewall-Regeln D und E verweigern dagegen das Eindringen von HTTP- bzw. HTTPS-Webtraffic und haben beide eine Priorität von 900 (hohe Priorität). Somit wird die Firewall-Regel C durch die kombinierten Firewall-Regeln D und E verdeckt.
Beispiel 3: Firewall-Regel B in der Firewall-Richtlinie Y wird von Firewall-Regel A in der Richtlinie X verdeckt
In diesem Beispiel gibt es zwei Firewall-Regeln: A und B. Firewall-Regel A ist in Richtlinie X enthalten, die mit Ordner 1 verknüpft ist, während Firewall-Regel B in Richtlinie Y enthalten ist, die mit Ordner 2 verknüpft ist. Sowohl Ordner 1 als auch Ordner 2 befinden sich unter demselben Organisationsknoten und Ordner 2 ist ein untergeordneter Ordner von Ordner 1. Diese beiden Regeln sind bis auf den Quell-IP-Adressbereich identisch. Diese Erkenntnis zeigt, dass Firewallregel B in Richtlinie Y nicht erforderlich ist, da sie bereits durch Firewallregel A in Richtlinie X abgedeckt wird. Somit wird die Firewall-Regel B in Richtlinie Y von der Firewall-Regel A in Richtlinie X verdeckt.
Beispiel 4: Firewall-Regel B in der globalen Netzwerk-Firewallrichtlinie Y wird von Firewall-Regel A verdeckt
In diesem Beispiel gibt es zwei Firewall-Regeln: A und B. Sowohl Firewallregel A als auch Firewallregel B befinden sich in Netzwerk 1, aber Firewallregel B ist in der globalen Netzwerk-Firewallrichtlinie Y enthalten.
Die Reihenfolge der Erzwingung von Firewallrichtlinien für Richtlinie Y ist AFTER_CLASSIC_FIREWALLS.
Diese beiden Regeln sind bis auf den Quell-IP-Adressbereich nahezu identisch.
Diese Erkenntnis zeigt, dass Regel B in Richtlinie Y nicht erforderlich ist, da sie bereits von Regel A abgedeckt wird. Somit wird die Firewall-Regel B in Richtlinie Y von der Firewall-Regel A verdeckt.
Deny-Regeln mit Treffern
Diese Statistik enthält Details zu deny-Regeln, die während des Beobachtungszeitraums zur Anwendung kamen.
Diese Informationen liefern Ihnen Paket-Drop-Signale für die Firewall. Sie können dann prüfen, ob die verlorenen Pakete aufgrund von Sicherheitsvorkehrungen erwartet werden oder ob sie das Ergebnis einer falschen Netzwerkkonfiguration sind.
Zu moderate Regeln
Firewall Insights bietet eine umfassende Analyse dazu, ob Ihre Firewallregeln zu moderat sind. Diese Analyse enthält die folgenden Statistiken:
- Zulassungsregeln ohne Treffer
- Regeln zulassen, die aufgrund einer adaptiven Analyse veraltet sind
- Allow-Regeln mit nicht verwendeten Attributen
- Allow-Regeln mit zu moderaten IP-Adress- oder Portbereichen
Die von diesen Statistiken bereitgestellten Daten stammen aus dem Logging von Firewallregeln. Daher sind diese Daten nur dann korrekt, wenn Sie das Logging von Firewallregeln für den gesamten Beobachtungszeitraum aktiviert haben. Andernfalls kann die Anzahl der Regeln in den einzelnen Statistikkategorien höher sein als angegeben.
Statistiken mit zu vielen Berechtigungen werden TCP- und UDP-Traffic ausgewertet. Andere Arten von Traffic werden nicht analysiert. Weitere Informationen finden Sie in der Beschreibung der einzelnen Statistiken.
Jeder Statistik-Untertyp hat einen Schweregrad. Bei zu freizügigen Regelstatistiken ist der Schweregrad beispielsweise high. Weitere Informationen finden Sie in der Recommender-Dokumentation unter Schweregrad.
Zulassungsregeln ohne Treffer
Bei dieser Statistik werden allow-Regeln ermittelt, die während des Beobachtungszeitraums keine Treffer hatten.
Für jede Regel sehen Sie Vorhersagen für maschinelles Lernen dazu, ob eine Regel oder ein Attribut wahrscheinlich in Zukunft erreicht wird. Diese Vorhersage wird durch eine Analyse des maschinellen Lernens erstellt, bei der das bisherige Trafficmuster dieser Regel und ähnlicher Regeln in derselben Organisation berücksichtigt wird.
