In questa pagina vengono descritti gli stati e le categorie di Firewall Insights. Gli insight analizzano la configurazione e l'utilizzo della regola firewall utilizzando
il tipo di insight google.compute.firewall.Insight.
Categorie di insight
In Firewall Insights, gli insight rientrano nelle due categorie generali descritte nella tabella seguente.
| Categoria | Descrizione | Insight |
|---|---|---|
| Basato sulla configurazione | Gli insight vengono generati in base ai dati su come hai configurato le regole firewall. | Regole con shadowing |
| Basato su log | Gli insight vengono generati in base al logging sull'utilizzo delle regole firewall e su come le hai configurate. |
Regole eccessivamente permissive
Regole |
Stati Insight
Ogni insight può avere uno dei seguenti stati, che puoi modificare come descritto nella seguente tabella.
| Stato | Descrizione |
|---|---|
ACTIVE |
L'insight è attivo. Google continua ad aggiornare i contenuti per
ACTIVE insight in base alle informazioni più recenti. |
DISMISSED |
L'insight è ignorato e non viene più mostrato a nessun utente in nessun elenco di insight attivo. Puoi ripristinare lo stato Per maggiori informazioni, consulta la pagina Contrassegnare un insight come ignorato. |
Regole con shadowing
Le regole con shadowing condividono gli attributi, ad esempio gli indirizzi IP, con altre regole con priorità superiore o uguale, chiamate regole di shadowing. Firewall Insights analizza le regole del firewall per rilevare queste regole con shadowing.
Ogni sottotipo di approfondimento ha un livello di gravità. Ad esempio, per gli insight sulle regole con shadowing, il livello di gravità è medium. Per ulteriori informazioni, consulta la sezione Gravità nella documentazione del motore per suggerimenti.
Firewall Insights non identifica tutte le possibili regole di shadowing. Nello specifico, non identifica che più tag di altre regole firewall abbiano shadowing dei tag di una regola firewall.
Esempi di regole con shadowing
In questo esempio, alcune regole con shadowing e shadowing hanno filtri sovrapposti dell'intervallo IP di origine, mentre altre hanno priorità diverse.
La tabella seguente mostra le regole del firewall da A a E. Per i diversi scenari di regole con shadowing, consulta le sezioni che seguono la tabella.
| Tipo | Destinazioni | Filtri | Protocolli o porte | Azione | Priorità | |
|---|---|---|---|---|---|---|
| Regola firewall A | Ingress | Applica a tutte | 10.10.0.0/16 | tcp:80 | Consenti | 1000 |
| Regola firewall B | Ingress | Applica a tutte | 10.10.0.0/24 | tcp:80 | Consenti | 1000 |
| Regola firewall C | Ingress | web | 10.10.2.0/24 | tcp:80 tcp:443 | Consenti | 1000 |
| Regola firewall D | Ingress | web | 10.10.2.0/24 | tcp:80 | Nega | 900 |
| Regola firewall E | Ingress | web | 10.10.2.0/24 | tcp:443 | Nega | 900 |
Esempio 1: la regola firewall B è shadowata dalla regola firewall A
In questo esempio, sono presenti due regole firewall: A e B. Queste regole sono quasi identiche, ad eccezione dei filtri dell'intervallo di indirizzi IP di origine. Ad esempio,
l'intervallo di indirizzi IP di A è 10.10.0.0/16, mentre l'intervallo di indirizzi IP di
B è 10.10.0.0/24. Quindi, la regola firewall B viene eseguita con shadowing dalla regola firewall A.
L'insight di shadowed firewall rules indica in genere una configurazione errata del firewall; ad esempio, l'impostazione del filtro dell'indirizzo IP di A è generica o quella del filtro B è troppo restrittiva e non necessaria.
