Kategori dan status Analisis Firewall

Halaman ini menjelaskan kategori dan status Analisis Firewall. Insight menganalisis konfigurasi dan penggunaan aturan firewall Anda menggunakan jenis insight google.compute.firewall.Insight.

Kategori insight

Dalam Firewall Insights, insight terbagi ke dalam dua kategori umum yang dijelaskan dalam tabel berikut.

Kategori Deskripsi Insight
Berbasis konfigurasi Insight dibuat berdasarkan data tentang cara Anda mengonfigurasi aturan firewall. Aturan yang dibayangi
Berbasis log Insight dibuat berdasarkan logging tentang penggunaan aturan firewall dan informasi tentang cara Anda mengonfigurasi aturan firewall.

Aturan yang terlalu permisif

  • Aturan Allow tanpa hit
  • Aturan Allow yang tidak berlaku lagi berdasarkan analisis adaptif
  • Aturan Allow dengan atribut yang tidak digunakan
  • Aturan Allow dengan alamat IP atau rentang port yang terlalu permisif

Aturan Deny dengan hit

Setiap subjenis insight memiliki tingkat keparahan. Misalnya, untuk insight aturan yang dibayangi, tingkat keparahannya adalah medium. Untuk informasi selengkapnya, lihat Keparahan dalam dokumentasi Rekomendasi.

Status insight

Setiap insight dapat memiliki salah satu status berikut, yang dapat Anda ubah seperti yang dijelaskan dalam tabel berikut.

Status Deskripsi
ACTIVE Insight aktif. Google terus memperbarui konten untuk insight ACTIVE berdasarkan informasi terbaru.
DISMISSED

Insight ditutup dan tidak lagi ditampilkan kepada pengguna mana pun di daftar insight aktif. Anda dapat memulihkan status DISMISSED ke ACTIVE di halaman Histori yang Ditolak.

Untuk informasi selengkapnya, lihat Menandai insight sebagai ditutup.

Aturan yang dibayangi

Aturan bayangan memiliki atribut yang sama, seperti alamat IP, dengan aturan lain yang memiliki prioritas lebih tinggi atau sama, yang disebut aturan bayangan. Analisis Firewall akan menganalisis aturan firewall VPC dan kebijakan firewall Anda untuk mendeteksi aturan yang dibayangi ini.

  • Untuk kebijakan firewall yang ditetapkan ke jaringan VPC, Anda dapat melihat insight tentang aturan kebijakan yang dibayangi oleh aturan VPC dalam kebijakan yang sama atau kebijakan lainnya.
  • Kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan aturan firewall VPC dievaluasi berdasarkan urutan evaluasi kebijakan dan aturan. Misalnya, dalam kasus kebijakan firewall jaringan global, Anda mungkin mendapatkan insight tentang aturan kebijakan firewall jaringan global mana yang dibayangi oleh aturan firewall VPC berdasarkan urutan evaluasi aturan.
  • Jika memiliki aturan firewall dengan tag aman dalam kebijakan firewall jaringan global, Anda dapat melihat insight tentang aturan tersebut yang saling membayangi dalam kebijakan firewall global yang sama. Untuk mengetahui informasi selengkapnya, lihat Tag untuk firewall.

Insight Firewall tidak mengidentifikasi semua kemungkinan aturan bayangan. Secara khusus, laporan ini tidak mengidentifikasi bahwa beberapa tag dari aturan firewall lain telah menyamarkan tag aturan firewall.

Contoh aturan yang dibayangi

Dalam contoh ini, beberapa aturan bayangan dan aturan bayangan memiliki filter rentang IP sumber yang tumpang-tindih, sementara yang lainnya memiliki prioritas aturan yang berbeda.

Tabel berikut menunjukkan aturan firewall A hingga E. Untuk skenario aturan yang dibayangi yang berbeda, lihat bagian yang mengikuti tabel.

