Firewall Insights – Übersicht

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Mit Firewall Insights können Sie Ihre Firewallregeln besser verstehen und sicher optimieren. Es enthält Daten zur Verwendung Ihrer Firewallregeln, zeigt Konfigurationsfehler auf und identifiziert Regeln, die strikter sein könnten. Außerdem nutzt es maschinelles Lernen, um die zukünftige Nutzung Ihrer Firewall-Regeln vorherzusagen. So können Sie fundierte Entscheidungen darüber treffen, ob Sie Regeln, die Ihnen zu moderat erscheinen, entfernen oder verschärfen sollten.

Firewall Insights verwendet Cloud Monitoring-Messwerte und Recommender-Statistiken. Hintergrundinformationen zu diesen Produkten finden Sie in der folgenden Dokumentation:

Vorteile

Firewall Insights bietet Messwerte und Insights, mit denen Sie bessere Entscheidungen über Ihre Firewallregeln treffen können.

Mit Messwerten von Firewall Insights können Sie die folgenden Aufgaben ausführen:

  • Stellen Sie sicher, dass die Firewall-Regeln ordnungsgemäß verwendet werden.
  • Stellen Sie in bestimmten Zeiträumen sicher, dass die Firewall-Regeln die beabsichtigten Verbindungen zulassen oder blockieren
  • Führen Sie ein Live-Debugging von Verbindungen durch, die aufgrund von Firewall-Regeln versehentlich getrennt wurden.
  • Erkennen Sie böswillige Zugriffsversuche auf Ihr Netzwerk unter anderem dadurch, dass sie Warnungen über signifikante Änderungen in der Trefferquote von Firewall-Regeln erhalten.

Mit Statistiken können Sie die folgenden Aufgaben ausführen:

  • Identifizieren Sie Firewall-Fehlkonfigurationen für Firewallregeln, die entweder IPv4- oder IPv6-IP-Adressbereiche enthalten.
  • Optimieren Sie Firewallregeln und verschärfen Sie die Sicherheitsgrenzen. Identifizieren Sie dazu zu weit gefasste allow-Regeln und prüfen Sie Vorhersagen über deren zukünftige Nutzung.
  • Planen Sie einen benutzerdefinierten Zyklus, um Statistiken zu verdeckten Regeln zu aktualisieren.

Messwerte

Mit den Firewall Insights-Messwerten können Sie die Verwendung Ihrer Firewallregeln analysieren. Diese Messwerte sind über Cloud Monitoring und die Google Cloud Console abrufbar.

Messwerte werden über vom Logging von Firewallregeln abgeleitet. Sie sind nur für Regeln verfügbar, für die das Firewallregel-Logging aktiviert ist, und sind nur für den Zeitraum korrekt, in dem das Logging von Firewallregeln aktiviert ist. Außerdem werden Firewall-Messwerte nur für Traffic generiert, der den Spezifikationen für das Logging von Firewallregeln entspricht. Daten werden beispielsweise protokolliert und Messwerte werden nur für TCP- und UDP-Traffic generiert. Eine vollständige Liste der Kriterien finden Sie unter Spezifikationen in der Übersicht über das Firewallregel-Logging.

Metriken für die Anzahl der Firewall-Treffer

Der Messwert firewall_hit_count erfasst, wie oft eine Firewallregel verwendet wurde, um Traffic zuzulassen oder abzulehnen.

Cloud Monitoring speichert für jede Firewallregel Daten für den Messwert firewall_hit_count nur, wenn die Regel aufgrund von TCP- oder UDP-Traffic Treffern hat. Das heißt, Cloud Monitoring speichert keine Daten zu Regeln, die keine Treffer hatten.

Sie können die aus diesem Messwert abgeleiteten Daten auch auf den folgenden Seiten in der Google Cloud Console aufrufen:

  • Die Seite Firewall

  • Die Seite Netzwerkschnittstellendetails für eine VM-Instanz von Compute Engine

Die Daten auf diesen Seiten sind nicht mit den in Cloud Monitoring gespeicherten Messwertdaten firewall_hit_count identisch. Während Cloud Monitoring beispielsweise keine Regeln ohne Treffer explizit identifiziert, zeigt die Google Cloud Console für eine Regel die Trefferanzahl null an, wenn bestimmte Bedingungen erfüllt sind. Das heißt, in der Google Cloud Console wird eine Anzahl von null Treffern angezeigt, wenn Logging für die Firewallregel aktiviert war und Cloud Monitoring keine Treffer für die Regel aufgezeichnet hat. Dieser Status kann für Regeln auftreten, die so konfiguriert sind, dass sie TCP, UDP, ICMP oder einen anderen Traffictyp zulassen oder ablehnen.