Esempio 2: la regola firewall C è ombreggiata da regole firewall D ed E
In questo esempio sono presenti tre regole firewall: C, D ed E. La regola firewall
C consente il traffico in entrata della porta HTTP 80 e della porta HTTPS 443 e ha
una priorità 1000 (priorità predefinita). Al contrario, le regole firewall D ed E negano il traffico in entrata del traffico web HTTP e HTTPS, rispettivamente, ed entrambe hanno una priorità 900 (alta priorità). Pertanto, la regola firewall C viene eseguita con shadowing dalle regole D ed E del firewall.
Regole di negazione con attributi attivati
Questo approfondimento fornisce dettagli sulle regole deny che hanno avuto corrispondenze durante il periodo di osservazione.
Questi insight forniscono indicatori dei pacchetti di firewall. Puoi quindi controllare se i pacchetti ignorati sono previsti a causa delle protezioni di sicurezza o se sono dovuti a una configurazione errata della rete.
Regole eccessivamente permissive
Firewall Insights offre un'analisi completa se le regole firewall sono eccessivamente permissive. Questa analisi include le seguenti informazioni:
- Consentire le regole senza corrispondenze
- Consentire le regole con attributi inutilizzati
- Regole di autorizzazione con intervalli di porte o indirizzi IP eccessivamente permissivi
I dati forniti da queste informazioni provengono dal logging delle regole firewall. Questi dati sono precisi solo se hai abilitato il logging delle regole firewall per l'intero periodo di osservazione. In caso contrario, il numero di regole in ogni categoria di approfondimento potrebbe essere maggiore di quanto indicato.
Gli insight sulle regole eccessivamente permissive valutano il traffico TCP e UDP. Altri tipi di traffico non vengono analizzati. Per i dettagli, consulta la descrizione di ciascun approfondimento.
Ogni sottotipo di approfondimento ha un livello di gravità. Ad esempio, il livello di gravità è high per gli insight sulle regole eccessivamente permissive. Per ulteriori informazioni, consulta la sezione Gravità nella documentazione del motore per suggerimenti.
Regole di autorizzazione senza corrispondenze
Questo approfondimento identifica allow regole che non hanno avuto corrispondenze durante il periodo di osservazione.
Per ogni regola, puoi visualizzare le previsioni di machine learning sulla probabilità che una regola o un attributo venga raggiunto in futuro. Questa previsione viene prodotta da un'analisi di machine learning che considera il modello di traffico storico di questa regola e di regole simili nella stessa organizzazione.
Per aiutarti a comprendere la previsione, questo insight identifica le regole simili nello stesso progetto della regola che ha identificato. che fornisce un elenco del numero di hit di queste regole e riepiloga i dettagli di configurazione. Questi dettagli includono la priorità e gli attributi di ogni regola, come l'indirizzo IP e gli intervalli di porte.
Allow rules with no hits valuta le regole firewall applicate al traffico TCP e UDP. Se una regola firewall consente qualsiasi altro tipo di traffico, non viene inclusa in questa analisi.
Regole di autorizzazione con attributi inutilizzati
Questo insight identifica le regole allow che hanno attributi come indirizzi IP e intervalli di porte che non sono stati raggiunti durante il periodo di osservazione.
Per ogni regola identificata, questo approfondimento indica anche la probabilità che la regola venga raggiunta in futuro. Questa previsione si basa sulle previsioni di machine learning che considerano i modelli di traffico storici di questa regola e regole simili nella stessa organizzazione.
Per aiutarti a comprendere la previsione, l'approfondimento riassume altre regole firewall nello stesso progetto con attributi simili. Questo riepilogo include i dati relativi al fatto che gli attributi di queste regole siano stati rispettati.
Allow rules with unused attributes valuta solo gli attributi definiti per il traffico TCP e UDP. Se una regola consente altri tipi di traffico oltre a TCP e UDP, la regola può essere inclusa in questa analisi. Tuttavia, gli attributi che riguardano altri tipi di traffico non vengono analizzati.
