Auf dieser Seite werden die Kategorien und Status von Firewall Insights beschrieben.
In Statistiken werden die Konfiguration und Nutzung Ihrer Firewallregel mithilfe des Statistiktyps google.compute.firewall.Insight analysiert.
Statistikkategorien
Innerhalb von Firewall Insights werden Statistiken in die beiden allgemeinen Kategorien eingeteilt, die in der folgenden Tabelle beschrieben werden.
| Kategorie | Beschreibung | Informationen |
|---|---|---|
| Konfigurationsbasiert | Statistiken werden anhand von Daten zur Konfiguration Ihrer Firewallregeln generiert. | Verdeckte Regeln |
| Logbasiert | Statistiken werden auf der Grundlage von Logging zur Nutzung Ihrer Firewallregeln und von Informationen zur Konfiguration der Firewallregeln generiert. |
Zu moderate Regeln
|
Jeder Statistikuntertyp hat einen Schweregrad. Für Statistiken zu verdeckten Regeln lautet der Schweregrad beispielsweise medium. Weitere Informationen finden Sie in der Recommender-Dokumentation unter Schweregrad.
Statistikzustände
Jede Statistik kann einen der folgenden Status haben, den Sie wie in der folgenden Tabelle beschrieben ändern können.
| Status | Beschreibung |
|---|---|
ACTIVE |
Die Erkenntnis ist aktiv. Google aktualisiert weiterhin Inhalte für ACTIVE-Insights basierend auf den neuesten Informationen. |
DISMISSED |
Die Statistik wird geschlossen und Nutzern auf einer aktiven Statistikliste nicht mehr angezeigt. Auf der Seite Geschlossener Verlauf können Sie den Status Weitere Informationen finden Sie unter Statistik als geschlossen markieren. |
Verdeckte Regeln
Verdeckte Regeln teilen Attribute wie IP-Adressen mit anderen Regeln mit höherer oder gleicher Priorität, die als Shadowing-Regeln bezeichnet werden. Firewall Insights analysiert Ihre VPC-Firewallregeln und Firewallrichtlinien, um diese verdeckten Regeln zu erkennen.
- Für Firewallrichtlinien, die einem VPC-Netzwerk zugewiesen sind, erhalten Sie Statistiken zu einer Richtlinienregel, die von einer VPC-Regel in derselben oder einer anderen Richtlinie verdeckt wird.
- Hierarchische Firewallrichtlinien, globale Netzwerk-Firewallrichtlinien und VPC-Firewallregeln werden anhand der Auswertungsreihenfolge von Richtlinien und Regeln ausgewertet. Im Fall von globalen Netzwerk-Firewallrichtlinien erhalten Sie beispielsweise anhand der Reihenfolge der Regelauswertung Informationen darüber, welche Regel der globalen Netzwerk-Firewallrichtlinie von einer VPC-Firewallregel verdeckt wird.
- Wenn Sie Firewallregeln mit sicheren Tags in einer globalen Netzwerk-Firewallrichtlinie haben, können Sie Statistiken zu diesen Regeln aufrufen, die sich in derselben globalen Firewallrichtlinie gegenseitig verdecken. Weitere Informationen finden Sie unter Tags für Firewalls.
Firewall Insights identifiziert nicht alle möglichen verdeckenden Regeln. Insbesondere wird dabei nicht festgestellt, dass mehrere Tags von anderen Firewallregeln die Tags einer Firewallregel verdeckt haben.
Beispiele für verdeckte Regeln
In diesem Beispiel haben einige verdeckte und Schattenregeln überlappende Quell-IP-Bereichsfilter, während andere unterschiedliche Regelprioritäten haben.
Die folgende Tabelle zeigt die Firewall-Regeln A bis E. Informationen zu verschiedenen Szenarien für verdeckte Regeln finden Sie in den Abschnitten nach der Tabelle.
| Firewall- richtlinie |
Typ | Ziele | Filter | Protokolle oder Ports |
Aktion | Priorität | |
|---|---|---|---|---|---|---|---|
| Firewall-Regel A. | X | Eingehender Traffic | Auf alle anwenden | 10.10.0.0/16 | tcp:80 | Allow | 1000 |
| Firewall-Regel B. | Ja | Eingehender Traffic | Auf alle anwenden | 10.10.0.0/24 | tcp:80 | Allow | 1000 |
| Firewall-Regel C. | - | Eingehender Traffic | web | 10.10.2.0/24 | tcp:80 tcp:443 | Allow | 1000 |
| Firewall-Regel D. | - | Eingehender Traffic | web | 10.10.2.0/24 | tcp:80 | Ablehnen | 900 |
| Firewall-Regel E. | - | Eingehender Traffic | web | 10.10.2.0/24 | tcp:443 | Ablehnen | 900 |
Beispiel 1: Firewall-Regel B wird von Firewall-Regel A verdeckt
In diesem Beispiel gibt es zwei Firewallregeln: A und B. Diese Regeln sind bis auf die Filter für den Quell-IP-Adressbereich fast identisch. Beispielsweise ist der IP-Adressbereich von A 10.10.0.0/16 und der IP-Adressbereich von B 10.10.0.0/24. Somit wird die Firewall-Regel B von der Firewall-Regel A verdeckt.
