Cette page décrit les états et les catégories de Firewall Insights. Les insights analysent la configuration et l'utilisation de vos règles de pare-feu à l'aide du type d'insight google.compute.firewall.Insight.
Catégories d'insights
Dans Firewall Insights, les insights appartiennent aux deux catégories générales décrites dans le tableau suivant.
| Catégorie | Description | Insights |
|---|---|---|
| Basé sur la configuration | Les insights sont générés en fonction des données concernant la configuration de vos règles de pare-feu. | Règles bloquées |
| Basé sur le journal | Les insights sont générés en fonction de la journalisation de l'utilisation de vos règles de pare-feu et des informations concernant la configuration de vos règles de pare-feu. |
Règles trop permissives
Règles |
États des insights
Chaque insight peut avoir l'un des états suivants, qu'il est possible de modifier comme décrit dans le tableau.
| État | Description |
|---|---|
ACTIVE |
L'insight est actif. Google continue de mettre à jour le contenu des insights ACTIVE en fonction des dernières informations. |
DISMISSED |
L'insight est ignoré et n'est plus visible par aucun utilisateur dans une liste d'insights actifs. Vous pouvez restaurer l'état Pour en savoir plus, consultez la section Marquer un insight comme ignoré. |
Règles bloquées
Les règles bloquées partagent des attributs, tels que des adresses IP, avec d'autres règles de priorité égale ou supérieure, appelées règles bloquées. Firewall Insights analyse vos règles de pare-feu pour détecter ces règles bloquées.
Chaque sous-type d'insight possède un niveau de gravité. Par exemple, pour les insights sur les règles bloquées, le niveau de gravité est medium. Pour en savoir plus, consultez la section Gravité dans la documentation de l'outil de recommandation.
Firewall Insights n'identifie pas toutes les règles bloquantes possibles. Plus précisément, il n'identifie pas que plusieurs tags d'autres règles de pare-feu ont bloqué les tags d'une règle de pare-feu.
Exemples de règles bloquées
Dans cet exemple, certaines règles de blocage et de blocage de plages d'adresses IP sources se chevauchent, tandis que d'autres ont des priorités différentes.
Le tableau suivant présente les règles de pare-feu de A à E. Pour connaître les différents scénarios de règles bloquées, consultez les sections qui suivent le tableau.
| Type | Cibles | Filtres | Protocoles ou ports | Action | Priorité | |
|---|---|---|---|---|---|---|
| Règle de pare-feu A | Entrée | Appliquer à tous | 10.10.0.0/16 | tcp:80 | Autoriser | 1000 |
| Règle de pare-feu B | Entrée | Appliquer à tous | 10.10.0.0/24 | tcp:80 | Autoriser | 1000 |
| Règle de pare-feu C | Entrée | web | 10.10.2.0/24 | tcp:80 tcp:443 | Autoriser | 1000 |
| Règle de pare-feu D | Entrée | web | 10.10.2.0/24 | tcp:80 | Refuser | 900 |
| Règle de pare-feu E | Entrée | web | 10.10.2.0/24 | tcp:443 | Refuser | 900 |
Exemple 1 : la règle de pare-feu B est bloquée par la règle de pare-feu A
Dans cet exemple, il existe deux règles de pare-feu: A et B. Ces règles sont presque identiques, sauf pour les filtres de plage d'adresses IP sources. Par exemple, la plage d'adresses IP de A est 10.10.0.0/16, tandis que la plage d'adresses IP de B est 10.10.0.0/24. Par conséquent, la règle de pare-feu B est bloquée par la règle de pare-feu A.
L'insight shadowed firewall rules indique généralement une mauvaise configuration du pare-feu. Par exemple, le paramètre de filtre d'adresse IP A est trop large, ou le paramètre de filtre B est trop restrictif et inutile.