Ad esempio, supponiamo che una regola consenta il traffico TCP e ICMP. Se l'intervallo di indirizzi IP consentito sembra inutilizzato, non è considerato inutilizzato perché potresti usarlo per il traffico ICMP. Tuttavia, se la stessa regola ha un intervallo di porte TCP inutilizzate, questa viene contrassegnata come eccessivamente permissiva.
Regole di autorizzazione con intervalli di porte o indirizzi IP eccessivamente permissivi
Questo insight identifica le regole allow che potrebbero avere indirizzi IP o intervalli di porte eccessivamente ampi.
Le regole firewall vengono spesso create con un ambito più ampio del necessario. Un ambito eccessivamente ampio può comportare rischi per la sicurezza.
Questo approfondimento aiuta a mitigare questo problema analizzando l'utilizzo effettivo del tuo indirizzo IP e degli intervalli di porte delle tue regole firewall. Suggerisce inoltre una combinazione alternativa di indirizzi IP e intervalli di porte per le regole con intervalli eccessivamente ampi. Con queste informazioni, puoi rimuovere gli intervalli di porte non necessari in base ai modelli di traffico durante il periodo di osservazione.
Allow rules with overly permissive IP address or port ranges valuta solo gli attributi definiti per il traffico TCP e UDP. Se una regola consente altri tipi di traffico oltre a TCP e UDP, può essere inclusa in questa analisi. Tuttavia, gli attributi che riguardano altri tipi di traffico non vengono analizzati.
Ad esempio, supponiamo che una regola consenta il traffico TCP e ICMP. Se l'intervallo di indirizzi IP consentito sembra essere utilizzato solo parzialmente, l'approfondimento non contrassegna l'intervallo di indirizzi IP come troppo ampio perché potrebbe essere utilizzato per il traffico ICMP. Tuttavia, se la stessa regola ha un intervallo di porte TCP utilizzato solo parzialmente, la regola viene contrassegnata come eccessivamente permissiva.
Tieni presente che il tuo progetto potrebbe avere regole firewall che consentono l'accesso da determinati blocchi di indirizzi IP per i controlli di integrità del bilanciatore del carico o per altre funzionalità di Google Cloud. Questi indirizzi IP potrebbero non essere interessati, ma non devono essere rimossi dalle regole firewall. Per ulteriori informazioni su questi intervalli, consulta la documentazione di Compute Engine.
Previsioni del machine learning
Come descritto nelle sezioni precedenti, due insight, allow regole senza hit e allow regole con attributi inutilizzati, utilizzano le previsioni del machine learning.
Per generare previsioni, Firewall Insights addestra un modello di machine learning utilizzando le regole firewall nella stessa organizzazione. In questo modo, Firewall Insights apprende i pattern comuni. Ad esempio, Firewall Insights apprende le combinazioni di attributi che tendono a essere raggiunti. Questi attributi possono includere intervalli di indirizzi IP, intervalli di porte e protocolli IP.
Se la regola firewall contiene pattern comuni che mostrano la probabilità di successo della regola, Firewall Insights ha maggiore probabilità che la regola possa essere raggiunta in futuro. Questo è vero anche in caso contrario.
Per ogni insight che utilizza le previsioni, Firewall Insights mostra i dettagli sulle regole considerate simili alla regola identificata dall'insight. Ad esempio, nel riquadro Dettagli insight, puoi visualizzare i dettagli delle tre regole più simili alla regola che è oggetto della previsione. Più si sovrappongono gli attributi delle due regole, più simili vengono considerati.
Per allow regole senza corrispondenze, considera il seguente esempio:
Supponiamo che la regola A abbia i seguenti attributi:
Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80
Supponiamo inoltre che la regola B abbia i seguenti attributi:
Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80
Queste due regole condividono gli stessi attributi target, protocollo e porta. differiscono solo per gli attributi della fonte. Per questo motivo, sono considerati simili.
Per allow regole con attributi inutilizzati, la somiglianza viene determinata nello stesso modo. Per questo insight, Firewall Insights considera le regole simili quando la loro configurazione include gli stessi attributi.