Kategori dan status Analisis Firewall

Halaman ini menjelaskan kategori dan status Analisis Firewall. Insight menganalisis konfigurasi dan penggunaan aturan firewall Anda menggunakan jenis insight google.compute.firewall.Insight.

Kategori insight

Dalam Analisis Firewall, insight dibagi ke dalam dua kategori umum yang dijelaskan dalam tabel berikut.

Kategori Deskripsi Insights
Berbasis konfigurasi Insight dihasilkan berdasarkan data tentang cara Anda mengonfigurasi aturan firewall. Aturan yang dibayangi
Berbasis log Insight dihasilkan berdasarkan logging tentang penggunaan aturan firewall dan informasi tentang cara Anda mengonfigurasi aturan firewall.

Aturan yang terlalu permisif

  • Aturan Allow tanpa hit
  • Allow aturan yang sudah tidak berlaku berdasarkan analisis adaptif
  • Aturan Allow dengan atribut yang tidak digunakan
  • Allow aturan dengan alamat IP atau rentang port yang terlalu permisif

Aturan Deny dengan hit

Setiap subjenis insight memiliki tingkat keparahan. Misalnya, untuk insight aturan bayangan, tingkat keparahannya adalah medium. Untuk informasi selengkapnya, lihat Keparahan dalam dokumentasi Pemberi rekomendasi.

Status insight

Setiap insight dapat memiliki salah satu status berikut, yang dapat Anda ubah seperti dijelaskan dalam tabel berikut.

Status Deskripsi
ACTIVE Insight aktif. Google terus memperbarui konten untuk insight ACTIVE berdasarkan informasi terbaru.
DISMISSED

Insight ditutup dan tidak lagi ditampilkan kepada pengguna di daftar insight aktif. Anda dapat memulihkan status DISMISSED ke ACTIVE di halaman Histori yang Ditolak.

Untuk informasi selengkapnya, lihat Menandai insight sebagai ditutup.

Aturan yang dibayangi

Aturan bayangan berbagi atribut, seperti alamat IP, dengan aturan lain dengan prioritas yang lebih tinggi atau sama, yang disebut aturan bayangan. Analisis Firewall menganalisis aturan firewall VPC dan kebijakan firewall Anda untuk mendeteksi aturan bayangan ini.

  • Untuk kebijakan firewall yang ditetapkan ke jaringan VPC, Anda dapat melihat insight tentang aturan kebijakan yang dibayangi oleh aturan VPC dalam kebijakan yang sama atau kebijakan lainnya.
  • Kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan aturan firewall VPC dievaluasi berdasarkan urutan evaluasi kebijakan dan aturan. Misalnya, dalam kasus kebijakan firewall jaringan global, Anda mungkin mendapatkan insight tentang aturan kebijakan firewall jaringan global yang dibayangi oleh aturan firewall VPC berdasarkan urutan evaluasi aturan.
  • Jika memiliki aturan firewall dengan tag aman dalam kebijakan firewall jaringan global, Anda dapat melihat insight tentang aturan tersebut yang membayangi satu sama lain dalam kebijakan firewall global yang sama. Untuk informasi lebih lanjut, lihat Tag untuk firewall.

Analisis Firewall tidak mengidentifikasi semua kemungkinan aturan bayangan. Secara khusus, baris ini tidak mengidentifikasi bahwa beberapa tag dari aturan firewall lainnya telah membayangi tag aturan firewall.

Contoh aturan bayangan

Dalam contoh ini, beberapa aturan bayangan dan bayangan memiliki filter rentang IP sumber yang tumpang-tindih, sementara aturan lain memiliki prioritas aturan yang berbeda.

Tabel berikut menunjukkan aturan firewall A hingga E. Untuk skenario aturan bayangan lainnya, lihat bagian yang mengikuti tabel.