Kebijakan
firewall
Jenis Target Filter Protokol
atau port
Tindakan Prioritas
Aturan firewall A X Masuk Terapkan ke semua 10.10.0.0/16 tcp:80 Izinkan 1000
Aturan firewall B Y Masuk Terapkan ke semua 10.10.0.0/24 tcp:80 Izinkan 1000
Aturan firewall C - Masuk web 10.10.2.0/24 tcp:80
tcp:443
Izinkan 1000
Aturan firewall D - Masuk web 10.10.2.0/24 tcp:80 Tolak 900
Aturan firewall E - Masuk web 10.10.2.0/24 tcp:443 Tolak 900

Contoh 1: Aturan firewall B di-shadow oleh aturan firewall A

Dalam contoh ini, ada dua aturan firewall: A dan B. Aturan ini hampir identik, kecuali untuk filter rentang alamat IP sumbernya. Misalnya, rentang alamat IP A adalah 10.10.0.0/16, sedangkan rentang alamat IP B adalah 10.10.0.0/24. Dengan demikian, aturan firewall B di-shadow oleh aturan firewall A.

Insight shadowed firewall rules biasanya menunjukkan kesalahan konfigurasi firewall—misalnya, setelan filter alamat IP A terlalu luas, atau setelan filter B terlalu ketat dan tidak perlu.

Contoh 2: Aturan firewall C dibayangi oleh aturan firewall D dan E

Dalam contoh ini, ada tiga aturan firewall: C, D, dan E. Aturan firewall C mengizinkan traffic web port HTTP 80 dan port HTTPS 443 masuk dan memiliki prioritas 1000 (prioritas default). Sebaliknya, aturan firewall D dan E masing-masing menolak traffic web HTTP dan HTTPS yang masuk, dan keduanya memiliki prioritas 900 (prioritas tinggi). Dengan demikian, aturan firewall C dibayangi oleh aturan firewall D dan E yang digabungkan.

Contoh 3: Aturan firewall B dalam kebijakan firewall Y di-shadow oleh aturan firewall A dalam kebijakan X

Dalam contoh ini, ada dua aturan firewall: A dan B. Aturan firewall A ada dalam kebijakan X yang dikaitkan dengan Folder1, sedangkan aturan firewall B ada dalam kebijakan Y yang dikaitkan dengan Folder2. Folder1 dan Folder2 berada di bawah node organisasi yang sama, dan Folder2 adalah turunan dari Folder1. Kedua aturan ini identik, kecuali untuk rentang alamat IP sumbernya. Insight ini menunjukkan bahwa aturan firewall B dalam kebijakan Y tidak diperlukan karena sudah tercakup dalam aturan firewall A dalam kebijakan X. Dengan demikian, aturan firewall B dalam kebijakan Y di-shadow oleh aturan firewall A dalam kebijakan X.

Contoh 4: Aturan firewall B dalam kebijakan firewall jaringan global Y di-shadow oleh aturan firewall A

Dalam contoh ini, ada dua aturan firewall: A dan B. Aturan firewall A dan B berada di Network1, tetapi aturan firewall B berada di kebijakan firewall jaringan global Y. Urutan penerapan kebijakan firewall kebijakan Y adalah AFTER_CLASSIC_FIREWALLS. Kedua aturan ini hampir identik, kecuali untuk rentang alamat IP sumbernya. Insight ini menunjukkan bahwa aturan B dalam kebijakan Y tidak diperlukan, karena sudah tercakup dalam aturan A. Dengan demikian, aturan firewall B dalam kebijakan Y di-shadow oleh aturan firewall A.

Aturan tolak dengan hit

Insight ini memberikan detail tentang aturan deny yang memiliki hit selama periode pengamatan.

Insight ini memberi Anda sinyal penghapusan paket firewall. Kemudian, Anda dapat memeriksa apakah paket yang dilepas diterima karena perlindungan keamanan atau apakah paket tersebut berasal dari kesalahan konfigurasi jaringan.

Aturan yang terlalu permisif

Analisis Firewall memberikan analisis komprehensif tentang apakah aturan firewall Anda terlalu permisif. Analisis ini mencakup insight berikut:

Data yang diberikan oleh insight ini berasal dari Logging Aturan Firewall. Oleh karena itu, data ini hanya akurat jika Anda mengaktifkan Logging Aturan Firewall untuk seluruh periode pengamatan. Jika tidak, jumlah aturan di setiap kategori insight dapat lebih tinggi daripada yang ditunjukkan.

Insight aturan yang terlalu permisif mengevaluasi traffic TCP dan UDP. Jenis traffic lainnya tidak dianalisis. Untuk mengetahui detailnya, lihat deskripsi setiap insight.

