Categorie e stati di Firewall Insights

Questa pagina descrive le categorie e gli stati di Firewall Insights. Gli insight analizzano la configurazione e l'utilizzo delle regole del firewall utilizzando il google.compute.firewall.Insight tipo di insight.

Categorie di insight

In Firewall Insights, le informazioni rientrano nelle due categorie generali descritte nella tabella seguente.

Categoria Descrizione Approfondimenti
In base alla configurazione Gli insight vengono generati in base ai dati sulla configurazione delle regole firewall. Regole con shadowing
In base ai log Gli insight vengono generati in base al logging sull'utilizzo delle regole firewall e alle informazioni sulla loro configurazione.

Regole eccessivamente permissive

  • Regole Allow senza corrispondenze
  • Regole Allow obsolete in base all'analisi adattiva
  • Regole Allow con attributi inutilizzati
  • Regole Allow con intervalli di porte o indirizzi IP eccessivamente permissivi

Regole Deny con corrispondenze

Ogni sottotipo di informazione ha un livello di gravità. Ad esempio, per le informazioni regola oscurata, il livello di gravità è medium. Per ulteriori informazioni, consulta Serietà nella documentazione di Recommender.

Stati degli approfondimenti

Ogni informazione può avere uno dei seguenti stati, che puoi modificare come descritto nella tabella seguente.

Stato Descrizione
ACTIVE L'insight sia attivo. Google continua ad aggiornare i contenuti per gli approfondimenti di ACTIVE in base alle informazioni più recenti.
DISMISSED

L'insight viene ignorato e non viene più mostrato a nessun utente in nessun elenco di insight attivi. Puoi ripristinare lo stato DISMISSED su ACTIVE nella pagina Cronologia ignorata.

Per ulteriori informazioni, consulta la sezione Contrassegnare un'intuizione come ignorata.

Regole con shadowing

Le regole con shadowing condividono attributi, come gli indirizzi IP, con altre regole con priorità uguale o superiore, chiamate regole con shadowing. Firewall Insights analizza le regole firewall VPC e i criteri firewall per rilevare queste regole con shadowing.

  • Per i criteri firewall assegnati a una rete VPC, puoi visualizzare informazioni su una regola del criterio ombreggiata da una regola VPC nella stessa o in un'altra policy.
  • I criteri firewall gerarchici, i criteri firewall di rete globale e le regole firewall VPC vengono valutati in base all'ordine di valutazione dei criteri e delle regole. Ad esempio, nel caso dei criteri firewall di rete globali, potresti ottenere informazioni su quale regola del criterio firewall di rete globale è shadowed da una regola firewall VPC in base all'ordine di valutazione delle regole.
  • Se hai regole firewall con tag sicuri in un criterio firewall di rete globale, puoi visualizzare informazioni sulle regole che si eseguono in modo dinamico l'una nell'altra nella stessa policy firewall globale. Per ulteriori informazioni, consulta Tag per i firewall.

Firewall Insights non identifica tutte le possibili regole di shadowing. In particolare, non identifica che più tag di altre regole firewall hanno nascosto i tag di una regola firewall.

Esempi di regole oscurate

In questo esempio, alcune regole con ombreggiatura e che generano ombreggiatura hanno filtri di intervallo IP di origine sovrapposti, mentre altre hanno priorità diverse.

La tabella seguente mostra le regole firewall da A a E. Per diversi scenari di regole con ombreggiatura, consulta le sezioni che seguono la tabella.