Exemple 2 : la règle de pare-feu C est bloquée par les règles de pare-feu D et E
Dans cet exemple, il existe trois règles de pare-feu : C, D et E. La règle de pare-feu C autorise l'entrée du trafic Web des ports HTTP 80 et 443 ainsi que la priorité par défaut 1000 (priorité par défaut). En revanche, les règles de pare-feu D et E refusent l'entrée du trafic Web HTTP et HTTPS, respectivement, et chacune ont une priorité de 900 (priorité élevée). Ainsi, la règle de pare-feu C est bloquée par les règles de pare-feu D et E combinées.
Règles "deny" ayant fait l'objet d'appels
Cet aperçu fournit des détails sur les règles deny utilisées au cours de la période d'observation.
Ces informations vous fournissent des signaux de suppression de paquets de pare-feu. Vous pouvez ensuite vérifier si les paquets supprimés sont attendus en raison des protections de sécurité ou s'ils résultent d'une erreur de configuration du réseau.
Règles trop permissives
Firewall Insights vous permet d'analyser en détail si vos règles de pare-feu sont trop permissives. Cette analyse inclut les insights suivants :
- Règles d'autorisation non déclenchées
- Règles d'autorisation comportant des attributs non utilisés
- Règles d'autorisation avec des plages d'adresses IP ou de ports trop permissives
Les données fournies par ces insights proviennent de la journalisation des règles de pare-feu. Par conséquent, ces données ne sont exactes que si vous avez activé la journalisation des règles de pare-feu pendant toute la période d'observation. Sinon, le nombre de règles dans chaque catégorie d'insights pourrait être supérieur à celui indiqué.
Les insights sur les règles trop permissives évaluent le trafic TCP et UDP. Les autres types de trafic ne sont pas analysés. Pour en savoir plus, consultez la description de chaque insight.
Chaque sous-type d'insight possède un niveau de gravité. Par exemple, le niveau de gravité est high pour les insights sur les règles trop permissives. Pour en savoir plus, consultez la section Gravité dans la documentation de l'outil de recommandation.
Règles d'autorisation non déclenchées
Cet aperçu identifie les règles allow qui n'ont pas été utilisées pendant la période d'observation.
Pour chaque règle, vous pouvez consulter des prédictions de machine learning concernant la probabilité qu'une règle ou un attribut s'appliquent à l'avenir. Cette prédiction est produite par une analyse de machine learning qui prend en compte l'historique du modèle de trafic de cette règle et d'autres règles similaires appliquées à la même organisation.
Pour vous aider à comprendre la prédiction, cet insight identifie des règles similaires dans le même projet que la règle identifiée par l'insight. Il répertorie le nombre d'appels de ces règles et résume les détails de leur configuration. Ces informations incluent la priorité et les attributs de chaque règle, tels que son adresse IP et ses plages de ports.
Allow rules with no hits évalue les règles de pare-feu appliquées au trafic TCP et UDP. Si une règle de pare-feu autorise tout autre type de trafic, elle n'est pas incluse dans cette analyse.
Règles d'autorisation comportant des attributs non utilisés
Cet insight identifie les règles allow dont les attributs, comme l'adresse IP et les plages de ports, n'ont pas été utilisés pendant la période d'observation.
Pour chaque règle identifiée, cet aperçu indique également la probabilité que la règle soit susceptible d'être atteinte à l'avenir. Cette prédiction est basée sur des prédictions en matière de machine learning qui tiennent compte de l'historique des tendances de trafic de cette règle, ainsi que de règles similaires dans la même organisation.
Pour vous aider à comprendre la prédiction, l'insight résume les autres règles de pare-feu du même projet qui présentent des attributs similaires. Ce récapitulatif inclut des données indiquant si les attributs de ces règles ont été utilisés.
Allow rules with unused attributes n'évalue que les attributs définis pour le trafic TCP et UDP. Si une règle autorise d'autres types de trafic, outre TCP et UDP, elle peut être incluse dans cette analyse. Toutefois, les attributs qui concernent d'autres types de trafic ne sont pas analysés.
