Halaman ini menjelaskan kategori dan status Analisis Firewall.
Insight menganalisis konfigurasi dan penggunaan aturan firewall Anda menggunakan
jenis insight google.compute.firewall.Insight
.
Kategori insight
Dalam Firewall Insights, insight terbagi ke dalam dua kategori umum yang dijelaskan dalam tabel berikut.
Kategori | Deskripsi | Insight |
---|---|---|
Berbasis konfigurasi | Insight dibuat berdasarkan data tentang cara Anda mengonfigurasi aturan firewall. | Aturan yang dibayangi |
Berbasis log | Insight dibuat berdasarkan logging tentang penggunaan aturan firewall dan informasi tentang cara Anda mengonfigurasi aturan firewall. |
Aturan yang terlalu permisif
Aturan |
Setiap subjenis insight memiliki tingkat keparahan. Misalnya, untuk insight aturan
yang dibayangi, tingkat keparahannya adalah medium
. Untuk informasi selengkapnya, lihat
Keparahan dalam
dokumentasi Rekomendasi.
Status insight
Setiap insight dapat memiliki salah satu status berikut, yang dapat Anda ubah seperti yang dijelaskan dalam tabel berikut.
Status | Deskripsi |
---|---|
ACTIVE |
Insight aktif. Google terus memperbarui konten untuk insight ACTIVE berdasarkan informasi terbaru. |
DISMISSED |
Insight ditutup dan tidak lagi ditampilkan kepada pengguna mana pun di
daftar insight aktif. Anda dapat memulihkan status Untuk informasi selengkapnya, lihat Menandai insight sebagai ditutup. |
Aturan yang dibayangi
Aturan bayangan memiliki atribut yang sama, seperti alamat IP, dengan aturan lain yang memiliki prioritas lebih tinggi atau sama, yang disebut aturan bayangan. Analisis Firewall akan menganalisis aturan firewall VPC dan kebijakan firewall Anda untuk mendeteksi aturan yang dibayangi ini.
- Untuk kebijakan firewall yang ditetapkan ke jaringan VPC, Anda dapat melihat insight tentang aturan kebijakan yang dibayangi oleh aturan VPC dalam kebijakan yang sama atau kebijakan lainnya.
- Kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan aturan firewall VPC dievaluasi berdasarkan urutan evaluasi kebijakan dan aturan. Misalnya, dalam kasus kebijakan firewall jaringan global, Anda mungkin mendapatkan insight tentang aturan kebijakan firewall jaringan global mana yang dibayangi oleh aturan firewall VPC berdasarkan urutan evaluasi aturan.
- Jika memiliki aturan firewall dengan tag aman dalam kebijakan firewall jaringan global, Anda dapat melihat insight tentang aturan tersebut yang saling membayangi dalam kebijakan firewall global yang sama. Untuk mengetahui informasi selengkapnya, lihat Tag untuk firewall.
Insight Firewall tidak mengidentifikasi semua kemungkinan aturan bayangan. Secara khusus, laporan ini tidak mengidentifikasi bahwa beberapa tag dari aturan firewall lain telah menyamarkan tag aturan firewall.
Contoh aturan yang dibayangi
Dalam contoh ini, beberapa aturan bayangan dan aturan bayangan memiliki filter rentang IP sumber yang tumpang-tindih, sementara yang lainnya memiliki prioritas aturan yang berbeda.
Tabel berikut menunjukkan aturan firewall A
hingga E
. Untuk skenario aturan yang dibayangi
yang berbeda, lihat bagian yang mengikuti tabel.
Kebijakan firewall |
Jenis | Target | Filter | Protokol atau port |
Tindakan | Prioritas | |
---|---|---|---|---|---|---|---|
Aturan firewall A | X | Masuk | Terapkan ke semua | 10.10.0.0/16 | tcp:80 | Izinkan | 1000 |
Aturan firewall B | Y | Masuk | Terapkan ke semua | 10.10.0.0/24 | tcp:80 | Izinkan | 1000 |
Aturan firewall C | - | Masuk | web | 10.10.2.0/24 | tcp:80 tcp:443 | Izinkan | 1000 |
Aturan firewall D | - | Masuk | web | 10.10.2.0/24 | tcp:80 | Tolak | 900 |
Aturan firewall E | - | Masuk | web | 10.10.2.0/24 | tcp:443 | Tolak | 900 |
Contoh 1: Aturan firewall B di-shadow oleh aturan firewall A
Dalam contoh ini, ada dua aturan firewall: A dan B. Aturan ini hampir
identik, kecuali untuk filter rentang alamat IP sumbernya. Misalnya, rentang alamat IP A adalah 10.10.0.0/16
, sedangkan rentang alamat IP B adalah
10.10.0.0/24
. Dengan demikian, aturan firewall B di-shadow oleh aturan firewall A.
