このページでは、ファイアウォール インサイトのカテゴリと状態について説明します。インサイトは、google.compute.firewall.Insight 分析情報の種類を使用してファイアウォール ルールの構成と使用状況を分析します。
分析情報のカテゴリ
ファイアウォール インサイトは、次の表に示す 2 つの一般的なカテゴリに分類されます。
| カテゴリ | 説明 | 分析情報 |
|---|---|---|
| 構成ベース | 分析情報は、ファイアウォール ルールの構成方法に基づいて生成されます。 | シャドウルール |
| ログベース | 分析情報は、ファイアウォール ルールの使用状況に関するロギングと、ファイアウォール ルールの構成方法に基づいて生成されます。 |
制限が過度に緩いルール
ヒットのある |
各分析情報のサブタイプには重大度があります。たとえば、シャドウルールの分析情報の場合、重大度レベルは medium です。詳細については、Recommender のドキュメントの重大度をご覧ください。
分析情報の状態
分析情報は次のいずれかの状態になります。また、次の表で説明するように変更できます。
| 状態 | 説明 |
|---|---|
ACTIVE |
インサイトはアクティブです。Google は、最新の情報に基づいて、ACTIVE 分析情報のコンテンツを継続的に更新します。 |
DISMISSED |
分析情報は破棄され、有効な分析情報リストに表示されなくなります。[拒否の履歴] ページで 詳細については、分析情報を「閉じる」としてマークをご覧ください。 |
シャドウルール
シャドウルールは、IP アドレスなどの属性を同等以上の優先度の他のルールと共有します(これはシャドーイング ルールと呼ばれます)。ファイアウォール インサイトは VPC ファイアウォール ルールとファイアウォール ポリシーを分析して、これらのシャドウルールを検出します。
- VPC ネットワークに割り当てられたファイアウォール ポリシーの場合、同じポリシーまたは他のポリシーの VPC ルールによってシャドーイングされているポリシールールの分析情報を確認できます。
- 階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、VPC ファイアウォール ルールは、ポリシーとルールの評価順序に基づいて評価されます。たとえば、グローバル ネットワーク ファイアウォール ポリシーの場合、ルール評価順序に基づいて VPC ファイアウォール ルールによってシャドーイングされているグローバル ネットワーク ファイアウォール ポリシー ルールの分析情報が得られる場合があります。
- グローバル ネットワーク ファイアウォール ポリシーにセキュアタグ付きのファイアウォール ルールがある場合、同じグローバル ファイアウォール ポリシー内で互いにシャドーイングしているルールの分析情報を表示できます。詳細については、ファイアウォールのタグをご覧ください。
ファイアウォール インサイトは、可能性のあるシャドウルールをすべて識別するわけではありません。特に、ファイアウォール ルールのタグが、他のファイアウォール ルールの複数のタグによってシャドーイングされていることは識別されません。
シャドウルールの例
この例では、一部のシャドウルールとシャドーイング ルールに重複するソース IP 範囲フィルタがあり、他のルールには異なるルール優先度があります。
次の表に、A から E までのファイアウォール ルールを示します。他のシャドウルールのシナリオについては、表に続くセクションをご覧ください。
| ファイアウォール ポリシー |
種類 | ターゲット | フィルタ | プロトコル またはポート |
アクション | 優先度 | |
|---|---|---|---|---|---|---|---|
| ファイアウォール ルール A | X | Ingress | すべてに適用 | 10.10.0.0/16 | tcp:80 | 許可 | 1,000 |
| ファイアウォール ルール B | Y | Ingress | すべてに適用 | 10.10.0.0/24 | tcp:80 | 許可 | 1,000 |
| ファイアウォール ルール C | - | Ingress | web | 10.10.2.0/24 | tcp:80 tcp:443 | 許可 | 1,000 |
| ファイアウォール ルール D | - | Ingress | web | 10.10.2.0/24 | tcp:80 | 拒否 | 900 |
| ファイアウォール ルール E | - | Ingress | web | 10.10.2.0/24 | tcp:443 | 拒否 | 900 |
例 1: ファイアウォール ルール B がファイアウォール ルール A により隠される
この例では、A と B の 2 つのファイアウォール ルールを使用します。このルールは、送信元 IP アドレス範囲のフィルタを除き、ほぼ同じです。たとえば、A の IP アドレス範囲は 10.10.0.0/16 で、B の IP アドレス範囲は 10.10.0.0/24 です。したがって、ファイアウォール ルール B はファイアウォール ルール A によりシャドーイングされます。
shadowed firewall rules 分析情報は通常、ファイアウォールの誤構成を示します。たとえば、A の IP アドレス フィルタ設定が緩い場合や、B のフィルタ設定が過剰に制限され不要な場合などです。
例 2: ファイアウォール ルール C がファイアウォール ルール D と E によりシャドーイングされる
