Descripción general de Firewall Insights

Con las Estadísticas de firewall, puedes comprender mejor y optimizar de forma segura tus reglas de firewall. Proporciona datos sobre cómo se usan las reglas de firewall, expone una configuración incorrecta y, además, identifica reglas que se pueden hacer más estrictas. También usa el aprendizaje automático para predecir el uso futuro de tus reglas de firewall a fin de que puedas tomar decisiones fundamentadas sobre si quitar o ajustar reglas que parecen ser demasiado permisivas.

Las Estadísticas de firewall usan métricas de Cloud Monitoring y estadísticas del recomendador. Para obtener información general sobre estos productos, consulta la siguiente documentación:

Ventajas

Estadísticas de firewall produce métricas y estadísticas que te permiten tomar mejores decisiones sobre tus reglas de firewall.

Con las métricas de Estadísticas de firewall, puedes realizar las siguientes tareas:

  • Verificar que las reglas de firewall se usen de la manera prevista.
  • Durante los períodos específicos, verificar que las reglas de firewall permitan o bloqueen las conexiones previstas.
  • Realizar una depuración en tiempo real de las conexiones que se interrumpen de forma involuntaria debido a las reglas de firewall.
  • Descubre intentos maliciosos de acceder a tu red, en parte mediante la recepción de alertas sobre cambios significativos en los recuentos de hits de las reglas de firewall.

Con las estadísticas, puedes realizar las siguientes tareas:

  • Identificar configuraciones incorrectas de firewall.
  • Identificar ataques de seguridad.
  • Optimiza las reglas de firewall y ajusta los límites de seguridad mediante la identificación de reglas allow demasiado permisivas y la revisión de las predicciones sobre su uso futuro.

Métricas

Las métricas de las Estadísticas de firewall te permiten analizar la forma en que se usan tus reglas de firewall. Estas métricas están disponibles a través de Cloud Monitoring y Google Cloud Console.

Las métricas se derivan del registro de reglas de firewall. Solo están disponibles para las reglas que tienen habilitado el registro de las reglas de firewall y son precisas durante el período durante el cual se habilita el registro de reglas de firewall. Además, las métricas de firewall se generan solo para el tráfico que se ajusta a las especificaciones del registro de reglas de firewall. Por ejemplo, los datos se registran, y las métricas generadas, solo para el tráfico de TCP y UDP. Para obtener una lista completa de criterios, consulta Especificaciones en la descripción general de Registros de reglas de firewall.

Métricas de recuento de hit de firewall

La métrica firewall_hit_count realiza un seguimiento de la cantidad de veces que se usó una regla de firewall para permitir o denegar el tráfico.

Para cada regla de firewall, Cloud Monitoring almacena datos de la métrica firewall_hit_count solo si la regla tuvo hits debido al tráfico de TCP o UDP. Es decir, Cloud Monitoring no almacena datos sobre reglas que no tuvieron hits.

También puedes ver los datos derivados de esta métrica en las siguientes páginas en Cloud Console:

Los datos de estas páginas no son idénticos a los datos de métrica de firewall_hit_count almacenados en Cloud Monitoring. Por ejemplo, si bien Cloud Monitoring no identifica de forma explícita las reglas sin hits, la consola de Cloud muestra un recuento de hits de cero para una regla si se cumplen ciertas condiciones. Es decir, la consola de Cloud muestra un recuento de hits de cero si la regla de firewall tenía habilitado el registro y si Cloud Monitoring no registró hits para la regla. Este estado puede ocurrir para las reglas que se configuran a fin de permitir o rechazar TCP, UDP, ICMP o cualquier otro tipo de tráfico.

Este comportamiento difiere de la estadística . Cuando esta estadística identifica reglas que no tuvieron hits, omite las reglas de firewall configuradas para permitir tráfico distinto de TCP o UDP. Esto es así incluso si esas reglas también permiten tráfico de TCP o UDP.

Métricas más recientes del firewall

Puedes ver la última vez que se aplicó una regla de firewall específica para permitir o rechazar el tráfico si consultas las métricas de firewall_last_used_timestamp. Ver estas métricas te permite ver qué reglas de firewall no se usaron recientemente.

