Nesta página, descrevemos as categorias e os estados do Firewall Insights.
Os insights analisam a configuração e o uso da regra de firewall usando o tipo de insight google.compute.firewall.Insight.
Categorias de insight
No Firewall Insights, os insights se enquadram nas duas categorias gerais descritas na tabela a seguir.
| Categoria | Descrição | Insights |
|---|---|---|
| Baseada em configuração | Os insights são gerados com base nos dados sobre como você configurou as regras de firewall. | Regras ocultas |
| Com base em registros | Os insights são gerados com base na geração de registros sobre o uso das regras de firewall e informações sobre como você as configurou. |
Regras excessivamente permissivas
Regras |
Cada subtipo de insight tem um nível de gravidade. Por exemplo, para insights de regras
sombreadas, o nível de gravidade é medium. Para mais informações, consulte Gravidade na documentação do recomendador.
Estados de insight
Cada insight pode ter um dos seguintes estados, que podem ser alterados conforme descrito na tabela a seguir.
| Estado | Descrição |
|---|---|
ACTIVE |
O insight está ativo. O Google continua a atualizar o conteúdo de ACTIVE com base nas informações mais recentes. |
DISMISSED |
O insight é dispensado e não é mais exibido para os usuários nas
listas de insights ativos. É possível restaurar o estado Para mais informações, consulte Como marcar um insight como descartado. |
Regras ocultas
As regras ocultas compartilham atributos, como endereços IP, com outras regras com prioridade mais alta ou igual, chamadas de regras de sombreamento. O Firewall Insights analisa suas regras de firewall VPC e políticas de firewall para detectar essas regras sombreadas.
- Para políticas de firewall atribuídas a uma rede VPC, é possível ver insights sobre uma regra de política sombreada por uma regra de VPC na mesma política ou em qualquer outra.
- Políticas hierárquicas de firewall, políticas globais de firewall de rede e regras de firewall VPC são avaliadas com base na ordem de avaliação de políticas e regras. Por exemplo, no caso de políticas de firewall de rede global, é possível receber insights sobre qual regra de política de firewall de rede global é sombreada por uma regra de firewall da VPC com base na ordem de avaliação de regras.
- Se você tiver regras de firewall com tags seguras em uma política de firewall de rede global, será possível ver insights sobre essas regras que acompanham umas às outras na mesma política global. Para mais informações, consulte Tags para firewalls.
O Firewall Insights não identifica todas as regras de sombreamento possíveis. Especificamente, ele não identifica que várias tags de outras regras de firewall ocultaram as tags de uma regra de firewall.
Exemplos de regras sombreadas
Neste exemplo, algumas regras sombreadas e de sombreamento têm filtros de intervalo de IP de origem sobrepostos e outras têm prioridades de regras diferentes.
A tabela a seguir mostra as regras de firewall A a E. Para diferentes cenários de regras
sombreadas, consulte as seções que seguem a tabela.
| Política de firewall |
Tipo | Metas | Filtros | Protocolos ou portas |
Ação | Priority | |
|---|---|---|---|---|---|---|---|
| Regra de firewall A | X | Entrada | Aplicar a todas | 10.10.0.0/16 | tcp:80 | Allow | 1000 |
| Regra de firewall B | Sim | Entrada | Aplicar a todas | 10.10.0.0/24 | tcp:80 | Allow | 1000 |
| Regra de firewall C | - | Entrada | web | 10.10.2.0/24 | tcp:80 tcp:443 | Allow | 1000 |
| Regra de firewall D | - | Entrada | web | 10.10.2.0/24 | tcp:80 | Negar | 900 |
| Regra de firewall E | - | Entrada | web | 10.10.2.0/24 | tcp:443 | Negar | 900 |
Exemplo 1: a regra de firewall B é sombreada pela regra de firewall A
Neste exemplo, existem duas regras de firewall, A e B. Essas regras são quase
idênticas, exceto pelos filtros de intervalo de endereços IP de origem. Por exemplo, o intervalo de endereços IP de A é 10.10.0.0/16, enquanto o intervalo de endereços IP de B é 10.10.0.0/24. Assim, a regra de firewall B é sombreada pela regra de firewall A.
O insight shadowed firewall rules geralmente indica uma configuração incorreta de firewall. Por exemplo, a configuração de filtro de endereço IP de A é ampla, ou a configuração de filtro de B é muito restritiva e desnecessária.
Exemplo 2: a regra de firewall C é sombreada pelas regras de firewall D e E
Neste exemplo, existem três regras de firewall: C, D e E. A regra de firewall C permite a entrada do tráfego da Web das portas HTTP 80 e HTTPS 443 e tem uma prioridade de 1000 (prioridade padrão). Por outro lado, as regras de firewall D e E negam a entrada de tráfego da Web HTTP e HTTPS, respectivamente, e ambas têm uma prioridade de 900 (alta prioridade). Assim, a regra de firewall C é sombreada pelas regras de firewall D e E combinadas.