Kebijakan
firewall
Jenis Targets Filter Protokol
atau port
Tindakan Prioritas
Aturan firewall A X Masuk Terapkan ke semua 10.10.0.0/16 tcp:80 Izinkan 1.000
Aturan firewall B Y Masuk Terapkan ke semua 10.10.0.0/24 tcp:80 Izinkan 1.000
Aturan firewall C - Masuk web 10.10.2.0/24 tcp:80
tcp:443
Izinkan 1.000
Aturan firewall D - Masuk web 10.10.2.0/24 tcp:80 Tolak 900
Aturan firewall E - Masuk web 10.10.2.0/24 tcp:443 Tolak 900

Contoh 1: Aturan firewall B dibayangi oleh aturan firewall A

Di contoh ini, ada dua aturan {i>firewall<i}: A dan B. Aturan ini hampir sama, kecuali untuk filter rentang alamat IP sumbernya. Misalnya, rentang alamat IP A adalah 10.10.0.0/16, sedangkan rentang alamat IP B adalah 10.10.0.0/24. Dengan demikian, aturan firewall B dibayangi oleh aturan firewall A.

Insight shadowed firewall rules biasanya menunjukkan kesalahan konfigurasi firewall—misalnya, setelan filter alamat IP A luas, atau setelan filter B terlalu ketat dan tidak perlu.

Contoh 2: Aturan firewall C dibayangi oleh aturan firewall D dan E

Dalam contoh ini, ada tiga aturan {i>firewall<i}: C, D, dan E. Aturan firewall C mengizinkan traffic web masuk port HTTP 80 dan port HTTPS 443 serta memiliki prioritas 1000 (prioritas default). Sebaliknya, aturan firewall D dan E menolak traffic masuk HTTP dan HTTPS, dan keduanya memiliki prioritas 900 (prioritas tinggi). Dengan demikian, aturan firewall C dibayangi oleh gabungan aturan firewall D dan E.

Contoh 3: Aturan firewall B dalam kebijakan firewall Y dibayangi oleh aturan firewall A dalam kebijakan X

Di contoh ini, ada dua aturan {i>firewall<i}: A dan B. Aturan firewall A ada dalam kebijakan X yang terkait dengan Folder1, sedangkan aturan firewall B ada dalam kebijakan Y yang terkait dengan Folder2. Folder1 dan Folder2 berada di node organisasi yang sama, dan Folder2 adalah turunan dari Folder1. Kedua aturan ini identik, kecuali untuk rentang alamat IP sumbernya. Insight ini menunjukkan bahwa aturan firewall B dalam kebijakan Y tidak diperlukan karena telah tercakup dalam aturan firewall A dalam kebijakan X. Dengan demikian, aturan firewall B dalam kebijakan Y dibayangi oleh aturan firewall A dalam kebijakan X.

Contoh 4: Aturan firewall B dalam kebijakan firewall jaringan global Y dibayangi oleh aturan firewall A

Di contoh ini, ada dua aturan {i>firewall<i}: A dan B. Kedua aturan firewall A dan B ada di Jaringan1, tetapi aturan firewall B ada dalam kebijakan firewall jaringan global Y. Urutan penerapan kebijakan firewall untuk kebijakan Y adalah AFTER_CLASSIC_FIREWALLS. Kedua aturan ini hampir sama, kecuali untuk rentang alamat IP sumbernya. Insight ini menunjukkan bahwa aturan B dalam kebijakan Y tidak diperlukan, karena sudah tercakup oleh aturan A. Dengan demikian, aturan firewall B dalam kebijakan Y dibayangi oleh aturan firewall A.

Aturan tolak dengan hit

Insight ini memberikan detail tentang aturan deny yang memiliki hit selama periode pengamatan.

Insight ini memberi Anda sinyal penurunan paket firewall. Kemudian, Anda dapat memeriksa apakah paket yang dilepaskan diperkirakan karena perlindungan keamanan atau apakah paket tersebut disebabkan oleh kesalahan konfigurasi jaringan.

Aturan yang terlalu permisif

Analisis Firewall memberikan analisis komprehensif terkait apakah aturan firewall Anda terlalu permisif atau tidak. Analisis ini mencakup wawasan berikut:

Data yang diberikan oleh insight ini berasal dari Logging Aturan Firewall. Oleh karena itu, data ini hanya akurat jika Anda mengaktifkan Logging Aturan Firewall selama keseluruhan periode pengamatan. Jika tidak, jumlah aturan di setiap kategori insight bisa lebih tinggi dari yang ditunjukkan.

Insight aturan yang terlalu permisif mengevaluasi traffic TCP dan UDP. Jenis lalu lintas lainnya tidak dianalisis. Untuk detailnya, lihat deskripsi setiap insight.