この例では、C、D、E の 3 つのファイアウォール ルールを使用します。ファイアウォール ルール C は、HTTP ポート 80 と HTTPS ポート 443 のウェブ トラフィックの上り(内向き)を許可しており、優先度は 1000 です(デフォルトの優先度)。ファイアウォール ルール D と E は、それぞれ HTTP および HTTPS ウェブ トラフィックの上り(内向き)を拒否しており、両方の優先度は 900(高優先度)です。したがって、ファイアウォール ルール C は、ファイアウォール ルール D と E の組み合わせによりシャドーイングされます。
例 3: ファイアウォール ポリシー Y のファイアウォール ルール B が、ポリシー X のファイアウォール ルール A によりシャドーイングされる
この例では、A と B の 2 つのファイアウォール ルールを使用します。ファイアウォール ルール A は Folder1 に関連付けられたポリシー X にあり、ファイアウォール ルール B は Folder2 に関連付けられたポリシー Y にあります。Folder1 と Folder2 は同じ組織ノードの下にあり、Folder2 は Folder1 の子になります。これら 2 つのルールは、送信元 IP アドレス範囲を除いて同じです。この分析情報は、ポリシー Y のファイアウォール ルール B が不要なことを示しています。このポリシーは、ポリシー X のファイアウォール ルール A ですでに網羅されています。したがって、ポリシー Y のファイアウォール ルール B は、ポリシー X のファイアウォール ルール A によりシャドーイングされます。
例 4: グローバル ネットワーク ファイアウォール ポリシー Y のファイアウォール ルール B がファイアウォール ルール A によりシャドーイングされる
この例では、A と B の 2 つのファイアウォール ルールを使用します。ファイアウォール ルール A と B はどちらも Network1 にありますが、ファイアウォール ルール B はグローバル ネットワーク ファイアウォール ポリシー Y にあります。ポリシー Y のファイアウォール ポリシーの適用順序は AFTER_CLASSIC_FIREWALLS です。これら 2 つのルールは、送信元 IP アドレス範囲を除いてほぼ同じです。この分析情報は、ポリシー Y のルール B がルール A で網羅されているため不要であることをことを示しています。したがって、ポリシー Y のファイアウォール ルール B はファイアウォール ルール A によりシャドーイングされます。
ヒットのある拒否ルール
この分析情報では、観察期間にヒットした deny ルールの詳細を確認できます。
これらの分析情報は、ファイアウォールのパケット ドロップのシグナルとなります。これにより、パケットのドロップがセキュリティ保護によるものなのか、ネットワークの構成ミスが原因なのかを確認できます。
制限が過度に緩いルール
ファイアウォール インサイトは、ファイアウォール ルールが過度に緩いかどうか包括的な分析結果を提供します。この分析には次の情報が含まれています。
これらの分析情報で提供されるデータは、ファイアウォール ルール ロギングから取得されます。ただし、このデータは、観察期間全体でファイアウォール ルール ロギングを有効にした場合にのみ正確になります。それ以外の場合は、分析情報カテゴリのルールの数が、実際よりも多くなる可能性があります。
制限が緩すぎるルールの分析情報では、TCP と UDP のトラフィックが評価されます。他のタイプのトラフィックは分析されません。詳しくは、各分析情報の説明をご覧ください。
各分析情報のサブタイプには重大度があります。たとえば、制限が緩すぎるルールの分析情報の場合、重大度レベルは high です。詳細については、Recommender のドキュメントの重大度をご覧ください。
ヒットのない許可ルール
この分析情報は、観察期間中にヒットがなかった allow ルールを特定します。
ルールごとに、ルールまたは属性が今後ヒットする可能性があるかどうかについて ML の予測を確認できます。この予測は、このルールおよび同じ組織内の類似ルールの過去のトラフィック パターンを使用する ML 分析によって生成されます。
予測を理解しやすくするため、識別されたルールと同じプロジェクト内の類似ルールも識別されます。これらの分析情報では、ルールのヒット数の一覧と構成の概要が表示されます。これらの詳細には、IP アドレスやポート範囲など、各ルールの優先度と属性が含まれます。
Allow rules with no hits では、TCP トラフィックと UDP トラフィックに適用されるファイアウォール ルールが評価されます。他の種類のトラフィックを許可するファイアウォール ルールは、この分析に含まれません。
適応分析に基づいて廃止された許可ルール
この分析情報では、使用パターンと適応分析に基づいて、アクティブになる可能性が低い allow ルールを識別します。この分析情報は、過去 6 週間の平均ヒット数と最近のヒット数の適応分析を考慮した ML 分析によって生成されます。ただし、そのルールは、ヒット数の傾向のトラッキングの開始以降にアクティブになっていない場合、再びアクティブになるまでは分析情報にも含まれます。
たとえば、ファイアウォール ルールが、モニタリング期間の最後の数週間に頻繁にヒットしてから、数日間ヒットしなくなったとします。その場合、このルールに対して、使用パターンの変化を示す分析情報が表示される場合があります。ただし、ヒットの頻度は低いもののアクティブになっているルールを特定するために、ファイアウォール ルールが分析されます。これらのアクティブ ルールは、この分析情報に表示されません。
ルールごとに、ML 分析でルールが無効になっていることが確認されると、観察期間が終了する前に、適応分析に基づいて分析情報をすばやく表示できます。たとえば、観察期間が 12 か月の場合でも、観察期間の最初の週が終了した後に適応分析に基づく分析情報の取得を開始できます。