Die Statistik shadowed firewall rules weist normalerweise auf eine Firewall-Fehlkonfiguration hin, z. B. ist die Filtereinstellung für IP-Adresse A weit gefasst oder die Filtereinstellung B ist zu restriktiv und unnötig.
Beispiel 2: Die Firewall-Regel C wird von den Firewall-Regeln D und E verdeckt
In diesem Beispiel gibt es drei Firewall-Regeln: C, D und E. Firewallregel C lässt eingehenden Webtraffic von HTTP-Port 80 und HTTPS-Port 443 zu und hat die Priorität 1000 (Standardpriorität). Im Gegensatz dazu lehnen die Firewallregeln D und E den eingehenden HTTP- bzw. HTTPS-Webtraffic ab und haben beide die Priorität 900 (hohe Priorität). Daher wird Firewallregel C von den Firewallregeln D und E zusammen verdeckt.
Beispiel 3: Firewallregel B in Firewallrichtlinie Y wird von Firewallregel A in Richtlinie X verdeckt
In diesem Beispiel gibt es zwei Firewallregeln: A und B. Firewallregel A ist in Richtlinie X enthalten, die mit Ordner 1 verknüpft ist, während Firewallregel B in Richtlinie Y enthalten ist, die mit Ordner 2 verknüpft ist. Sowohl Folder1 als auch Folder2 befinden sich unter demselben Organisationsknoten und Folder2 ist wiederum Folder1 untergeordnet. Diese beiden Regeln sind identisch, abgesehen vom Quell-IP-Adressbereich. Diese Statistik zeigt, dass Firewallregel B in Richtlinie Y nicht erforderlich ist, da sie bereits von Firewallregel A in Richtlinie X abgedeckt ist. Daher wird Firewallregel B in Richtlinie Y von Firewallregel A in Richtlinie X verdeckt.
Beispiel 4: Firewallregel B in der globalen Netzwerk-Firewallrichtlinie Y wird von Firewallregel A verdeckt
In diesem Beispiel gibt es zwei Firewallregeln: A und B. Beide Firewallregeln A und B befinden sich in Netzwerk1, Firewallregel B jedoch in der globalen Netzwerk-Firewallrichtlinie Y.
Die Reihenfolge der Erzwingung von Firewallrichtlinien für Richtlinie Y ist AFTER_CLASSIC_FIREWALLS.
Diese beiden Regeln sind bis auf den Quell-IP-Adressbereich fast identisch.
Diese Erkenntnis zeigt, dass Regel B in Richtlinie Y nicht erforderlich ist, da sie bereits durch Regel A abgedeckt ist. Daher wird Firewallregel B in Richtlinie Y von Firewallregel A verdeckt.
Deny-Regeln mit Treffern
Diese Statistik enthält Details zu deny-Regeln, für die im Beobachtungszeitraum Treffer erfasst wurden.
Diese Informationen liefern Ihnen Paket-Drop-Signale für die Firewall. Sie können dann prüfen, ob die verworfenen Pakete aufgrund von Sicherheitsvorkehrungen erwartet werden oder ob sie auf eine fehlerhafte Netzwerkkonfiguration zurückzuführen sind.
Zu moderate Regeln
Firewall Insights bietet eine umfassende Analyse darüber, ob Ihre Firewallregeln zu moderaten Berechtigungen unterliegen. Diese Analyse enthält die folgenden Statistiken:
- Zulassungsregeln ohne Treffer
- Regeln für adaptive Analysen zulassen, die veraltet sind
- Allow-Regeln mit nicht verwendeten Attributen
- Allow-Regeln mit zu moderaten IP-Adress- oder Portbereichen
Die von diesen Statistiken stammenden Daten stammen aus dem Logging von Firewallregeln. Daher sind diese Daten nur korrekt, wenn Sie das Logging von Firewallregeln für den gesamten Beobachtungszeitraum aktiviert haben. Andernfalls kann die Anzahl der Regeln in jeder Statistikkategorie höher sein als angegeben.
Statistiken mit zu vielen Berechtigungen werden TCP- und UDP-Traffic ausgewertet. Andere Arten von Traffic werden nicht analysiert. Weitere Informationen finden Sie in der Beschreibung der einzelnen Statistiken.