Damit Sie die Vorhersage besser verstehen, werden in der Statistik ähnliche Regeln im selben Projekt wie die Regel identifiziert, die von der Statistik identifiziert wurde. In der Statistik wird die Trefferanzahl dieser Regeln aufgelistet und ihre Konfigurationsdetails zusammengefasst. Diese Details enthalten die Priorität und Attribute jeder Regel, z. B. IP-Adresse und Portbereiche.
Allow rules with no hits wertet Firewallregeln aus, die für TCP- und UDP-Traffic erzwungen werden. Wenn eine Firewallregel einen anderen Traffictyp zulässt, ist sie nicht in dieser Analyse enthalten.
Regeln zulassen, die aufgrund einer adaptiven Analyse veraltet sind
Bei dieser Statistik werden allow Regeln ermittelt, die aufgrund von Nutzungsmustern und adaptiver Analyse mit geringer Wahrscheinlichkeit aktiv sind. Die Statistik wird durch eine Analyse mithilfe von maschinellem Lernen erstellt, bei der die durchschnittliche Trefferanzahl in den letzten sechs Wochen und die adaptive Analyse der letzten Trefferzahlen berücksichtigt werden. Wenn die Regel seit Beginn der Erfassung der Trefferanzahl jedoch nie aktiv war, wird sie möglicherweise auch in die Statistik aufgenommen, bis sie wieder aktiv wird.
Angenommen, eine Firewallregel wurde in den letzten Wochen des Beobachtungszeitraums häufig ausgelöst, aber dann mehrere Tage lang nicht mehr. In diesem Fall wird diese Statistik für diese Regel möglicherweise angezeigt, was auf eine Änderung des Nutzungsmusters hinweist. Firewallregeln werden jedoch analysiert, um diejenigen zu identifizieren, die selten, aber aktiv sind. Diese aktiven Regeln werden in dieser Statistik nicht berücksichtigt.
Wenn die Machine-Learning-Analyse eine Regel als inaktiv identifiziert, können Sie sich die auf der adaptiven Analyse basierenden Statistiken schneller und vor Ablauf des Beobachtungszeitraums ansehen. So erhalten Sie beispielsweise nach der ersten Woche des Beobachtungszeitraums Statistiken auf der Grundlage der adaptiven Analyse, auch wenn der Beobachtungszeitraum 12 Monate beträgt.
Nach dem Ende des Beobachtungszeitraums können Sie Statistiken basierend auf den Daten ansehen, die über das Logging von Firewallregeln für den gesamten Beobachtungszeitraum erfasst wurden.
Allow-Regeln mit nicht verwendeten Attributen
Bei dieser Statistik werden allow-Regeln ermittelt, die Attribute wie IP-Adressen und Portbereiche haben, die während des Beobachtungszeitraums nicht verwendet wurden.
Außerdem wird in dieser Statistik für jede identifizierte Regel die Wahrscheinlichkeit angezeigt, mit der sie wahrscheinlich in der Zukunft zur Anwendung kommt. Diese Vorhersage basiert auf Vorhersagen des maschinellen Lernens, bei denen die bisherigen Trafficmuster dieser Regel und ähnlicher Regeln in derselben Organisation berücksichtigt werden.
Zum besseren Verständnis der Vorhersage fasst die Statistik andere Firewallregeln im selben Projekt mit ähnlichen Attributen zusammen. Diese Zusammenfassung enthält Daten darüber, ob die Attribute dieser Regeln erreicht wurden.
Allow rules with unused attributes wertet nur Attribute aus, die für TCP- und UDP-Traffic definiert sind. Wenn eine Regel neben TCP und UDP andere Traffictypen zulässt, kann die Regel in diese Analyse aufgenommen werden. Die Attribute, die für andere Traffictypen gelten, werden jedoch nicht analysiert.
Angenommen, eine Regel lässt sowohl TCP- als auch ICMP-Traffic zu. Wenn der zulässige IP-Adressbereich nicht verwendet wird, gilt er nicht als ungenutzt, da er möglicherweise für ICMP-Traffic verwendet wird. Wenn dieselbe Regel jedoch einen nicht verwendeten TCP-Portbereich hat, wird die Regel als zu weit gefasst gekennzeichnet.