Criterio
firewall
Tipo Destinazioni Filtri Protocolli
o porte
Azione Priorità
Regola firewall A X In entrata Applica a tutte 10.10.0.0/16 tcp:80 Consenti 1000
Regola firewall B S In entrata Applica a tutte 10.10.0.0/24 tcp:80 Consenti 1000
Regola firewall C - In entrata web 10.10.2.0/24 tcp:80
tcp:443
Consenti 1000
Regola firewall D - In entrata web 10.10.2.0/24 tcp:80 Rifiuta 900
Regola firewall E - In entrata web 10.10.2.0/24 tcp:443 Rifiuta 900

Esempio 1: la regola firewall B è oscurata dalla regola firewall A

In questo esempio sono presenti due regole firewall: A e B. Queste regole sono quasi identiche, tranne per i filtri degli intervalli di indirizzi IP di origine. Ad esempio, l'intervallo di indirizzi IP di A è 10.10.0.0/16, mentre l'intervallo di indirizzi IP di B è 10.10.0.0/24. Di conseguenza, la regola firewall B è oscurata dalla regola firewall A.

L'intuizione shadowed firewall rules in genere indica una configurazione errata del firewall, ad esempio l'impostazione del filtro degli indirizzi IP di A è ampia o l'impostazione del filtro di B è troppo restrittiva e non necessaria.

Esempio 2: la regola firewall C è oscurata dalle regole firewall D ed E

In questo esempio sono presenti tre regole firewall: C, D ed E. La regola firewall C consente l'ingresso del traffico web della porta HTTP 80 e della porta HTTPS 443 e ha una priorità di 1000 (priorità predefinita). Al contrario, le regole firewall D ed E negano rispettivamente l'ingresso del traffico web HTTP e HTTPS e hanno entrambe una prioritaria di 900 (alta priorità). Pertanto, la regola firewall C è oscurata dalle regole firewall D ed E combinate.

Esempio 3: la regola firewall B nel criterio firewall Y è oscurata dalla regola firewall A nel criterio X

In questo esempio sono presenti due regole firewall: A e B. La regola firewall A è nel criterio X associato alla Cartella1, mentre la regola firewall B è nel criterio Y associato alla Cartella2. Sia la Cartella1 che la Cartella2 fanno parte dello stesso nodo organizzazione e la Cartella2 è una cartella secondaria della Cartella1. Queste due regole sono identiche tranne che per l'intervallo di indirizzi IP di origine. Questo insight indica che la regola del firewall B nel criterio Y non è necessaria perché è già coperta dalla regola del firewall A nel criterio X. Pertanto, la regola firewall B nel criterio Y è oscurata dalla regola firewall A nel criterio X.

Esempio 4: la regola firewall B nel criterio firewall di rete globale Y è oscurata dalla regola firewall A

In questo esempio sono presenti due regole firewall: A e B. Entrambe le regole firewall A e B si trovano nella rete 1, ma la regola firewall B si trova nel criterio firewall di rete globale Y. L'ordine di applicazione della policy firewall della policy Y è AFTER_CLASSIC_FIREWALLS. Queste due regole sono quasi identiche, tranne per l'intervallo di indirizzi IP di origine. Questa informazione indica che la regola B nel criterio Y non è necessaria, in quanto è già coperta dalla regola A. Pertanto, la regola firewall B nel criterio Y è oscurata dalla regola firewall A.

Regole di negazione con hit

Questo insight fornisce dettagli sulle deny regole che hanno avuto hit durante il periodo di osservazione.

Questi approfondimenti forniscono indicatori relativi alla perdita di pacchetti del firewall. Puoi quindi verificare se i pacchetti persi sono previsti a causa di protezioni di sicurezza o se sono il risultato di una configurazione errata della rete.

Regole eccessivamente permissive

Firewall Insights fornisce un'analisi completa per stabilire se le tue regole firewall sono eccessivamente permissive. Questa analisi include le seguenti informazioni:

I dati forniti da questi insight provengono dal logging delle regole firewall. Pertanto, questi dati sono accurati solo se hai attivato il logging delle regole firewall per l'intero periodo di osservazione. In caso contrario, il numero di regole in ogni categoria di approfondimenti potrebbe essere superiore a quanto indicato.

Gli insight sulle regole eccessivamente permissive valutano il traffico TCP e UDP. Altri tipi di traffico non vengono analizzati. Per maggiori dettagli, consulta la descrizione di ogni approfondimento.