Dieses Verhalten unterscheidet sich von der Statistik Zulassungsregeln ohne Treffer. Wenn bei dieser Statistik Regeln ohne Treffer ermittelt werden, werden Firewallregeln weggelassen, die so konfiguriert sind, dass sie anderen Traffic als TCP oder UDP zulassen. Dies gilt sogar dann, wenn diese Regeln auch TCP- oder UDP-Traffic zulassen.

Firewall – letzte Metriken

Sie können sehen, wann eine bestimmte Firewall-Regel das letzte Mal zur Anwendung kam, um Traffic zuzulassen oder zu verweigern. Zeigen Sie dazu die firewall_last_used_timestamp-Messwerte an. Anhand dieser Messwerte können Sie feststellen, welche Firewallregeln in letzter Zeit nicht verwendet wurden.

Dieser Messwert erfasst die Gesamtzahl der Treffer in den letzten 24 Monaten oder für langes Logging, je nachdem, welcher Wert niedriger ist. Dieser Zeitraum wird durch den Aufbewahrungszeitraum für das Cloud Logging bestimmt. Wenn der letzte Treffer vor mehr als 24 Monaten aufgetreten ist, wird last hit time als N/A (not applicable) angezeigt.

Insights

Statistiken liefern Analysen über die Konfiguration Ihrer Firewall-Regeln und die Nutzung Ihrer Firewall-Regeln. Sie verwenden den Statistikentyp google.compute.firewall.Insight.

Kategorien und Zustände von Statistiken

In diesem Abschnitt werden die Kategorien von Firewall Insights und die Zustände beschrieben, die eine Statistik haben kann.

Statistikkategorien

Innerhalb von Firewall Insights fallen Informationen in zwei allgemeine Kategorien: Diese Kategorien werden in der folgenden Tabelle beschrieben.

Kategorie Beschreibung Statistiken
Konfigurationsbasiert Diese Informationen werden anhand von Daten zur Konfiguration Ihrer Firewallregeln generiert. Verdeckte Regeln
Logbasiert Diese Statistiken werden basierend auf dem Logging über die Verwendung Ihrer Firewall-Regeln sowie auf Informationen über die Konfiguration der Regeln gewonnen.
  • Zu moderate Regeln
    • Allow-Regeln ohne Treffer
    • Allow-Regeln mit nicht verwendeten Attributen
    • Allow-Regeln mit zu moderaten IP-Adress- oder Portbereichen
  • Deny-Regeln mit Treffern

Statistikzustände

Jede Erkenntnis kann einen der folgenden Zustände haben, den Sie wie in der folgenden Tabelle beschrieben ändern können.

Status Beschreibung
ACTIVE Die Erkenntnis ist aktiv. Google aktualisiert weiterhin Inhalte für ACTIVE-Insights basierend auf den neuesten Informationen.
DISMISSED

Die Insight wird verworfen und keinem Nutzer mehr in einer aktiven Insight-Liste angezeigt. Sie können den Zustand DISMISSED auf der Seite verworfener Verlauf wieder auf ACTIVE wiederherstellen.

Weitere Informationen finden Sie unter Statistik als geschlossen markieren.

Verdeckte Regeln

Firewall Insights analysiert Ihre Firewall-Regeln, um Firewall-Regeln zu erkennen, die von anderen Regeln verdeckt werden. Eine verdeckte Regel ist eine Firewall-Regel, bei der alle relevanten Attribute, wie z. B. die IP-Adresse und die Port-Bereiche, von Attributen einer oder mehrerer Regeln mit höherer oder gleicher Priorität, den sogenannten verdeckten Regeln, überlagert werden.