Supposons, par exemple, qu'une règle autorise le trafic TCP et ICMP. Si la plage d'adresses IP autorisée semble inutilisée, elle n'est pas considérée comme inutilisée, car vous pouvez l'utiliser pour le trafic ICMP. Toutefois, si la même règle comporte une plage de ports TCP inutilisée, elle est considérée comme trop permissive.
Règles d'autorisation avec des plages d'adresses IP ou de ports trop permissives
Cet insight identifie les règles allow dont les adresses IP ou les plages de ports sont trop larges.
Les règles de pare-feu sont souvent plus étendues que nécessaire. Un champ d'application trop large peut entraîner des risques de sécurité.
Cet insight aide à atténuer ce problème en analysant l'utilisation réelle de votre adresse IP et des plages de ports de vos règles de pare-feu. Il suggère également une autre combinaison de plages d'adresses IP et de ports pour les règles comportant des plages trop larges. Grâce à ces informations, vous pouvez supprimer les plages de ports inutiles en fonction des tendances du trafic pendant la période d'observation.
Allow rules with overly permissive IP address or port ranges n'évalue que les attributs définis pour le trafic TCP et UDP. Si une règle autorise d'autres types de trafic, outre TCP et UDP, elle peut être incluse dans cette analyse. Toutefois, les attributs qui concernent d'autres types de trafic ne sont pas analysés.
Supposons, par exemple, qu'une règle autorise le trafic TCP et ICMP. Si la plage d'adresses IP autorisée semble n'être que partiellement utilisée, l'insight ne la signale pas comme trop étendue, car elle pourrait être utilisée pour le trafic ICMP. Toutefois, si la même règle comporte une plage de ports TCP partiellement inutilisée, la règle est signalée comme étant trop permissive.
Sachez que votre projet peut disposer de règles de pare-feu autorisant l'accès à partir de certains blocs d'adresses IP pour les vérifications d'état de l'équilibreur de charge ou pour d'autres fonctionnalités de Google Cloud. Ces adresses IP risquent de ne pas être appelées, mais elles ne doivent pas être supprimées de vos règles de pare-feu. Pour plus d'informations sur ces plages, consultez la documentation sur Compute Engine.
Prédictions de machine learning
Comme décrit dans les sections précédentes, deux insights : les règles allow sans appel et les règles allow avec des attributs non utilisés, utilisent des prédictions de machine learning.
Pour générer des prédictions, Firewall Insights entraîne un modèle de machine learning à l'aide de règles de pare-feu appartenant à la même organisation. De cette manière, Firewall Insights apprend les modèles courants. Par exemple, Firewall Insights apprend sur les combinaisons d'attributs qui ont tendance à être atteints. Ces attributs peuvent inclure des plages d'adresses IP, des plages de ports et des protocoles IP.
Si la règle de pare-feu contient des modèles courants qui indiquent qu'elle est susceptible d'être atteinte, Firewall Insights est plus sûr qu'elle pourrait être appelée à l'avenir. L'inverse est également vrai.
Pour chaque insight qui utilise les prédictions, Firewall Insights affiche des détails sur les règles considérées comme semblables à celle identifiée par l'insight. Par exemple, le panneau Détails de l'insight contient des informations sur les trois règles les plus semblables à la règle faisant l'objet de la prédiction. Plus les attributs des deux règles se chevauchent, plus ils sont similaires.
Pour les règles allow non utilisées, considérons l'exemple suivant :
Supposons que la règle A ait les attributs suivants:
Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80
Supposons que la règle B comporte les attributs suivants:
Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80
Ces deux règles partagent les mêmes tags cibles, protocoles et attributs de port. Ils ne diffèrent que par leurs attributs sources. Pour cette raison, elles sont considérées comme similaires.
Pour les règles allow comportant des attributs inutilisés, la similarité est déterminée de la même manière. Pour cet insight, Firewall Insights tient compte des règles similaires lorsque leur configuration inclut les mêmes attributs.