モニタリング期間が終了すると、モニタリング期間全体のファイアウォール ルールのロギングによって収集されたデータに基づいた分析情報を表示できます。
未使用の属性を含む許可ルール
この分析情報は、観察期間中にヒットしなかった IP アドレスやポート範囲などの属性を含む allow ルールを識別します。
この分析情報では、識別されたルールごとに、ルールが今後ヒットする可能性についても報告されます。この予測は、このルールと、同じ組織内の類似ルールの過去のトラフィック パターンを使用する ML の予測に基づいています。
予測を理解しやすくするため、同じプロジェクト内で類似の属性を持つ他のファイアウォール ルールの概要も表示されます。この概要には、それらのルールの属性がヒットしたかどうかに関するデータが含まれます。
Allow rules with unused attributes では、TCP トラフィックと UDP トラフィックで定義されている属性のみが評価されます。TCP と UDP 以外の種類のトラフィックを許可するルールも、この分析に含めることができます。ただし、他のタイプのトラフィックに関連する属性は分析されません。
たとえば、ルールで TCP トラフィックと ICMP トラフィックの両方を許可するとします。許可された IP アドレス範囲が使用されていないように見えても、ICMP トラフィックに使用される可能性があるため、未使用とは見なされません。ただし、同じルールに未使用の TCP ポート範囲がある場合、そのルールは過度に緩いものとしてフラグが設定されます。
制限が過度に緩い IP アドレスまたはポート範囲を含むルールの許可
この分析情報は、広すぎる IP アドレスまたはポート範囲が存在する可能性がある allow ルールを特定します。
多くの場合、ファイアウォール ルールは必要以上に広い範囲で作成されます。対象範囲が広すぎると、セキュリティ リスクにつながる可能性があります。
この分析情報は、ファイアウォール ルールの IP アドレスとポート範囲の実際の使用状況を分析することで、こうした問題の軽減に役立ちます。また、範囲が広すぎるルールに対しては、IP アドレスとポート範囲の別の組み合わせも提案されます。これにより、観察期間中のトラフィック パターンに基づいて不要なポート範囲を削除できます。
Allow rules with overly permissive IP address or port ranges では、TCP トラフィックと UDP トラフィックで定義されている属性のみが評価されます。TCP と UDP 以外の種類のトラフィックを許可するルールも、この分析に含めることができます。ただし、他のタイプのトラフィックに関連する属性は分析されません。
たとえば、ルールで TCP トラフィックと ICMP トラフィックの両方を許可するとします。許可された IP アドレス範囲が部分的にしか使用されていないように見える場合、IP アドレス範囲は ICMP トラフィックに使用される可能性があるため、IP アドレス範囲が過度に広いとしてフラグが設定されることはありません。ただし、同じルールの TCP ポート範囲が部分的にしか使用されていない場合、そのルールは過度に緩いものとしてフラグが設定されます。
プロジェクトに、ロードバランサのヘルスチェックや他の Google Cloud 機能のために特定の IP アドレス ブロックへのアクセスを許可するファイアウォール ルールが存在する場合があります。これらの IP アドレスはヒットしない可能性がありますが、ファイアウォール ルールから削除しないでください。これらの範囲の詳細については、Compute Engine のドキュメントをご覧ください。
ML の予測
前のセクションで説明したように、2 つの分析情報(ヒットなしの allow ルールと未使用の属性を含む allow ルール)では ML の予測が使用されます。
予測を生成するため、ファイアウォール インサイトは、同じ組織内のファイアウォール ルールを使用して ML モデルをトレーニングします。ファイアウォール インサイトは、このように一般的なパターンを学習します。たとえば、ファイアウォール インサイトは、ヒットする可能性の高い属性の組み合わせを学習します。これらの属性には、IP アドレス範囲、ポート範囲、IP プロトコルを含めることができます。
ファイアウォール ルールに、ヒットする可能性が高い一般的なパターンが含まれている場合、ファイアウォール インサイトは、そのルールが今後ヒットする可能性を高く評価します。その逆も当てはまります。
予測を使用する各分析情報について、ファイアウォール インサイトは、分析情報によって特定されたルールに類似するルールの詳細を表示します。たとえば、[分析情報の詳細] パネルでは、予測対象のルールに最も近い 3 つのルールの詳細を確認できます。2 つのルールの属性が重なるほど、類似していると見なされます。
ヒットなしの allow ルールについて、次の例で考えてみましょう。
ルール A に次の属性があるとします。
Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80
ルール B に次の属性があるとします。
Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80
この 2 つのルールは、同じターゲットタグ、プロトコル属性、ポート属性を共有しています。異なるのはソース属性のみです。これらは類似していると見なされます。
使用されていない属性を持つ allow ルールの場合も、類似性は同様に決定されます。この分析情報の場合、構成に同じ属性が含まれていれば、ファイアウォール インサイトは類似ルールと見なします。