Allow-Regeln mit zu moderaten IP-Adress- oder Portbereichen
Diese Statistik identifiziert allow Regeln, die möglicherweise zu viele IP-Adressbereiche oder Portbereiche haben.
Firewallregeln werden häufig mit einem größeren Umfang erstellt, als erforderlich ist. Ein zu breit angelegter Bereich kann zu Sicherheitsrisiken führen.
Anhand dieser Informationen lässt sich dieses Problem mindern. Dazu wird die tatsächliche Nutzung der IP-Adresse und der Portbereiche von Firewallregeln analysiert. Bei Regeln mit zu breiten Bereichen werden auch alternative IP-Adress- und Portbereiche empfohlen. Mit diesem Wissen können Sie die nicht benötigten Portbereiche basierend auf den Trafficmustern während des Beobachtungszeitraums entfernen.
Allow rules with overly permissive IP address or port ranges wertet nur Attribute aus, die für TCP- und UDP-Traffic definiert sind. Wenn eine Regel neben TCP und UDP andere Traffictypen zulässt, kann die Regel in diese Analyse aufgenommen werden.
Die Attribute, die sich auf andere Arten von Traffic beziehen, werden jedoch nicht analysiert.
Angenommen, eine Regel lässt sowohl TCP- als auch ICMP-Traffic zu. Wenn der zulässige IP-Adressbereich nur teilweise verwendet wird, kennzeichnet die Statistik den IP-Adressbereich nicht zu umfassend, da er möglicherweise für ICMP-Traffic verwendet wird. Wenn dieselbe Regel jedoch einen TCP-Portbereich hat, der nur teilweise verwendet wird, wird die Regel als zu weit gefasst gekennzeichnet.
Beachten Sie, dass Ihr Projekt Firewallregeln enthalten kann, die den Zugriff von bestimmten IP-Adressblöcken für Load-Balancer-Systemdiagnosen oder für andere Google Cloud-Funktionen zulassen. Diese IP-Adressen sind zwar nicht betroffen, sollten aber nicht aus Ihren Firewall-Regeln entfernt werden. Weitere Informationen zu diesen Bereichen finden Sie in der Compute Engine-Dokumentation.
Vorhersagen durch maschinelles Lernen
Wie in den vorangegangenen Abschnitten beschrieben, verwenden zwei Statistiken – allow-Regeln, die nicht zur Anwendung kamen, und allow-Regeln mit nicht verwendeten Attributen – ML-Vorhersagen.
Um Vorhersagen zu erstellen, trainiert Firewall Insights ein Modell für maschinelles Lernen mithilfe von Firewallregeln in derselben Organisation. Auf diese Weise lernt Firewall Insights gängige Muster. Beispielsweise lernt Firewall Insights über Kombinationen von Attributen, die in der Regel betroffen sind. Diese Attribute können IP-Adressbereiche, Portbereiche und IP-Protokolle enthalten.
Wenn die Firewallregel häufige Muster enthält, die zeigen, dass die Regel wahrscheinlich angewendet wird, hat Firewall Insights ein höheres Vertrauen, dass die Regel in Zukunft angewendet werden könnte. Dies gilt auch umgekehrt.
Für jede Statistik, die Vorhersagen verwendet, zeigt Firewall Insights Details zu Regeln an, die als ähnlich zu der von der Statistik identifizierten Regel angesehen werden. Im Bereich Statistikdetails sehen Sie beispielsweise Details zu den drei Regeln, die der Regel am nächsten sind, die der Vorhersage unterliegt. Je mehr Überschneidungen zwischen den Attributen der beiden Regeln bestehen, desto ähnlicher werden sie betrachtet.
Betrachten Sie für allow-Regeln, die nicht zur Anwendung kamen, das folgende Beispiel:
Angenommen, Regel A hat die folgenden Attribute:
Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80
Angenommen, Regel B hat die folgenden Attribute:
Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80
Diese beiden Regeln haben die gleichen Ziel-Tags, Protokoll- und Portattribute. Sie unterscheiden sich nur in den Quellattributen. Aus diesem Grund werden sie als ähnlich betrachtet.
Bei allow-Regeln mit nicht verwendeten Attributen wird die Ähnlichkeit auf die gleiche Weise ermittelt. Für diese Statistik betrachtet Firewall Insights Regeln als ähnlich, wenn ihre Konfiguration die gleichen Attribute enthält.