Descripción general de Firewall Insights

Con las Estadísticas de firewall, puedes comprender mejor y optimizar de forma segura tus reglas de firewall. Proporciona datos sobre cómo se usan las reglas de firewall, expone una configuración incorrecta y, además, identifica reglas que se pueden hacer más estrictas. También usa el aprendizaje automático para predecir el uso futuro de tus reglas de firewall a fin de que puedas tomar decisiones fundamentadas sobre si quitar o ajustar reglas que parecen ser demasiado permisivas. Por el momento, las funciones diseñadas para identificar reglas demasiado permisivas.

Firewall Insights usa métricas de Cloud Monitoring y estadísticas del recomendador. Para obtener información general sobre estos productos, consulta la siguiente documentación:

Ventajas

Firewall Insights produce métricas y estadísticas que te permiten tomar mejores decisiones sobre las reglas de firewall.

Con las métricas de Firewall Insights, puedes realizar las siguientes tareas:

  • Verificar que las reglas de firewall se usen de la manera prevista.
  • Durante los períodos específicos, verificar que las reglas de firewall permitan o bloqueen las conexiones previstas.
  • Realiza depuraciones en vivo de conexiones que se descartan por error debido a reglas de firewall.
  • Descubre intentos maliciosos de acceder a tu red, en parte mediante la recepción de alertas sobre cambios significativos en los recuentos de aciertos de las reglas de firewall.

Con las estadísticas, puedes realizar las siguientes tareas:

  • Identificar configuraciones incorrectas de firewall.
  • Identificar ataques de seguridad.
  • Optimiza las reglas de firewall y fortalece los límites de seguridad mediante la identificación de reglas allow demasiado permisivas y la revisión de las predicciones sobre su uso futuro. Estas funciones se encuentran en vista previa.

Métricas

Las métricas de estadísticas de firewall te permiten analizar la forma en que se usan las reglas de firewall. Las métricas de Estadísticas de firewall están disponibles a través de Cloud Monitoring y Google Cloud Console. Las métricas se derivan a través del registro de las reglas de firewall.

Para obtener más información, consulta Visualiza métricas de Estadísticas de firewall.

Métricas de recuento de hit de firewall

La métrica firewall_hit_count realiza un seguimiento del recuento de hits para las reglas de firewall. Para ello, evalúa todo el tráfico que registra el registro de reglas de firewall. Para cada regla de firewall con el registro habilitado, puedes ver cuántas veces la regla de firewall bloqueó o permitió las conexiones. También puedes ver estas métricas para la interfaz de instancias de máquina virtual (VM) específicas.

Los datos de un recuento de aciertos pueden retrasarse varios minutos después del evento real. Las Estadísticas de firewall generan métricas de recuento de aciertos de firewall solo para el tráfico que se ajusta a las especificaciones del registro de reglas de firewall. Por ejemplo, solo se puede registrar el tráfico de TCP y UDP.

Métricas más recientes del firewall

Puedes ver la última vez que se aplicó una regla de firewall específica para permitir o rechazar el tráfico si consultas la métrica de firewall_last_used_timestamp. Ver estas métricas te permite ver qué reglas de firewall no se usaron recientemente.

Esta métrica captura el recuento total de aciertos para los últimos 24 meses o, como se habilitó el registro prolongado, lo que sea menor. Este período se determina por el período de retención de Cloud Logging. Si el último resultado ocurrió antes de los últimos 24 meses, last hit time se muestra como N/A (not applicable).

Las métricas de uso de las reglas de firewall son precisas solo durante el período durante el que se habilita el registro de reglas de firewall.

Estadísticas

Las estadísticas proporcionan un análisis sobre la configuración de las reglas de firewall y el uso de ellas. Usan el tipo de estadística google.compute.firewall.Insight.

Categorías y estados de la estadística

Esta sección describe las categorías de Firewall Insights y los estados que una estadística puede tener.

Categorías de estadísticas

Dentro de las Estadísticas de firewall, las estadísticas se dividen en dos categorías generales. Estas categorías se describen en la siguiente tabla.

Categoría Descripción Estadísticas
Basada en la configuración Estas estadísticas se generan a partir de datos sobre cómo se configuran las reglas de firewall. Reglas bloqueadas
Basado en registros Estas estadísticas se generan a partir del registro sobre el uso de tus reglas de firewall y más información sobre cómo se configuran las reglas.
  • Reglas demasiado permisivas (vista previa):
    • Reglas Allow sin hits
    • Reglas de Allow con atributos sin usar
    • Reglas de Allow con rangos de puertos o direcciones IP demasiado permisivos
  • Reglas Deny con hits

Estados de estadísticas

Cada estadística puede tener uno de los siguientes estados, que puedes cambiar como se describe en la siguiente tabla.