Firewall Insights identifiziert nicht alle möglichen verdeckenden Regeln. Sie stellt insbesondere nicht fest, dass die Tags der Firewall-Regel von mehreren Tags anderer Firewall-Regeln verdeckt wurden.

Im Recommender-Framework hat jeder Statistik-Untertyp einen Schweregrad. Für Informationen zu verdeckten Regeln ist der Schweregrad medium. Weitere Informationen finden Sie in der Dokumentation zu Recommender unter Schweregrad.

Beispiele für verdeckte Regeln

In diesem Beispiel haben einige verdeckte und verdeckende Regeln überlappende Quell-IP-Bereichsfilter und andere unterschiedliche Regelprioritäten.

Die folgende Tabelle zeigt die Firewall-Regeln A bis E. Informationen zu verschiedenen verdeckten Regelszenarien finden Sie in den Abschnitten nach der Tabelle.

Typ Ziele Filter Protokolle oder Ports Aktion Priorität
Firewall-Regel A. Ingress Auf alle anwenden 10.10.0.0/16 tcp:80 Allow 1000
Firewall-Regel B. Ingress Auf alle anwenden 10.10.0.0/24 tcp:80 Allow 1000
Firewall-Regel C. Eingehender Traffic web 10.10.2.0/24 tcp:80
tcp:443
Allow 1000
Firewall-Regel D. Eingehender Traffic web 10.10.2.0/24 tcp:80 Ablehnen 900
Firewall-Regel E. Ingress web 10.10.2.0/24 tcp:443 Ablehnen 900

Beispiel 1: Firewall-Regel B wird von Firewall-Regel A verdeckt

In diesem Beispiel gibt es zwei Firewall-Regeln, A und B. Diese Regeln sind bis auf die Quell-IP-Bereichsfilter nahezu identisch. Der IP-Bereich der Firewall-Regel A beträgt 10.10.0.0/16, während der Adressbereich der Firewall-Regel B 10.10.0.0/24 beträgt. Somit wird die Firewall-Regel B von der Firewall-Regel A verdeckt.

Die Erkenntnis shadowed firewall rules weist normalerweise auf eine Fehlkonfiguration der Firewall hin. Beispielsweise ist die IP-Filtereinstellung von Firewall-Regel A unnötig zu weit gefasst, oder die Filtereinstellung von Firewall-Regel B ist zu restriktiv und wird nicht benötigt.

Beispiel 2: Die Firewall-Regel C wird von den Firewall-Regeln D und E verdeckt

In diesem Beispiel gibt es drei Firewall-Regeln: C, D und E. Die Firewall-Regel C ermöglicht das Eindringen von HTTP-Port 80 und HTTPS-Port 443 Web-Traffic und hat eine Priorität von 1000 (Standardpriorität). Die Firewall-Regeln D und E verweigern das Eindringen von HTTP- bzw. HTTPS-Webtraffic und haben beide eine Priorität von 900 (hohe Priorität). Somit wird die Firewall C durch die kombinierten Firewall-Regeln D und E verdeckt.

Zu moderate Regeln

Firewall Insights bietet umfassende Analysen dazu, ob Ihre Firewallregeln zu moderat sind. Diese Analyse enthält die folgenden Statistiken:

Wie unter Vorhersagen für maschinelles Lernen beschrieben, enthalten einige dieser Statistiken Vorhersagen darüber, ob eine Regel oder ein Attribut wahrscheinlich in Zukunft erreicht wird.

Die von diesen Statistiken bereitgestellten Daten basieren auf dem Logging von Firewallregeln. Diese Daten sind nur korrekt, wenn das Logging von Firewallregeln für den gesamten Beobachtungszeitraum kontinuierlich aktiviert ist. Andernfalls kann die tatsächliche Anzahl der Regeln in den einzelnen Statistikkategorien höher sein als angegeben.

Statistiken mit zu vielen Berechtigungen werden TCP- und UDP-Traffic ausgewertet. Andere Arten von Traffic werden nicht analysiert. Weitere Informationen finden Sie in der Beschreibung der einzelnen Statistiken.

Im Recommender-Framework hat jeder Statistik-Untertyp einen Schweregrad. Bei zu freizügigen Regelstatistiken ist der Schweregrad high. Weitere Informationen finden Sie in der Recommender-Dokumentation unter Schweregrad.