Esta métrica captura el recuento total de hits para los últimos 24 meses o, como se habilitó el registro prolongado, lo que sea menor. Este período se determina por el período de retención de Cloud Logging. Si el último resultado ocurrió antes de los últimos 24 meses, last hit time se muestra como N/A (not applicable).

Estadísticas

Las estadísticas proporcionan un análisis sobre la configuración de las reglas de firewall y el uso de ellas. Usan el tipo de estadística google.compute.firewall.Insight.

Categorías y estados de la estadística

En esta sección, se describe las categorías de Estadísticas de firewall y los estados que una estadística puede tener.

Categorías de estadísticas

Dentro de Estadísticas de firewall, las estadísticas se dividen en dos categorías generales. Estas categorías se describen en la siguiente tabla:

Categoría Descripción Estadísticas
Basada en la configuración Estas estadísticas se generan a partir de datos sobre cómo se configuran las reglas de firewall. Reglas bloqueadas
Basado en registros Estas estadísticas se generan a partir del registro sobre el uso de tus reglas de firewall y más información para configurar las reglas.
  • Reglas demasiado permisivas
    • Reglas Allow sin hits
    • Reglas de Allow con atributos sin usar
    • Reglas de Allow con rangos de puertos o direcciones IP demasiado permisivos
  • Reglas Deny con hits

Estados de estadísticas

Cada estadística puede tener uno de los siguientes estados, que puedes cambiar como se describe en la siguiente tabla.

Estado Descripción
ACTIVE La estadística está activa. Google continúa actualizando el contenido de las estadísticas ACTIVE según la información más reciente.
DISMISSED

La estadística se descarta y ya no se muestra en ninguna lista de estadísticas activas para ningún usuario. Puedes restablecer el estado DISMISSED en ACTIVE en la página Historial descartado.

Para obtener más información, consulta Marca una estadística como descartada.

Reglas bloqueadas

Firewall Insights analiza tus reglas de firewall para detectar reglas de firewall que están bloqueadas por otras reglas. Una regla bloqueada es una regla de firewall que tiene todos sus atributos relevantes, como su dirección IP y los rangos de puertos, superpuestos por atributos de una o más reglas con mayor o igual prioridad, llamadas reglas de bloqueo.

Las Estadísticas de firewall no identifican todas las reglas bloqueadas posibles. Específicamente, no identifica que otras etiquetas de una regla de firewall hayan sido bloqueadas por varias etiquetas de otras reglas de firewall.

En el framework del recomendador, cada subtipo de estadística tiene un nivel de gravedad. Para las estadísticas de reglas bloqueadas, el nivel de gravedad es medium. Para obtener más información, consulta Gravedad en la documentación del recomendador.

Ejemplos de reglas bloqueadas

En este ejemplo, algunas reglas bloqueadas y reglas de bloqueo tienen filtros de rango de IP de origen superpuestos, y otros tienen prioridades de reglas diferentes.

En la siguiente tabla, se muestran las reglas de firewall de A a E. Para diferentes situaciones de reglas bloqueadas, consulta las secciones que siguen a la tabla.

Tipo Targets Filtros Protocolos o puertos Acción Priority
Regla de firewall A Entrada Aplicar a todo 10.10.0.0/16 tcp:80 Allow 1000
Regla de firewall B Entrada Aplicar a todo 10.10.0.0/24 tcp:80 Allow 1000
Regla de firewall C Entrada web 10.10.2.0/24 tcp:80
tcp:443
Allow 1000
Regla de firewall D Entrada web 10.10.2.0/24 tcp:80 Denegar 900
Regla de firewall E Entrada web 10.10.2.0/24 tcp:443 Denegar 900

Ejemplo 1: La regla de firewall B está bloqueada por la regla de firewall A

En este ejemplo, hay dos reglas de firewall: A y B. Estas reglas son casi iguales, excepto por los filtros de rango de IP de origen. El rango de IP de la regla de firewall A es 10.10.0.0/16, mientras que el rango de direcciones de la regla B es 10.10.0.0/24. Por lo tanto, la regla de firewall B está bloqueada por la regla de firewall A.

La estadística shadowed firewall rules suele indicar una configuración incorrecta del firewall. Por ejemplo, la configuración de los filtros IP de la regla de firewall A es demasiado amplia o la configuración de filtros de la regla de firewall B es demasiado restrictiva y no es necesaria.