Estado Descripción
ACTIVE La estadística está activa. Google continúa actualizando el contenido de las estadísticas ACTIVE según la información más reciente.
DISMISSED

La estadística se descarta y ya no se muestra en ninguna lista de estadísticas activas para ningún usuario. Puedes restablecer el estado DISMISSED en ACTIVE en la página Historial descartado.

Para obtener más información, consulta Marca una estadística como descartada.

Reglas bloqueadas

Firewall Insights analiza tus reglas de firewall para detectar reglas de firewall que están bloqueadas por otras reglas. Una regla bloqueada es una regla de firewall que tiene todos sus atributos relevantes, como su dirección IP y los rangos de puertos, superpuestos por atributos de una o más reglas con mayor o igual prioridad, llamadas reglas de bloqueo.

Se requiere habilitar la API de Firewall Insights para generar estadísticas de shadowed-firewall-rule. Las reglas bloqueadas se calculan en un plazo de 24 horas después de que habilitas el registro de reglas de firewall y la información de las reglas bloqueadas se actualiza a diario.

Las Estadísticas de firewall no identifican todas las reglas bloqueadas posibles. Específicamente, no identifica que otras etiquetas de una regla de firewall hayan sido bloqueadas por varias etiquetas de otras reglas de firewall.

Ejemplos de reglas bloqueadas

En este ejemplo, algunas reglas bloqueadas y reglas de bloqueo tienen filtros de rango de IP de origen superpuestos, y otros tienen prioridades de reglas diferentes.

En la siguiente tabla, se muestran las reglas de firewall de A a E. Para diferentes situaciones de reglas bloqueadas, consulta las secciones que siguen a la tabla.

Tipo Targets Filtros Protocolos o puertos Acción Priority
Regla de firewall A Entrada Aplicar a todo 10.10.0.0/16 tcp:80 Allow 1000
Regla de firewall B Entrada Aplicar a todo 10.10.0.0/24 tcp:80 Allow 1000
Regla de firewall C Entrada web 10.10.2.0/24 tcp:80
tcp:443
Allow 1000
Regla de firewall D Entrada web 10.10.2.0/24 tcp:80 Denegar 900
Regla de firewall E Entrada web 10.10.2.0/24 tcp:443 Denegar 900

Ejemplo 1: La regla de firewall B está bloqueada por la regla de firewall A

En este ejemplo, hay dos reglas de firewall: A y B. Estas reglas son casi iguales, excepto por los filtros de rango de IP de origen. El rango de IP de la regla de firewall A es 10.10.0.0/16, mientras que el rango de direcciones de la regla B es 10.10.0.0/24. Por lo tanto, la regla de firewall B está bloqueada por la regla de firewall A.

La estadística shadowed firewall rules suele indicar una configuración incorrecta del firewall. Por ejemplo, la configuración de los filtros IP de la regla de firewall A es demasiado amplia o la configuración de filtros de la regla de firewall B es demasiado restrictiva y no es necesaria.

Ejemplo 2: La regla de firewall C está bloqueada por las reglas de firewall D y E

En este ejemplo, hay tres reglas de firewall: C, D y E. La regla de firewall C permite la entrada del tráfico web del puerto HTTP 80 y del puerto HTTPS 443, y tiene una prioridad de 1000 (prioridad predeterminada). Las reglas de firewall D y E rechazan el ingreso del tráfico web HTTP y HTTPS, respectivamente, y ambas tienen una prioridad de 900 (prioridad alta). Por lo tanto, el firewall C está bloqueado por las reglas de firewall D y E combinadas.

Reglas demasiado permisivas

Las Estadísticas de firewall proporcionan un análisis integral sobre si las reglas de firewall son demasiado permisivas. Este análisis incluye las estadísticas que se describen en las siguientes secciones. Algunas de estas estadísticas incluyen predicciones sobre si es probable que la estadística sea válida en el futuro.

Los datos proporcionados por estas estadísticas se basan en los registros de las reglas de firewall. Estos datos son solo precisos si el registro de las reglas de firewall se habilitó de forma continua durante todo el período de observación. De lo contrario, el número real de reglas en cada categoría de estadística podría ser superior al indicado.

Reglas de permiso sin hits

Esta estadística identifica reglas de allow que no tuvieron hits durante el período de observación.

Para cada regla identificada, esta estadística también informa la probabilidad de que la regla tenga probabilidades de alcanzarse en el futuro. Esta predicción se produce mediante un análisis de aprendizaje automático (AA) que considera el patrón de tráfico histórico de esta regla y reglas similares en la misma organización.