Exemplo 3: a regra de firewall B na política de firewall Y é sombreada pela regra de firewall A na política X
Neste exemplo, existem duas regras de firewall, A e B. A regra de firewall A está na política X associada à pasta Folder1, enquanto a regra de firewall B está na política Y associada à pasta Folder2. As pastas Folder1 e Folder2 estão no mesmo nó da organização, sendo Folder2 filho de Folder1. Essas duas regras são idênticas, exceto pelo intervalo de endereços IP de origem. Esse insight indica que a regra de firewall B na política Y é desnecessária porque já foi coberta pela regra de firewall A na política X. Assim, a regra de firewall B na política Y é sombreada pela regra A na política X.
Exemplo 4: a regra de firewall B na política de firewall de rede global Y é sombreada pela regra de firewall A
Neste exemplo, existem duas regras de firewall, A e B. As duas regras de firewall A e B estão na rede Network1, mas a regra de firewall B está na política de firewall de rede global Y.
A ordem de aplicação da política de firewall da política Y é AFTER_CLASSIC_FIREWALLS.
Essas duas regras são quase idênticas, exceto pelo intervalo de endereços IP de origem.
Esse insight indica que a regra B na política Y é desnecessária, uma vez que já está coberta pela regra A. Assim, a regra de firewall B na política Y é sombreada pela regra de firewall A.
Negar regras com ocorrências
Esse insight fornece detalhes sobre as regras deny que tiveram hits durante o período de observação.
Esses insights fornecem sinais de queda de pacote do firewall. É possível verificar se os pacotes descartados são esperados devido a proteções de segurança ou se resultam de configurações incorretas da rede.
Regras excessivamente permissivas
O Firewall Insights fornece uma análise abrangente das regras de firewall. Esta análise inclui os seguintes insights:
- Regras de permissão sem ocorrências
- Permitir regras obsoletas com base na análise adaptativa
- Regras de permissão com atributos não utilizados
- Permitir regras com intervalos de portas ou endereços IP excessivamente permissivos
Os dados fornecidos por esses insights são da geração de registros de regras de firewall. Portanto, esses dados só serão precisos se você tiver ativado a geração de registros de regras de firewall durante todo o período de observação. Caso contrário, o número de regras em cada categoria de insight poderá ser maior que o indicado.
Insights de regra excessivamente permissivos avaliam o tráfego TCP e UDP. Outros tipos de tráfego não são analisados. Para mais detalhes, consulte a descrição de cada insight.
Cada subtipo de insight tem um nível de gravidade. Por exemplo, o nível de gravidade é high para insights de regra excessivamente permissivos. Para mais informações, consulte Gravidade na documentação do recomendador.
Regras de permissão sem ocorrências
Esse insight identifica regras allow que não tiveram ocorrências durante o período de observação.
É possível conferir as previsões de machine learning para cada regra, a fim de analisar a probabilidade de uma regra ou atributo ser atingido no futuro. Essa previsão é produzida por uma análise de machine learning que considera o padrão de tráfego histórico dessa regra e de regras semelhantes na mesma organização.
Para ajudar você a entender a previsão, esse insight identifica regras semelhantes no mesmo projeto que a regra identificada pelo insight. O insight lista a contagem de hits dessas regras e resume os detalhes de configuração delas. Esses detalhes incluem a prioridade e os atributos de cada regra, como o endereço IP e os intervalos de portas.
Allow rules with no hits avalia as regras de firewall aplicadas ao tráfego TCP
e UDP. Se uma regra de firewall permitir qualquer outro tipo de tráfego, ela não será incluída nesta análise.
Permitir regras obsoletas com base na análise adaptativa
Esse insight identifica regras allow que têm menor chance de serem ativas com base
em padrões de uso e na análise adaptativa. O insight é produzido por uma
análise de machine learning que considera a contagem média de hits nas últimas seis
semanas e a análise adaptativa recente de contagens de hits. No entanto, se a regra nunca esteve
ativa desde que o rastreamento de contagens de hits começou, ela também poderá ser incluída no
insight até ficar ativa novamente.
Por exemplo, suponha que uma regra de firewall foi hit com frequência durante as últimas semanas do período de observação e parou de ser hit por vários dias. Nesse caso, talvez você veja esse insight sobre essa regra, indicando uma alteração no padrão de uso. No entanto, as regras de firewall são analisadas para identificar esses hits infrequentes, mas ativos. Essas regras ativas não aparecem nesse insight.
No caso de cada regra, se a análise de machine learning identificá-la como inativa, será possível visualizar insights com base na análise adaptativa mais rapidamente e antes do final do período de observação. Por exemplo, você pode começar a receber insights com base na análise adaptativa após a primeira semana do período de observação, mesmo que ele seja de 12 meses.