Setiap subjenis insight memiliki tingkat keparahan. Misalnya, tingkat keparahannya adalah high untuk insight aturan yang terlalu permisif. Untuk informasi selengkapnya, lihat Keparahan dalam dokumentasi Pemberi rekomendasi.

Izinkan aturan tanpa hit

Insight ini mengidentifikasi aturan allow yang tidak memiliki hit selama periode pengamatan.

Untuk setiap aturan, Anda dapat melihat prediksi machine learning tentang apakah aturan atau atribut kemungkinan akan tercapai di masa mendatang. Prediksi ini dihasilkan oleh analisis machine learning yang mempertimbangkan pola traffic historis dari aturan ini dan aturan serupa dalam organisasi yang sama.

Untuk membantu Anda memahami prediksi, insight ini mengidentifikasi aturan serupa pada project yang sama dengan aturan yang diidentifikasi oleh insight. Insight mencantumkan jumlah hit aturan tersebut dan merangkum detail konfigurasinya. Detail ini mencakup prioritas dan atribut setiap aturan, seperti alamat IP dan rentang port.

Allow rules with no hits mengevaluasi aturan firewall yang diterapkan untuk traffic TCP dan UDP. Jika aturan firewall mengizinkan jenis traffic lainnya, aturan tersebut tidak akan disertakan dalam analisis ini.

Izinkan aturan yang sudah tidak berlaku berdasarkan analisis adaptif

Insight ini mengidentifikasi aturan allow yang cenderung tidak aktif berdasarkan pola penggunaan dan analisis adaptif. Insight dihasilkan oleh analisis machine learning dengan mempertimbangkan jumlah hit rata-rata dalam enam minggu terakhir dan analisis adaptif jumlah hit terbaru. Namun, jika aturan tidak pernah aktif sejak pelacakan jumlah hit dimulai, aturan tersebut mungkin juga disertakan dalam insight hingga menjadi aktif kembali.

Misalnya, aturan firewall sering di-hit selama beberapa minggu terakhir dari periode pengamatan dan berhenti mendapatkan hit selama beberapa hari. Dalam hal ini, Anda mungkin melihat insight ini untuk aturan tersebut, yang menunjukkan perubahan pada pola penggunaan. Namun, aturan firewall dianalisis untuk mengidentifikasi hit tersebut yang jarang terjadi, tetapi aktif; aturan aktif ini tidak muncul dalam insight ini.

Untuk setiap aturan, jika analisis machine learning mengidentifikasi aturan sebagai tidak aktif, Anda dapat melihat insight berdasarkan analisis adaptif lebih cepat dan sebelum akhir periode pengamatan. Misalnya, Anda mungkin mulai mendapatkan insight berdasarkan analisis adaptif setelah minggu pertama periode pengamatan, meskipun periode pengamatan Anda adalah 12 bulan.

Setelah akhir periode pengamatan, Anda dapat melihat insight berdasarkan data yang dikumpulkan melalui Logging Aturan Firewall untuk seluruh periode pengamatan.

Izinkan aturan dengan atribut yang tidak digunakan

Insight ini mengidentifikasi aturan allow yang memiliki atribut seperti alamat IP dan rentang port yang tidak hit selama periode pengamatan.

Untuk setiap aturan yang diidentifikasi, insight ini juga melaporkan kemungkinan apakah aturan kemungkinan akan tercapai di masa mendatang. Prediksi ini didasarkan pada prediksi machine learning yang mempertimbangkan pola traffic historis dari aturan ini dan aturan serupa dalam organisasi yang sama.

Untuk membantu Anda memahami prediksi, insight tersebut merangkum aturan firewall lain dalam project yang sama yang memiliki atribut serupa. Ringkasan ini mencakup data tentang apakah atribut aturan tersebut tercapai.

Allow rules with unused attributes hanya mengevaluasi atribut yang ditentukan untuk traffic TCP dan UDP. Jika sebuah aturan mengizinkan jenis traffic selain TCP dan UDP, aturan tersebut dapat disertakan dalam analisis ini. Namun, atribut yang terkait dengan jenis traffic lain tidak dianalisis.

Misalnya, sebuah aturan mengizinkan traffic TCP dan ICMP. Jika rentang alamat IP yang diizinkan tampak tidak digunakan, rentang tersebut tidak dianggap tidak digunakan karena Anda mungkin menggunakannya untuk traffic ICMP. Namun, jika aturan yang sama memiliki rentang port TCP yang tidak digunakan, aturan akan ditandai sebagai terlalu permisif.