Setiap subjenis insight memiliki tingkat keparahan. Misalnya, tingkat keparahannya adalah high untuk insight aturan yang terlalu permisif. Untuk informasi selengkapnya, lihat Keparahan dalam dokumentasi Rekomendasi.

Izinkan aturan tanpa hit

Insight ini mengidentifikasi aturan allow yang tidak memiliki hit selama periode pengamatan.

Untuk setiap aturan, Anda dapat melihat prediksi machine learning tentang apakah aturan atau atribut cenderung akan tercapai di masa mendatang. Prediksi ini dihasilkan oleh analisis machine learning yang mempertimbangkan pola traffic historis dari aturan ini dan aturan serupa di organisasi yang sama.

Untuk membantu Anda memahami prediksi, insight ini mengidentifikasi aturan serupa di project yang sama dengan aturan yang diidentifikasi insight. Insight ini mencantumkan jumlah hit aturan ini dan meringkas detail konfigurasinya. Detail ini mencakup prioritas dan atribut setiap aturan, seperti alamat IP dan rentang portnya.

Allow rules with no hits mengevaluasi aturan firewall yang diterapkan untuk traffic TCP dan UDP. Jika aturan firewall mengizinkan jenis traffic lain, aturan tersebut tidak akan disertakan dalam analisis ini.

Mengizinkan aturan yang sudah tidak berlaku berdasarkan analisis adaptif

Insight ini mengidentifikasi aturan allow yang cenderung tidak aktif berdasarkan pola penggunaan dan analisis adaptif. Insight ini dihasilkan oleh analisis machine learning yang mempertimbangkan jumlah hit rata-rata dalam enam minggu terakhir dan analisis adaptif jumlah hit terbaru. Namun, jika aturan tidak pernah aktif sejak pelacakan jumlah hit dimulai, aturan tersebut juga dapat disertakan dalam insight hingga aktif kembali.

Misalnya, aturan firewall sering diaktifkan selama beberapa minggu terakhir dari periode pengamatan dan berhenti diaktifkan selama beberapa hari. Dalam hal ini, Anda mungkin melihat insight ini untuk aturan tersebut, yang menunjukkan perubahan pada pola penggunaan. Namun, aturan firewall dianalisis untuk mengidentifikasi hit yang jarang terjadi tetapi aktif; aturan aktif ini tidak muncul dalam insight ini.

Untuk setiap aturan, jika analisis machine learning mengidentifikasi aturan sebagai tidak aktif, Anda dapat melihat insight berdasarkan analisis adaptif dengan lebih cepat dan sebelum akhir periode pengamatan. Misalnya, Anda mungkin mulai mendapatkan insight berdasarkan analisis adaptif setelah minggu pertama periode pengamatan, meskipun periode pengamatan Anda adalah 12 bulan.

Setelah periode pengamatan berakhir, Anda dapat melihat insight berdasarkan data yang dikumpulkan melalui Logging Aturan Firewall untuk seluruh periode pengamatan.

Izinkan aturan dengan atribut yang tidak digunakan

Insight ini mengidentifikasi aturan allow yang memiliki atribut seperti alamat IP dan rentang port yang tidak tercapai selama periode observasi.

Untuk setiap aturan yang diidentifikasi, insight ini juga melaporkan probabilitas apakah aturan tersebut kemungkinan akan terpicu di masa mendatang. Prediksi ini didasarkan pada prediksi machine learning yang mempertimbangkan pola traffic historis dari aturan ini dan aturan serupa di organisasi yang sama.

Untuk membantu Anda memahami prediksi, insight ini merangkum aturan firewall lain dalam project yang sama yang memiliki atribut serupa. Ringkasan ini mencakup data tentang apakah atribut aturan tersebut tercapai.

Allow rules with unused attributes hanya mengevaluasi atribut yang ditentukan untuk traffic TCP dan UDP. Jika aturan mengizinkan jenis traffic lain selain TCP dan UDP, aturan tersebut dapat disertakan dalam analisis ini. Namun, atribut yang terkait dengan jenis traffic lainnya tidak dianalisis.