Zulassungsregeln ohne Treffer

Bei dieser Statistik werden allow-Regeln ermittelt, die während des Beobachtungszeitraums keine Treffer hatten.

Außerdem wird in dieser Statistik für jede identifizierte Regel die Wahrscheinlichkeit angezeigt, mit der sie wahrscheinlich in der Zukunft zur Anwendung kommt. Diese Vorhersage wird durch eine Analyse des maschinellen Lernens (ML) erstellt, bei der das historische Trafficmuster dieser Regel und ähnlicher Regeln in derselben Organisation berücksichtigt wird.

Damit Sie die Vorhersage besser verstehen, werden in der Statistik ähnliche Regeln im selben Projekt wie die Regel identifiziert, die von der Statistik identifiziert wurde. In der Statistik wird die Trefferanzahl dieser Regeln aufgelistet und ihre Konfigurationsdetails zusammengefasst. Diese Details enthalten die Priorität und Attribute jeder Regel, z. B. IP-Adresse und Portbereiche.

Allow rules with no hits wertet Firewallregeln aus, die für TCP- und UDP-Traffic erzwungen werden. Wenn eine Firewallregel einen anderen Traffictyp zulässt, ist sie nicht in dieser Analyse enthalten.

Informationen zu den von Firewall Insights verwendeten Vorhersagen finden Sie unter Vorhersagen für maschinelles Lernen.

Allow-Regeln mit nicht verwendeten Attributen

Für allow-Regeln, die während des Beobachtungszeitraums zur Anwendung kamen, gibt diese Statistik alle Attribute dieser Regel, wie IP-Adressen und Portbereiche, an, die im gleichen Zeitraum nicht verwendet wurden.

Für diese nicht verwendeten Attribute wird die Wahrscheinlichkeit angegeben, ob sie in Zukunft Verwendung finden werden. Diese Vorhersage basiert auf einer ML-Analyse, die die bisherigen Trafficmuster dieser Regel und ähnliche Regeln in derselben Organisation berücksichtigt.

Zum besseren Verständnis der Vorhersage fasst die Statistik andere Firewallregeln im selben Projekt mit ähnlichen Attributen zusammen. Diese Zusammenfassung enthält Daten darüber, ob die Attribute dieser Regeln erreicht wurden.

Allow rules with unused attributes wertet nur Attribute aus, die für TCP- und UDP-Traffic definiert sind. Wenn eine Regel neben TCP und UDP andere Traffictypen zulässt, kann die Regel in diese Analyse aufgenommen werden. Die Attribute, die für andere Traffictypen gelten, werden jedoch nicht analysiert.

Angenommen, eine Regel lässt sowohl TCP- als auch ICMP-Traffic zu. Wenn der zulässige IP-Adressbereich nicht verwendet wird, gilt der Adressbereich nicht als ungenutzt, da er möglicherweise für ICMP-Traffic verwendet wird. Wenn dieselbe Regel jedoch einen nicht verwendeten TCP-Portbereich hat, wird die Regel als zu weit gefasst gekennzeichnet.

Informationen zu den von Firewall Insights verwendeten Vorhersagen finden Sie unter Vorhersagen für maschinelles Lernen.

Allow-Regeln mit zu moderaten IP-Adress- oder Portbereichen

Bei allow-Regeln, die während des Beobachtungszeitraums zur Anwendung kamen, erkennt diese Statistik Regeln, die möglicherweise zu viele IP-Adressbereiche oder Portbereiche haben.

Diese Erkenntnis ist nützlich, da Firewallregeln häufig mit einem größeren Umfang erstellt werden, als erforderlich ist. Ein zu breit angelegter Bereich kann zu Sicherheitsrisiken führen.

Anhand dieser Informationen lässt sich dieses Problem mindern. Dazu wird die tatsächliche Nutzung der IP-Adresse und der Portbereiche von Regeln analysiert. Bei Regeln mit zu breiten Bereichen werden auch alternative IP-Adress- und Portbereiche empfohlen. Mit diesem Wissen können Sie die Bereiche entfernen, die basierend auf den Trafficmustern während des Beobachtungszeitraums als nicht erforderlich angesehen werden.