Izinkan aturan dengan alamat IP atau rentang port yang terlalu permisif

Insight ini mengidentifikasi aturan allow yang mungkin memiliki alamat IP atau rentang port yang terlalu luas.

Aturan {i>firewall<i} sering kali dibuat dengan cakupan yang lebih luas dari yang diperlukan. Cakupan yang terlalu luas dapat menyebabkan risiko keamanan.

Insight ini membantu memitigasi masalah ini dengan menganalisis penggunaan sebenarnya dari alamat IP dan rentang port aturan firewall Anda. Konfigurasi ini juga menyarankan kombinasi alternatif alamat IP dan rentang port untuk aturan dengan rentang yang terlalu luas. Dengan pengetahuan ini, Anda dapat menghapus rentang port yang tidak diperlukan berdasarkan pola traffic selama periode pengamatan.

Allow rules with overly permissive IP address or port ranges hanya mengevaluasi atribut yang ditentukan untuk traffic TCP dan UDP. Jika sebuah aturan mengizinkan jenis traffic selain TCP dan UDP, aturan tersebut dapat disertakan dalam analisis ini. Namun, atribut yang berkaitan dengan jenis traffic lainnya tidak dianalisis.

Misalnya, sebuah aturan mengizinkan traffic TCP dan ICMP. Jika rentang alamat IP yang diizinkan tampaknya hanya digunakan sebagian, insight tidak akan menandai rentang alamat IP sebagai terlalu luas karena mungkin digunakan untuk traffic ICMP. Namun, jika aturan yang sama memiliki rentang port TCP yang hanya digunakan sebagian, aturan tersebut akan ditandai sebagai terlalu permisif.

Perlu diketahui bahwa project Anda mungkin memiliki aturan firewall yang mengizinkan akses dari blok alamat IP tertentu untuk health check load balancer atau untuk fungsi Google Cloud lainnya. Alamat IP ini mungkin tidak didapatkan, tetapi tidak boleh dihapus dari aturan firewall Anda. Untuk mengetahui informasi selengkapnya tentang rentang ini, baca dokumentasi Compute Engine.

Prediksi machine learning

Seperti yang dijelaskan di bagian sebelumnya, dua insight—aturan allow tanpa hit dan aturan allow dengan atribut yang tidak digunakan—menggunakan prediksi machine learning.

Untuk membuat prediksi, Analisis Firewall melatih model machine learning dengan menggunakan aturan firewall di organisasi yang sama. Dengan cara ini, Analisis Firewall mempelajari pola yang umum. Misalnya, Analisis {i>Firewall<i} mempelajari kombinasi atribut yang cenderung dipukul. Atribut ini dapat mencakup rentang alamat IP, rentang port, dan protokol IP.

Jika aturan firewall berisi pola umum yang menunjukkan bahwa aturan kemungkinan akan tercapai, Analisis Firewall memiliki keyakinan yang lebih tinggi bahwa aturan tersebut mungkin akan tercapai di masa mendatang. Hal sebaliknya juga berlaku.

Untuk setiap insight yang menggunakan prediksi, Analisis Firewall menampilkan detail tentang aturan yang dianggap serupa dengan aturan yang diidentifikasi oleh insight. Misalnya, di panel Detail insight, Anda dapat melihat detail tentang tiga aturan yang paling mirip dengan aturan yang menjadi subjek prediksi. Semakin banyak atribut yang tumpang tindih di antara atribut dari dua aturan tersebut, semakin mirip aturan tersebut dipertimbangkan.

Untuk aturan allow tanpa hit, pertimbangkan contoh berikut:

Misalkan aturan A memiliki atribut berikut:

Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80

Dan anggaplah aturan B memiliki atribut berikut:

Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80

Kedua aturan ini memiliki atribut tag, protokol, dan port target yang sama. Atribut ini hanya berbeda pada atribut sumber. Karena alasan ini, mereka dianggap serupa.

Untuk aturan allow dengan atribut yang tidak digunakan, kemiripan ditentukan dengan cara yang sama. Untuk insight ini, Analisis Firewall mempertimbangkan aturan yang serupa jika konfigurasinya mencakup atribut yang sama.

Langkah selanjutnya