Ejemplo 2: La regla de firewall C está bloqueada por las reglas de firewall D y E

En este ejemplo, hay tres reglas de firewall: C, D y E. La regla de firewall C permite la entrada del tráfico web del puerto HTTP 80 y del puerto HTTPS 443, y tiene una prioridad de 1000 (prioridad predeterminada). Las reglas de firewall D y E rechazan el ingreso del tráfico web HTTP y HTTPS, respectivamente, y ambas tienen una prioridad de 900 (prioridad alta). Por lo tanto, el firewall C está bloqueado por las reglas de firewall D y E combinadas.

Reglas demasiado permisivas

Las Estadísticas de firewall proporcionan un análisis integral sobre si las reglas de firewall son demasiado permisivas. Este análisis incluye las siguientes estadísticas:

Como se describe en Predicciones del aprendizaje automático, algunas de estas estadísticas incluyen predicciones sobre si es probable que una regla o un atributo se alcancen en el futuro.

Los datos proporcionados por estas estadísticas se basan en los registros de las reglas de firewall. Estos datos son solo precisos si el registro de las reglas de firewall se habilitó de forma continua durante todo el período de observación. De lo contrario, la cantidad real de reglas en cada categoría de estadística podría ser mayor que la indicada.

Las estadísticas de reglas demasiado permisivas evalúan el tráfico de TCP y UDP. No se analizan otros tipos de tráfico. Para obtener más información, consulta la descripción de cada estadística.

En el framework del recomendador, cada subtipo de estadística tiene un nivel de gravedad. Para las estadísticas de reglas demasiado permisivas, el nivel de gravedad es high. Para obtener más información, consulta Gravedad en la documentación del recomendador.

Reglas de permiso sin hits

Esta estadística identifica reglas allow que no tuvieron hits durante el período de observación.

Para cada regla identificada, esta estadística también informa la probabilidad de que la regla tenga hits en el futuro. Esta predicción se produce mediante un análisis de aprendizaje automático (AA) que tiene en cuenta el patrón de tráfico histórico de esta regla y las reglas similares en la misma organización.

Para ayudarte a comprender la predicción, esta estadística identifica reglas similares en el mismo proyecto a la regla que identificó la estadística. La estadística enumera el recuento de aciertos de estas reglas y resume los detalles de su configuración. Estos detalles incluyen la prioridad y los atributos de cada regla, como su dirección IP y sus rangos de puertos.

Allow rules with no hits evalúa las reglas de firewall que se aplican al tráfico de TCP y UDP. Si una regla de firewall permite cualquier otro tipo de tráfico, no se incluye en este análisis.

Para obtener información sobre las predicciones que usa Estadísticas de firewall, consulta Predicciones de aprendizaje automático.

Reglas de permiso con atributos sin usar

Para las reglas allow que se alcanzaron durante el período de observación, esta estadística informa los atributos de esta regla, como la dirección IP y los rangos de puertos, que no se produjeron durante el mismo período.

Para estos atributos sin usar, esta estadística informa la probabilidad de que se alcancen en el futuro. Esta predicción se basa en un análisis del AA que tiene en cuenta los patrones de tráfico históricos de esta regla y las reglas similares de la misma organización.

Para ayudarte a comprender la predicción, la estadística resume otras reglas de firewall en el mismo proyecto que tienen atributos similares. Este resumen incluye datos sobre si se alcanzaron los atributos de esas reglas.

Allow rules with unused attributes evalúa solo los atributos que se definen para el tráfico de TCP y UDP. Si una regla permite otros tipos de tráfico además de TCP y UDP, la regla se puede incluir en este análisis. Sin embargo, no se analizan los atributos que pertenecen a otros tipos de tráfico.

Por ejemplo, supongamos que una regla permite el tráfico de TCP y de ICMP. Si el rango de direcciones IP permitido parece no usarse, el rango de direcciones no se considera sin usar, ya que podría usarse para tráfico ICMP. Sin embargo, si la misma regla tiene un rango de puertos TCP que no se usa, la regla se marca como demasiado permisiva.

Para obtener información sobre las predicciones que usa Estadísticas de firewall, consulta Predicciones de aprendizaje automático.