Jeder Statistikuntertyp hat einen Schweregrad. Beispielsweise ist der Schweregrad für Statistiken für zu moderate Regeln high. Weitere Informationen finden Sie in der Recommender-Dokumentation unter Schweregrad.
Zulassungsregeln ohne Treffer
Bei dieser Statistik werden allow-Regeln ermittelt, die während des Beobachtungszeitraums keine Treffer hatten.
Für jede Regel können Sie Vorhersagen für maschinelles Lernen abrufen, die Auskunft darüber geben, ob eine Regel oder ein Attribut in Zukunft wahrscheinlich getroffen wird. Diese Vorhersage wird durch eine ML-Analyse erzeugt, die das bisherige Traffic-Muster dieser Regel und ähnliche Regeln in derselben Organisation berücksichtigt.
Zum besseren Verständnis der Vorhersage identifiziert diese Statistik ähnliche Regeln im selben Projekt wie die Regel, die von der Statistik identifiziert wurde. Sie enthält die Trefferanzahl dieser Regeln und eine Zusammenfassung der zugehörigen Konfigurationsdetails. Zu diesen Details gehören die Priorität und Attribute jeder Regel, z. B. die IP-Adress- und Portbereiche.
Allow rules with no hits wertet Firewallregeln aus, die für TCP- und UDP-Traffic erzwungen werden. Wenn eine Firewallregel einen anderen Traffictyp zulässt, ist sie nicht in dieser Analyse enthalten.
Veraltete Regeln auf Grundlage der adaptiven Analyse zulassen
Anhand dieser Statistik werden allow-Regeln identifiziert, die basierend auf Nutzungsmustern und adaptiven Analysen wahrscheinlich weniger aktiv sind. Die Erkenntnis ergibt sich aus einer Analyse des maschinellen Lernens. Dabei werden die durchschnittliche Trefferzahl in den letzten sechs Wochen und die adaptive Analyse der letzten Trefferzahl berücksichtigt. Wenn die Regel jedoch seit Beginn des Trackings der Trefferanzahl nie aktiv war, kann sie auch in die Statistik aufgenommen werden, bis sie wieder aktiv wird.
Angenommen, eine Firewallregel wurde in den letzten Wochen des Beobachtungszeitraums häufig getroffen, aber mehrere Tage lang nicht mehr angewendet. In diesem Fall können Sie diese Statistik für diese Regel sehen, was auf eine Änderung des Nutzungsmusters hinweist. Firewallregeln werden jedoch analysiert, um diese Treffer selten, aber aktiv zu identifizieren. Diese aktiven Regeln sind in dieser Statistik nicht enthalten.
Wenn eine Regel im Rahmen der Analyse durch maschinelles Lernen als inaktiv identifiziert wird, können Sie Statistiken basierend auf der adaptiven Analyse schneller und vor dem Ende des Beobachtungszeitraums aufrufen. So erhalten Sie beispielsweise schon nach der ersten Woche des Beobachtungszeitraums Einblicke auf der adaptiven Analyse, auch wenn Ihr Beobachtungszeitraum 12 Monate beträgt.
Nach Ende des Beobachtungszeitraums können Sie sich Statistiken ansehen, die auf den Daten basieren, die über das Logging von Firewallregeln für den gesamten Beobachtungszeitraum gesammelt wurden.
Allow-Regeln mit nicht verwendeten Attributen
Diese Statistik identifiziert allow-Regeln mit Attributen wie IP-Adress- und Portbereichen, die im Beobachtungszeitraum nicht berücksichtigt wurden.
Für jede identifizierte Regel gibt diese Statistik auch die Wahrscheinlichkeit für einen Treffer der Regel in Zukunft wieder. Diese Vorhersage basiert auf Vorhersagen für maschinelles Lernen, bei denen die bisherigen Traffic-Muster dieser Regel und ähnliche Regeln in derselben Organisation berücksichtigt werden.
Zum besseren Verständnis der Vorhersage fasst die Statistik andere Firewallregeln im selben Projekt mit ähnlichen Attributen zusammen. Diese Zusammenfassung enthält Daten darüber, ob die Attribute dieser Regeln getroffen wurden.
Allow rules with unused attributes wertet nur Attribute aus, die für TCP- und UDP-Traffic definiert sind. Wenn eine Regel neben TCP und UDP andere Traffictypen zulässt, kann die Regel in diese Analyse aufgenommen werden. Die Attribute, die für andere Traffictypen gelten, werden jedoch nicht analysiert.