Insight shadowed firewall rules
biasanya menunjukkan kesalahan konfigurasi
firewall—misalnya, setelan filter alamat IP A terlalu luas,
atau setelan filter B terlalu ketat dan tidak perlu.
Contoh 2: Aturan firewall C dibayangi oleh aturan firewall D dan E
Dalam contoh ini, ada tiga aturan firewall: C, D, dan E. Aturan firewall C
mengizinkan traffic web port HTTP 80
dan port HTTPS 443
masuk dan memiliki
prioritas 1000
(prioritas default). Sebaliknya, aturan firewall D dan E masing-masing menolak
traffic web HTTP dan HTTPS yang masuk, dan keduanya memiliki
prioritas 900
(prioritas tinggi). Dengan demikian, aturan firewall C dibayangi oleh aturan
firewall D dan E yang digabungkan.
Contoh 3: Aturan firewall B dalam kebijakan firewall Y di-shadow oleh aturan firewall A dalam kebijakan X
Dalam contoh ini, ada dua aturan firewall: A dan B. Aturan firewall A ada dalam kebijakan X yang dikaitkan dengan Folder1, sedangkan aturan firewall B ada dalam kebijakan Y yang dikaitkan dengan Folder2. Folder1 dan Folder2 berada di bawah node organisasi yang sama, dan Folder2 adalah turunan dari Folder1. Kedua aturan ini identik, kecuali untuk rentang alamat IP sumbernya. Insight ini menunjukkan bahwa aturan firewall B dalam kebijakan Y tidak diperlukan karena sudah tercakup dalam aturan firewall A dalam kebijakan X. Dengan demikian, aturan firewall B dalam kebijakan Y di-shadow oleh aturan firewall A dalam kebijakan X.
Contoh 4: Aturan firewall B dalam kebijakan firewall jaringan global Y di-shadow oleh aturan firewall A
Dalam contoh ini, ada dua aturan firewall: A dan B. Aturan firewall A dan B berada di Network1, tetapi aturan firewall B berada di kebijakan firewall jaringan global Y.
Urutan penerapan kebijakan firewall kebijakan Y adalah AFTER_CLASSIC_FIREWALLS
.
Kedua aturan ini hampir identik, kecuali untuk rentang alamat IP sumbernya.
Insight ini menunjukkan bahwa aturan B dalam kebijakan Y tidak diperlukan, karena sudah
tercakup dalam aturan A. Dengan demikian, aturan firewall B dalam kebijakan Y di-shadow oleh
aturan firewall A.
Aturan tolak dengan hit
Insight ini memberikan detail tentang aturan deny
yang memiliki hit selama
periode pengamatan.
Insight ini memberi Anda sinyal penghapusan paket firewall. Kemudian, Anda dapat memeriksa apakah paket yang dilepas diterima karena perlindungan keamanan atau apakah paket tersebut berasal dari kesalahan konfigurasi jaringan.
Aturan yang terlalu permisif
Analisis Firewall memberikan analisis komprehensif tentang apakah aturan firewall Anda terlalu permisif. Analisis ini mencakup insight berikut:
- Aturan izinkan tanpa hit
- Mengizinkan aturan yang sudah tidak berlaku berdasarkan analisis adaptif
- Aturan izinkan dengan atribut yang tidak digunakan
- Mengizinkan aturan dengan alamat IP atau rentang port yang terlalu permisif
Data yang diberikan oleh insight ini berasal dari Logging Aturan Firewall. Oleh karena itu, data ini hanya akurat jika Anda mengaktifkan Logging Aturan Firewall untuk seluruh periode pengamatan. Jika tidak, jumlah aturan di setiap kategori insight dapat lebih tinggi daripada yang ditunjukkan.
Insight aturan yang terlalu permisif mengevaluasi traffic TCP dan UDP. Jenis traffic lainnya tidak dianalisis. Untuk mengetahui detailnya, lihat deskripsi setiap insight.