Misalnya, aturan mengizinkan traffic TCP dan ICMP. Jika rentang alamat IP yang diizinkan tampaknya tidak digunakan, rentang tersebut tidak dianggap tidak digunakan karena Anda mungkin menggunakannya untuk traffic ICMP. Namun, jika aturan yang sama memiliki rentang port TCP yang tidak digunakan, aturan tersebut akan ditandai sebagai terlalu permisif.

Izinkan aturan dengan alamat IP atau rentang port yang terlalu permisif

Insight ini mengidentifikasi aturan allow yang mungkin memiliki alamat IP atau rentang port yang terlalu luas.

Aturan firewall sering kali dibuat dengan cakupan yang lebih luas dari yang diperlukan. Cakupan yang terlalu luas dapat menyebabkan risiko keamanan.

Insight ini membantu mengurangi masalah ini dengan menganalisis penggunaan sebenarnya dari alamat IP dan rentang port aturan firewall Anda. Alat ini juga menyarankan kombinasi alamat IP dan rentang port alternatif untuk aturan dengan rentang yang terlalu luas. Dengan pengetahuan ini, Anda dapat menghapus rentang port yang tidak diperlukan berdasarkan pola traffic selama periode pengamatan.

Allow rules with overly permissive IP address or port ranges hanya mengevaluasi atribut yang ditentukan untuk traffic TCP dan UDP. Jika aturan mengizinkan jenis traffic lain selain TCP dan UDP, aturan tersebut dapat disertakan dalam analisis ini. Namun, atribut yang berkaitan dengan jenis traffic lainnya tidak dianalisis.

Misalnya, aturan mengizinkan traffic TCP dan ICMP. Jika rentang alamat IP yang diizinkan tampaknya hanya digunakan sebagian, insight tidak menandai rentang alamat IP sebagai terlalu luas karena mungkin digunakan untuk traffic ICMP. Namun, jika aturan yang sama memiliki rentang port TCP yang hanya digunakan sebagian, aturan tersebut akan ditandai sebagai terlalu permisif.

Perhatikan bahwa project Anda mungkin memiliki aturan firewall yang mengizinkan akses dari blok alamat IP tertentu untuk health check load balancer atau untuk fungsi Google Cloud lainnya. Alamat IP ini mungkin tidak diakses, tetapi tidak boleh dihapus dari aturan firewall Anda. Untuk informasi selengkapnya tentang rentang ini, lihat dokumentasi Compute Engine.

Prediksi machine learning

Seperti yang dijelaskan di bagian sebelumnya, dua insight—aturan allow tanpa hit dan aturan allow dengan atribut yang tidak digunakan—menggunakan prediksi machine learning.

Untuk membuat prediksi, Analisis Firewall melatih model machine learning menggunakan aturan firewall di organisasi yang sama. Dengan cara ini, Analisis Firewall mempelajari pola umum. Misalnya, Firewall Insights mempelajari kombinasi atribut yang cenderung terkena. Atribut ini dapat mencakup rentang alamat IP, rentang port, dan protokol IP.

Jika aturan firewall berisi pola umum yang menunjukkan bahwa aturan tersebut kemungkinan akan diaktifkan, Firewall Insights memiliki keyakinan yang lebih tinggi bahwa aturan tersebut mungkin akan diaktifkan di masa mendatang. Hal sebaliknya juga berlaku.

Untuk setiap insight yang menggunakan prediksi, Analisis Firewall menampilkan detail tentang aturan yang dianggap mirip dengan aturan yang diidentifikasi oleh insight. Misalnya, di panel Detail insight, Anda dapat melihat detail tentang tiga aturan yang paling mirip dengan aturan yang menjadi subjek prediksi. Makin banyak tumpang-tindih antara atribut dari dua aturan, makin mirip pula aturan tersebut.

Untuk aturan allow tanpa hit, pertimbangkan contoh berikut:

Misalkan aturan A memiliki atribut berikut:

Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80

Dan anggaplah aturan B memiliki atribut berikut:

Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80

Kedua aturan ini memiliki atribut tag, protokol, dan port target yang sama. Keduanya hanya berbeda dalam atribut sumber. Oleh karena itu, keduanya dianggap serupa.

Untuk aturan allow dengan atribut yang tidak digunakan, kemiripannya ditentukan dengan cara yang sama. Untuk insight ini, Firewall Insights menganggap aturan serupa jika konfigurasinya menyertakan atribut yang sama.

Langkah selanjutnya