Angenommen, eine Regel lässt sowohl TCP- als auch ICMP-Traffic zu. Wenn der zulässige IP-Adressbereich als nicht verwendet gilt, gilt er nicht als ungenutzt, da Sie ihn möglicherweise für ICMP-Traffic nutzen. Handelt es sich bei derselben Regel jedoch um einen nicht verwendeten TCP-Portbereich, wird die Regel als zu umfangreich gekennzeichnet.
Allow-Regeln mit zu moderaten IP-Adress- oder Portbereichen
Diese Statistik identifiziert allow-Regeln, die möglicherweise zu breite IP-Adressen oder Portbereiche haben.
Firewallregeln werden oft mit einem breiteren Bereich erstellt, als erforderlich ist. Ein zu breit gefasster Anwendungsbereich kann zu Sicherheitsrisiken führen.
Diese Statistik analysiert die tatsächliche Nutzung Ihrer IP-Adress- und Portbereiche Ihrer Firewallregeln, um dieses Problem zu beheben. Außerdem wird eine alternative Kombination von IP-Adress- und Portbereichen für Regeln mit zu großen Bereichen vorgeschlagen. Mit diesem Wissen können Sie die nicht benötigten Portbereiche basierend auf Traffic-Mustern während des Beobachtungszeitraums entfernen.
Allow rules with overly permissive IP address or port ranges wertet nur Attribute aus, die für TCP- und UDP-Traffic definiert sind. Wenn eine Regel neben TCP und UDP weitere Arten von Traffic zulässt, kann die Regel in diese Analyse einbezogen werden.
Attribute, die zu anderen Arten von Traffic gehören, werden jedoch nicht analysiert.
Angenommen, eine Regel lässt sowohl TCP- als auch ICMP-Traffic zu. Wenn der zulässige IP-Adressbereich nur teilweise verwendet wird, wird er in der Statistik nicht als zu allgemein gekennzeichnet, da er möglicherweise für ICMP-Traffic verwendet wird. Wenn dieselbe Regel jedoch einen TCP-Portbereich hat, der nur teilweise verwendet wird, wird die Regel als zu weit gefasst gekennzeichnet.
Beachten Sie, dass Ihr Projekt Firewallregeln enthalten kann, die den Zugriff von bestimmten IP-Adressblöcken für Load-Balancer-Systemdiagnosen oder für andere Google Cloud-Funktionen zulassen. Diese IP-Adressen sind zwar nicht betroffen, sollten aber nicht aus Ihren Firewall-Regeln entfernt werden. Weitere Informationen zu diesen Bereichen finden Sie in der Compute Engine-Dokumentation.
Vorhersagen durch maschinelles Lernen
Wie in den vorherigen Abschnitten beschrieben, verwenden zwei Statistiken – allow-Regeln ohne Treffer und allow-Regeln mit nicht verwendeten Attributen – Vorhersagen des maschinellen Lernens.
Zum Generieren von Vorhersagen trainiert Firewall Insights ein Modell für maschinelles Lernen mithilfe von Firewallregeln in derselben Organisation. Auf diese Weise lernt Firewall Insights gängige Muster. Beispielsweise lernt Firewall Insights über Kombinationen von Attributen, die in der Regel betroffen sind. Diese Attribute können IP-Adressbereiche, Portbereiche und IP-Protokolle umfassen.
Wenn die Firewallregel allgemeine Muster enthält, die darauf hinweisen, dass die Regel wahrscheinlich erfüllt wird, ist Firewall Insights mit höherer Wahrscheinlichkeit sicher, dass die Regel in Zukunft getroffen werden könnte. Dies gilt auch umgekehrt.
Für jede Statistik, die Vorhersagen verwendet, zeigt Firewall Insights Details zu Regeln an, die der durch die Statistik identifizierten Regel ähneln. Im Bereich Statistikdetails finden Sie beispielsweise Details zu den drei Regeln, die der Regel am ähnlichsten sind, die der Vorhersage zugrunde liegt. Je größer die Überschneidung zwischen den Attributen der beiden Regeln ist, desto ähnlicher werden sie berücksichtigt.
Betrachten Sie für allow-Regeln, die nicht zur Anwendung kamen, das folgende Beispiel:
Angenommen, Regel A hat die folgenden Attribute:
Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80
Angenommen, Regel B hat die folgenden Attribute:
Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80
Diese beiden Regeln haben dieselben Ziel-Tags, Protokoll- und Portattribute. Sie unterscheiden sich nur in Quellattributen. Daher gelten sie als ähnlich.
Bei allow-Regeln mit nicht verwendeten Attributen wird die Ähnlichkeit auf die gleiche Weise bestimmt. Für diese Statistik betrachtet Firewall Insights Regeln ähnlich, wenn ihre Konfiguration dieselben Attribute enthält.