Setiap subjenis insight memiliki tingkat keparahan. Misalnya, tingkat keparahannya adalah
high
untuk insight aturan yang terlalu permisif. Untuk informasi selengkapnya, lihat
Keparahan dalam
dokumentasi Rekomendasi.
Izinkan aturan tanpa hit
Insight ini mengidentifikasi aturan allow
yang tidak memiliki hit selama periode pengamatan.
Untuk setiap aturan, Anda dapat melihat prediksi machine learning tentang apakah aturan atau atribut cenderung akan tercapai di masa mendatang. Prediksi ini dihasilkan oleh analisis machine learning yang mempertimbangkan pola traffic historis dari aturan ini dan aturan serupa di organisasi yang sama.
Untuk membantu Anda memahami prediksi, insight ini mengidentifikasi aturan serupa di project yang sama dengan aturan yang diidentifikasi insight. Insight ini mencantumkan jumlah hit aturan ini dan meringkas detail konfigurasinya. Detail ini mencakup prioritas dan atribut setiap aturan, seperti alamat IP dan rentang portnya.
Allow rules with no hits
mengevaluasi aturan firewall yang diterapkan untuk traffic TCP
dan UDP. Jika aturan firewall mengizinkan jenis traffic lain, aturan tersebut tidak akan disertakan dalam analisis ini.
Mengizinkan aturan yang sudah tidak berlaku berdasarkan analisis adaptif
Insight ini mengidentifikasi aturan allow
yang cenderung tidak aktif berdasarkan
pola penggunaan dan analisis adaptif. Insight ini dihasilkan oleh analisis machine learning yang mempertimbangkan jumlah hit rata-rata dalam enam minggu terakhir dan analisis adaptif jumlah hit terbaru. Namun, jika aturan tidak pernah aktif sejak pelacakan jumlah hit dimulai, aturan tersebut juga dapat disertakan dalam insight hingga aktif kembali.
Misalnya, aturan firewall sering diaktifkan selama beberapa minggu terakhir dari periode pengamatan dan berhenti diaktifkan selama beberapa hari. Dalam hal ini, Anda mungkin melihat insight ini untuk aturan tersebut, yang menunjukkan perubahan pada pola penggunaan. Namun, aturan firewall dianalisis untuk mengidentifikasi hit yang jarang terjadi tetapi aktif; aturan aktif ini tidak muncul dalam insight ini.
Untuk setiap aturan, jika analisis machine learning mengidentifikasi aturan sebagai tidak aktif, Anda dapat melihat insight berdasarkan analisis adaptif dengan lebih cepat dan sebelum akhir periode pengamatan. Misalnya, Anda mungkin mulai mendapatkan insight berdasarkan analisis adaptif setelah minggu pertama periode pengamatan, meskipun periode pengamatan Anda adalah 12 bulan.
Setelah periode pengamatan berakhir, Anda dapat melihat insight berdasarkan data yang dikumpulkan melalui Logging Aturan Firewall untuk seluruh periode pengamatan.
Izinkan aturan dengan atribut yang tidak digunakan
Insight ini mengidentifikasi aturan allow
yang memiliki atribut seperti alamat IP
dan rentang port yang tidak tercapai selama periode observasi.
Untuk setiap aturan yang diidentifikasi, insight ini juga melaporkan probabilitas apakah aturan tersebut kemungkinan akan terpicu di masa mendatang. Prediksi ini didasarkan pada prediksi machine learning yang mempertimbangkan pola traffic historis dari aturan ini dan aturan serupa di organisasi yang sama.
Untuk membantu Anda memahami prediksi, insight ini merangkum aturan firewall lain dalam project yang sama yang memiliki atribut serupa. Ringkasan ini mencakup data tentang apakah atribut aturan tersebut tercapai.
Allow rules with unused attributes
hanya mengevaluasi atribut yang ditentukan
untuk traffic TCP dan UDP. Jika aturan mengizinkan jenis traffic lain selain TCP dan
UDP, aturan tersebut dapat disertakan dalam analisis ini. Namun, atribut yang
terkait dengan jenis traffic lainnya tidak dianalisis.