Allow rules with overly permissive IP address or port ranges wertet nur Attribute aus, die für TCP- und UDP-Traffic definiert sind. Wenn eine Regel neben TCP und UDP andere Traffictypen zulässt, kann die Regel in diese Analyse aufgenommen werden. Die Attribute, die sich auf andere Arten von Traffic beziehen, werden jedoch nicht analysiert.

Angenommen, eine Regel lässt sowohl TCP- als auch ICMP-Traffic zu. Wenn der zulässige IP-Adressbereich nur teilweise verwendet wird, kennzeichnet die Statistik den IP-Adressbereich nicht zu umfassend, da er möglicherweise für ICMP-Traffic verwendet wird. Wenn dieselbe Regel jedoch einen TCP-Portbereich hat, der nur teilweise verwendet wird, wird die Regel als zu weit gefasst gekennzeichnet.

Beachten Sie, dass Ihr Projekt Firewallregeln enthalten kann, die den Zugriff von bestimmten IP-Adressblöcken für Load-Balancer-Systemdiagnosen oder für andere Google Cloud-Funktionen zulassen. Diese IP-Adressen sind zwar nicht betroffen, sollten aber nicht aus Ihren Firewall-Regeln entfernt werden. Weitere Informationen zu diesen Bereichen finden Sie in der Compute Engine-Dokumentation.

Vorhersagen durch maschinelles Lernen

Wie in den vorangegangenen Abschnitten beschrieben, verwenden zwei Statistiken – allow-Regeln, die nicht zur Anwendung kamen und allow-Regeln mit nicht verwendeten Attributen – ML-Vorhersagen.

Um Vorhersagen zu erstellen, trainiert Firewall Insights ein ML-Modell für alle Firewall-Regeln in einer Organisation. Auf diese Weise lernt Firewall Insights gängige Muster. Beispielsweise lernt Firewall Insights über Kombinationen von Attributen, die in der Regel betroffen sind. Diese Attribute können IP-Adressbereiche, Portbereiche und IP-Protokolle enthalten. Wenn die analysierte Firewall-Regel einige der häufigen Muster enthält, die in der Vergangenheit öfters Anwendung fanden, hat Firewall Insights ein höheres Vertrauen, dass die Regel in Zukunft angewendet werden könnte. Dies gilt auch umgekehrt.

Für jede Statistik, die Vorhersagen verwendet, zeigt Firewall Insights Details zu Regeln an, die als ähnlich zu der von der Statistik identifizierten Regel angesehen werden. Genauer gesagt werden im Bereich Statistikdetails von Firewall Insights Details zu den drei Regeln angezeigt, die der Regel am nächsten sind, die der Vorhersage unterliegt. Je mehr Überschneidungen zwischen den Attributen zweier Regeln bestehen, desto ähnlicher werden sie betrachtet.

Betrachten Sie für allow-Regeln, die nicht zur Anwendung kamen, das folgende Beispiel:

Angenommen, Regel A hat die folgenden Attribute:

Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80

Angenommen, Regel B hat die folgenden Attribute:

Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80

Diese beiden Regeln haben die gleichen Ziel-Tags, Protokollattribute und Portattribute. Sie unterscheiden sich nur im Quellattribut. Aus diesem Grund werden sie als ähnlich betrachtet.

Bei allow-Regeln mit nicht verwendeten Attributen wird die Ähnlichkeit auf die gleiche Weise ermittelt. Für diese Statistik betrachtet Firewall Insights Regeln als ähnlich, wenn ihre Konfiguration die gleichen Attribute enthält.

Deny-Regeln mit Treffern

Diese Statistik enthält Details zu deny-Regeln, die während des Beobachtungszeitraums zur Anwendung kamen.

Diese Informationen liefern Ihnen Paket-Drop-Signale für die Firewall. Sie können dann prüfen, ob die verlorenen Pakete aufgrund von Sicherheitsvorkehrungen erwartet werden oder ob sie das Ergebnis einer falschen Netzwerkkonfiguration sind.

Hier können Sie Metriken und Erkenntnisse anzeigen

Sie können sich Firewall Insights-Messwerte und -Statistiken an folgenden Stellen in der Google Cloud Console ansehen:

Weitere Informationen