Ogni sottotipo di informazione ha un livello di gravità. Ad esempio, il livello di gravità è high per gli insight sulle regole eccessivamente permissive. Per ulteriori informazioni, consulta Serietà nella documentazione di Recommender.

Regole di autorizzazione senza hit

Questo approfondimento identifica allow regole che non hanno avuto corrispondenze durante il periodo di osservazione.

Per ogni regola, puoi visualizzare le previsioni del machine learning su se è probabile che una regola o un attributo venga utilizzato in futuro. Questa previsione viene prodotta da un'analisi di machine learning che prende in considerazione il pattern di traffico storico di questa regola e di regole simili nella stessa organizzazione.

Per aiutarti a comprendere la previsione, questa informazione identifica regole simili nello stesso progetto della regola identificata. L'approfondimento elenca il numero di hit di queste regole e riassume i dettagli della loro configurazione. Questi dettagli includono la priorità e gli attributi di ogni regola, ad esempio l'indirizzo IP e gli intervalli di porte.

Allow rules with no hits valuta le regole firewall applicate per il traffico TCP e UDP. Se una regola firewall consente qualsiasi altro tipo di traffico, non viene inclusa in questa analisi.

Consentire regole obsolete in base all'analisi adattiva

Questa informazione identifica allow regole con meno probabilità di essere attive in base ai modelli di utilizzo e all'analisi adattiva. L'insight viene prodotto da un'analisi di machine learning che prende in considerazione il numero medio di hit nelle ultime sei settimane e l'analisi adattiva dei numeri di hit recenti. Tuttavia, se la regola non è mai stata attivata dall'inizio del monitoraggio del conteggio dei hit, potrebbe essere inclusa anche nell'approfondimento finché non diventa di nuovo attiva.

Ad esempio, supponiamo che una regola firewall sia stata attivata di frequente durante le ultime poche settimane del periodo di osservazione e che non sia stata attivata per diversi giorni. In questo caso, potresti visualizzare questa informazione per la regola, che indica un cambiamento nel pattern di utilizzo. Tuttavia, le regole firewall vengono analizzate per identificare quelle attivate di rado, ma attive. Queste regole attive non vengono visualizzate in questo insight.

Per ogni regola, se l'analisi di machine learning la identifica come non attiva, puoi visualizzare gli approfondimenti basati sull'analisi adattiva più rapidamente e prima della fine del periodo di osservazione. Ad esempio, potresti iniziare a ricevere informazioni basate sull'analisi adattiva dopo la prima settimana del periodo di osservazione, anche se questo è di 12 mesi.

Al termine del periodo di osservazione, puoi visualizzare gli approfondimenti in base ai dati raccolti tramite il logging delle regole firewall per l'intero periodo di osservazione.

Regole di autorizzazione con attributi inutilizzati

Questo insight identifica le regole allow con attributi come indirizzi IP e intervalli di porte che non hanno generato hit durante il periodo di osservazione.

Per ogni regola identificata, questa informazione riporta anche la probabilità che la regola venga attivata in futuro. Questa previsione si basa su previsioni di machine learning che prendono in considerazione i pattern di traffico storici di questa regola e di regole simili nella stessa organizzazione.

Per aiutarti a comprendere la previsione, l'informazione riassume altre regole firewall nello stesso progetto con attributi simili. Questo riepilogo include i dati relativi all'eventuale corrispondenza degli attributi di queste regole.

Allow rules with unused attributes valuta solo gli attributi definiti per il traffico TCP e UDP. Se una regola consente altri tipi di traffico oltre a TCP e UDP, può essere inclusa in questa analisi. Tuttavia, gli attributi relativi ad altri tipi di traffico non vengono analizzati.

Ad esempio, supponiamo che una regola consenta il traffico sia TCP che ICMP. Se l'intervallo di indirizzi IP consentiti sembra inutilizzato, non è considerato tale perché potresti utilizzarlo per il traffico ICMP. Tuttavia, se la stessa regola ha un intervallo di porte TCP inutilizzato, viene segnalata come eccessivamente permissiva.