Misalnya, aturan mengizinkan traffic TCP dan ICMP. Jika rentang alamat IP yang diizinkan tampaknya tidak digunakan, rentang tersebut tidak dianggap tidak digunakan karena Anda mungkin menggunakannya untuk traffic ICMP. Namun, jika aturan yang sama memiliki rentang port TCP yang tidak digunakan, aturan tersebut akan ditandai sebagai terlalu permisif.
Izinkan aturan dengan alamat IP atau rentang port yang terlalu permisif
Insight ini mengidentifikasi aturan allow
yang mungkin memiliki alamat IP atau rentang port yang terlalu luas.
Aturan firewall sering kali dibuat dengan cakupan yang lebih luas dari yang diperlukan. Cakupan yang terlalu luas dapat menyebabkan risiko keamanan.
Insight ini membantu mengurangi masalah ini dengan menganalisis penggunaan sebenarnya dari alamat IP dan rentang port aturan firewall Anda. Alat ini juga menyarankan kombinasi alamat IP dan rentang port alternatif untuk aturan dengan rentang yang terlalu luas. Dengan pengetahuan ini, Anda dapat menghapus rentang port yang tidak diperlukan berdasarkan pola traffic selama periode pengamatan.
Allow rules with overly permissive IP address or port ranges
hanya mengevaluasi
atribut yang ditentukan untuk traffic TCP dan UDP. Jika aturan mengizinkan jenis traffic
lain selain TCP dan UDP, aturan tersebut dapat disertakan dalam analisis ini.
Namun, atribut yang berkaitan dengan jenis traffic lainnya tidak dianalisis.
Misalnya, aturan mengizinkan traffic TCP dan ICMP. Jika rentang alamat IP yang diizinkan tampaknya hanya digunakan sebagian, insight tidak menandai rentang alamat IP sebagai terlalu luas karena mungkin digunakan untuk traffic ICMP. Namun, jika aturan yang sama memiliki rentang port TCP yang hanya digunakan sebagian, aturan tersebut akan ditandai sebagai terlalu permisif.
Perhatikan bahwa project Anda mungkin memiliki aturan firewall yang mengizinkan akses dari blok alamat IP tertentu untuk health check load balancer atau untuk fungsi Google Cloud lainnya. Alamat IP ini mungkin tidak diakses, tetapi tidak boleh dihapus dari aturan firewall Anda. Untuk informasi selengkapnya tentang rentang ini, lihat dokumentasi Compute Engine.
Prediksi machine learning
Seperti yang dijelaskan di bagian sebelumnya, dua insight—aturan allow
tanpa
hit dan aturan allow
dengan atribut yang tidak digunakan—menggunakan prediksi
machine learning.
Untuk membuat prediksi, Analisis Firewall melatih model machine learning menggunakan aturan firewall di organisasi yang sama. Dengan cara ini, Analisis Firewall mempelajari pola umum. Misalnya, Firewall Insights mempelajari kombinasi atribut yang cenderung terkena. Atribut ini dapat mencakup rentang alamat IP, rentang port, dan protokol IP.
Jika aturan firewall berisi pola umum yang menunjukkan bahwa aturan tersebut kemungkinan akan diaktifkan, Firewall Insights memiliki keyakinan yang lebih tinggi bahwa aturan tersebut mungkin akan diaktifkan di masa mendatang. Hal sebaliknya juga berlaku.
Untuk setiap insight yang menggunakan prediksi, Analisis Firewall menampilkan detail tentang aturan yang dianggap mirip dengan aturan yang diidentifikasi oleh insight. Misalnya, di panel Detail insight, Anda dapat melihat detail tentang tiga aturan yang paling mirip dengan aturan yang menjadi subjek prediksi. Makin banyak tumpang-tindih antara atribut dari dua aturan, makin mirip pula aturan tersebut.
Untuk aturan allow
tanpa hit, pertimbangkan contoh berikut:
Misalkan aturan A memiliki atribut berikut:
Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80
Dan anggaplah aturan B memiliki atribut berikut:
Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80
Kedua aturan ini memiliki atribut tag, protokol, dan port target yang sama. Keduanya hanya berbeda dalam atribut sumber. Oleh karena itu, keduanya dianggap serupa.
Untuk aturan allow
dengan atribut yang tidak digunakan, kemiripannya ditentukan dengan cara yang sama. Untuk insight ini, Firewall Insights menganggap aturan serupa jika konfigurasinya menyertakan atribut yang sama.