Para ayudarte a comprender la predicción, esta estadística identifica reglas similares en el mismo proyecto a la regla que identificó la estadística. La estadística enumera el recuento de aciertos de estas reglas y resume los detalles de su configuración. Estos detalles incluyen la prioridad y los atributos de cada regla, como su rango de puertos y dirección IP.

Para obtener información sobre las predicciones que usa las Estadísticas de firewall, consulta Predicciones de aprendizaje automático.

Reglas de permiso con atributos sin usar

Para las reglas allow que se alcanzaron durante el período de observación, esta estadística informa cualquier atributo de esta regla, como la dirección IP y los rangos de puertos, que no se vieron durante el mismo período.

Para estos atributos sin usar, esta estadística informa la probabilidad de que se afecten en el futuro. Esta predicción se basa en un análisis del AA que tiene en cuenta los patrones de tráfico históricos de esta regla y las reglas similares de la misma organización.

Para ayudarte a comprender la predicción, la estadística resume otras reglas de firewall en el mismo proyecto que tienen atributos similares. Este resumen incluye datos sobre si se alcanzaron los atributos de esas reglas.

Para obtener información sobre las predicciones que usa las Estadísticas de firewall, consulta Predicciones de aprendizaje automático.

Reglas de permiso con rangos de puertos o direcciones IP demasiado permisivos

Para las reglas allow que se alcanzaron durante el período de observación, esta estadística identifica reglas que podrían tener direcciones IP o rangos de puertos demasiado amplios.

Esta estadística es útil porque las reglas de firewall suelen crearse con un alcance más amplio del necesario. Un alcance demasiado amplio puede generar riesgos de seguridad.

Esta estadística ayuda a mitigar este problema mediante el análisis del uso real de la dirección IP y las rangos de puertos de tus reglas. En el caso de las reglas con rangos demasiado amplios, también sugiere una combinación alternativa de rangos de direcciones IP y de puertos. Con este conocimiento, puedes quitar los rangos que parecen ser innecesarios en función de los patrones de tráfico durante el período de observación.

Ten en cuenta que tu proyecto puede tener reglas de firewall que permiten el acceso desde ciertos bloques de direcciones IP para las verificaciones de estado del balanceador de cargas o para otras funciones de Google Cloud. Es posible que estas direcciones IP no tengan hits, pero no se deben quitar de tus reglas de firewall. Para obtener más información sobre estos rangos, consulta la documentación de Compute Engine.

Predicciones de aprendizaje automático

Como se describe en las secciones anteriores, dos estadísticas, las reglas allow sin hits y las reglas allow con atributos sin usar, usan predicciones del AA.

Para generar predicciones, las Estadísticas de firewall entrena un modelo de AA en todas las reglas de firewall de la misma organización. De esta manera, Firewall Insights aprende patrones comunes. Por ejemplo, Firewall Insights aprende sobre combinaciones de atributos que suelen tener hits. Estos atributos pueden incluir rangos de direcciones IP, rangos de puertos y protocolos IP. Si la regla de firewall que se analiza contiene algunos de los patrones comunes que probablemente hayan tenido hits, las Estadísticas de firewall tienen una mayor confianza en que la regla podría alcanzarse en el futuro. Esto también se cumple en el caso opuesto.

Para cada estadística en la que se usan predicciones, Firewall Insights muestra detalles sobre las reglas que se consideraron similares a la regla identificada por la estadística. En particular, en el panel Detalles de la estadística, las Estadísticas de firewall muestra detalles sobre las tres reglas que son más similares a la regla que está sujeta a la predicción. Cuanto más exista superposición entre los atributos de dos reglas, más similares se considerarán.

Para las reglas allow sin hits, considera el siguiente ejemplo:

Supongamos que la regla A tiene los siguientes atributos:

Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80

Supongamos que la regla B tiene los siguientes atributos:

Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80

Estas dos reglas comparten los mismos rótulos identificadores de destino, atributos de protocolo y atributos de puerto. Solo difieren en el atributo de origen. Por esta razón, se consideran similares.

Para las reglas allow que tienen atributos sin usar, la similitud se determina de la misma manera. Para esta estadística, las Estadísticas de firewall consideran reglas similares cuando su configuración incluye los mismos atributos.

Reglas de rechazo con hits

Esta estadística proporciona detalles sobre las reglas deny que tuvieron hits durante el período de observación.

Estas estadísticas te proporcionan señales de descarte de paquetes de firewall. Luego, puedes comprobar si los paquetes descartados se esperan debido a protecciones de seguridad o si son el resultado de una configuración incorrecta de la red.

Dónde puedes visualizar métricas y estadísticas

Puedes ver las métricas y las estadísticas de las Estadísticas de firewall en las siguientes ubicaciones de Cloud Console:

¿Qué sigue?