Após o final do período de observação, é possível visualizar insights com base nos dados coletados pela geração de registros de regras de firewall durante todo o período de observação.
Regras de permissão com atributos não utilizados
Esse insight identifica regras allow que têm atributos como endereços IP
e intervalos de porta que não foram atingidos durante o período de observação.
Para cada regra identificada, esse insight também informa a probabilidade de a regra ser hit no futuro. Essa previsão é baseada em previsões de machine learning que consideram os padrões históricos de tráfego dessa regra e de regras semelhantes na mesma organização.
Para ajudar você a entender a previsão, o insight resume outras regras de firewall no mesmo projeto que têm atributos semelhantes. Esse resumo inclui dados sobre a ocorrência dos atributos dessas regras.
Allow rules with unused attributes avalia apenas os atributos definidos
para o tráfego TCP e UDP. Se uma regra permitir outros tipos de tráfego além de TCP e UDP, ela poderá ser incluída nessa análise. No entanto, os atributos relacionados
a outros tipos de tráfego não são analisados.
Por exemplo, suponha que uma regra permita o tráfego TCP e ICMP. Se o intervalo de endereços IP permitido parecer não utilizado, ele não será considerado não utilizado porque pode ser usado para tráfego ICMP. No entanto, se a mesma regra tiver um intervalo de portas TCP não utilizado, ela será sinalizada como excessivamente permissiva.
Permitir regras com intervalos de portas ou endereços IP excessivamente permissivos
Esse insight identifica regras allow que podem ter endereços IP
ou intervalos de portas muito amplos.
As regras de firewall geralmente são criadas com um escopo mais amplo do que o necessário. Um escopo excessivamente amplo pode levar a riscos de segurança.
Esse insight ajuda a atenuar esse problema analisando o uso real do endereço IP e os intervalos de portas das regras de firewall. Ele também sugere uma combinação alternativa de endereços IP e intervalos de portas para regras com intervalos muito amplos. Com esse conhecimento, é possível remover os intervalos de portas desnecessários com base em padrões de tráfego durante o período de observação.
Allow rules with overly permissive IP address or port ranges avalia apenas
os atributos definidos para o tráfego TCP e UDP. Se uma regra permitir outros tipos de tráfego além de TCP e UDP, ela poderá ser incluída nessa análise.
No entanto, os atributos relacionados a outros tipos de tráfego não são analisados.
Por exemplo, suponha que uma regra permita o tráfego TCP e ICMP. Se o intervalo de endereços IP permitido parecer usado apenas parcialmente, o insight não vai sinalizar o intervalo de endereços IP como excessivamente amplo, porque ele pode ser usado para tráfego ICMP. No entanto, se a mesma regra tiver um intervalo de portas TCP usado apenas parcialmente, ela será sinalizada como excessivamente permissiva.
Tenha em mente que o projeto pode ter regras de firewall que permitem o acesso de determinados blocos de endereços IP para verificações de integridade do balanceador de carga ou para outra funcionalidade do Google Cloud. Esses endereços IP podem não ocorrer, mas não podem ser removidos das suas regras de firewall. Para mais informações sobre esses intervalos, consulte a documentação do Compute Engine.
Previsões de machine learning
Conforme descrito nas seções anteriores, dois insights (regras allow sem hits e regras allow com atributos não utilizados) usam previsões de machine learning.
Para gerar previsões, o Firewall Insights treina um modelo de machine learning usando regras de firewall na mesma organização. Dessa forma, o Firewall Insights aprende padrões comuns. Por exemplo, o Firewall Insights aprende sobre combinações de atributos que tendem a ser atingidos. Esses atributos podem incluir intervalos de endereços IP, intervalos de portas e protocolos de IP.
Se a regra de firewall contiver padrões comuns que mostram que a regra provavelmente será hit, o Firewall Insights terá mais confiança de que a regra poderá ser hit no futuro. O inverso também é verdadeiro.
Para cada insight que usa previsões, o Firewall Insights mostra detalhes sobre as regras que foram consideradas semelhantes à regra identificada pelo insight. Por exemplo, no painel Detalhes do insight, é possível ver detalhes sobre as três regras mais semelhantes à regra que é o assunto da previsão. Quanto maior for a sobreposição entre os atributos das duas regras, mais semelhantes serão consideradas.
Para regras allow sem ocorrências, considere o exemplo a seguir:
Suponha que a regra A tenha os seguintes atributos:
Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80
Suponha que a regra B tenha os atributos a seguir:
Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80
Essas duas regras compartilham as mesmas tags de destino, protocolo e atributos de porta. Elas diferem apenas nos atributos de origem. Por esse motivo, elas são consideradas semelhantes.
Para regras allow com atributos não utilizados, a similaridade é determinada da mesma maneira. Para esse insight, o Firewall Insights considera regras semelhantes quando a configuração delas inclui os mesmos atributos.