Reglas de permiso con rangos de puertos o direcciones IP demasiado permisivos

Para las reglas allow que se alcanzaron durante el período de observación, esta estadística identifica reglas que pueden tener direcciones IP o rangos de puertos demasiado amplios.

Esta estadística es útil porque las reglas de firewall se suelen crear con un permiso más amplio de lo necesario. Un permiso demasiado amplio puede generar riesgos de seguridad.

Esta estadística ayuda a mitigar este problema mediante el análisis del uso real de la dirección IP y los rangos de puertos de tus reglas. Para las reglas con rangos demasiado amplios, también sugiere una combinación alternativa de direcciones IP y rangos de puertos. Con este conocimiento, puedes quitar los rangos que parecen ser innecesarios según los patrones de tráfico durante el período de observación.

Allow rules with overly permissive IP address or port ranges evalúa solo los atributos que se definen para el tráfico de TCP y UDP. Si una regla permite otros tipos de tráfico además de TCP y UDP, la regla se puede incluir en este análisis. Sin embargo, no se analizan los atributos que pertenecen a otros tipos de tráfico.

Por ejemplo, supongamos que una regla permite el tráfico de TCP y de ICMP. Si el rango de direcciones IP permitido parece usarse solo de forma parcial, la estadística no marca el rango de direcciones IP como demasiado amplio, ya que podría usarse para tráfico de ICMP. Sin embargo, si la misma regla tiene un rango de puertos TCP que se usa parcialmente, la regla se marca como demasiado permisiva.

Ten en cuenta que tu proyecto puede tener reglas de firewall que permiten el acceso desde ciertos bloques de direcciones IP para las verificaciones de estado del balanceador de cargas o para otras funciones de Google Cloud. Es posible que estas direcciones IP no tengan hits, pero no se deben quitar de tus reglas de firewall. Para obtener más información sobre estos rangos, consulta la documentación de Compute Engine.

Predicciones de aprendizaje automático

Como se describió en las secciones anteriores, dos estadísticas, reglas allow sin hits y reglas allow con atributos sin usar, usan predicciones del AA.

Para generar predicciones, las Estadísticas de firewall entrenan un modelo del AA en todas las reglas de firewall de la misma organización. De esta manera, las Estadísticas de firewall aprenden patrones comunes. Por ejemplo, las Estadísticas de firewall aprende sobre las combinaciones de atributos que tienden a ser hits. Estos atributos pueden incluir rangos de direcciones IP, rangos de puertos y protocolos IP. Si la regla de firewall que se analiza contiene algunos de los patrones comunes que probablemente hayan tenido hits, las Estadísticas de firewall tiene una mayor confianza en que la regla podría alcanzarse en el futuro. Esto también se cumple en el caso opuesto.

Para cada estadística que usa predicciones, Estadísticas de firewall muestra detalles sobre las reglas que se consideraron similares a la regla identificada por la estadística. En particular, en el panel Detalles de la estadística, Estadísticas de firewall muestra detalles sobre las tres reglas que son más similares a la regla que está sujeta a la predicción. Cuanto más superposición exista entre los atributos de dos reglas, más similares se considerarán.

Para las reglas allow sin hits, considera el siguiente ejemplo:

Supongamos que la regla A tiene los siguientes atributos:

Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80

Supongamos también que la regla B tiene los siguientes atributos:

Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80

Estas dos reglas comparten los mismos rótulos identificadores de destino, atributos de protocolo y atributos de puerto. Solo difieren en el atributo de origen. Por esta razón, se consideran similares.

Para las reglas de allow con atributos que no se usan, la similitud se determina de la misma manera. Para esta estadística, las Estadísticas de firewall consideran reglas similares cuando su configuración incluye los mismos atributos.

Reglas de rechazo con hits

Esta estadística proporciona detalles sobre las reglas deny que tuvieron hits durante el período de observación.

Estas estadísticas te proporcionan señales de descarte de paquetes de firewall. Luego, puedes verificar si los paquetes descartados se esperan debido a protecciones de seguridad o si son el resultado de una configuración incorrecta de la red.

Dónde puedes visualizar métricas y estadísticas

Puedes ver las métricas y las estadísticas de las Estadísticas de firewall en las siguientes ubicaciones de Cloud Console:

¿Qué sigue?