Regole di autorizzazione con intervalli di porte o indirizzi IP eccessivamente permissivi

Questo insight identifica le regole allow che potrebbero avere intervalli di porte o indirizzi IP eccessivamente ampi.

Le regole firewall vengono spesso create con un ambito più ampio del necessario. Un ambito eccessivamente ampio può comportare rischi per la sicurezza.

Questo insight contribuisce ad attenuare il problema analizzando l'utilizzo effettivo dell'indirizzo IP e degli intervalli di porte delle regole del firewall. Suggerisce inoltre una combinazione alternativa di intervalli di indirizzi IP e porte per le regole con intervalli eccessivamente ampi. Con queste informazioni, puoi rimuovere gli intervalli di porte non necessari in base ai pattern di traffico durante il periodo di osservazione.

Allow rules with overly permissive IP address or port ranges valuta solo gli attributi definiti per il traffico TCP e UDP. Se una regola consente altri tipi di traffico oltre a TCP e UDP, può essere inclusa in questa analisi. Tuttavia, gli attributi relativi ad altri tipi di traffico non vengono analizzati.

Ad esempio, supponiamo che una regola consenta il traffico sia TCP che ICMP. Se l'intervallo di indirizzi IP consentito sembra essere utilizzato solo parzialmente, l'approfondimento non segnala l'intervallo di indirizzi IP come eccessivamente ampio perché potrebbe essere utilizzato per il traffico ICMP. Tuttavia, se la stessa regola ha un intervallo di porte TCP utilizzato solo parzialmente, la regola viene segnalata come eccessivamente permissiva.

Tieni presente che il tuo progetto potrebbe avere regole firewall che consentono l'accesso da determinati blocchi di indirizzi IP per i controlli di integrità del bilanciatore del carico o per altre funzionalità di Google Cloud. Questi indirizzi IP potrebbero non essere raggiunti, ma non devono essere rimossi dalle regole del firewall. Per ulteriori informazioni su queste gamme, consulta la documentazione di Compute Engine.

Previsioni di machine learning

Come descritto nelle sezioni precedenti, due approfondimenti, Regole allow senza colpi e Regole allow con attributi inutilizzati, utilizzano le previsioni del machine learning.

Per generare le previsioni, Firewall Insights addestra un modello di machine learning utilizzando le regole firewall nella stessa organizzazione. In questo modo, Firewall Insights apprende i pattern comuni. Ad esempio, Firewall Insights rileva le combinazioni di attributi che tendono a essere colpiti. Questi attributi possono includere intervalli di indirizzi IP, intervalli di porte e protocolli IP.

Se la regola firewall contiene pattern comuni che indicano che è probabile che venga attivata, Firewall Insights hanno una maggiore certezza che la regola possa essere attivata in futuro. Questo è vero anche in caso contrario.

Per ogni approfondimento che utilizza le previsioni, Firewall Insights mostra dettagli sulle regole considerate simili a quella identificata dall'approfondimento. Ad esempio, nel riquadro Dettagli approfondimenti puoi visualizzare i dettagli delle tre regole più simili alla regola oggetto della previsione. Maggiore è la sovrapposizione tra gli attributi delle due regole, più simili sono considerate.

Per le regole allow senza corrispondenze, considera il seguente esempio:

Supponiamo che la regola A abbia i seguenti attributi:

Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80

Supponiamo inoltre che la regola B abbia i seguenti attributi:

Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80

Queste due regole condividono gli stessi attributi tag target, protocollo e porta. Differiscono solo per gli attributi di origine. Per questo motivo, sono considerati simili.

Per le regole allow con attributi inutilizzati, la somiglianza viene determinata nello stesso modo. Per questa informazione, Firewall Insights considera le regole simili quando la loro configurazione include gli stessi attributi.

Passaggi successivi