Présentation de Firewall Insights

Firewall Insights vous aide à mieux comprendre et à optimiser en toute sécurité vos règles de pare-feu. Il fournit des données sur l'utilisation de vos règles de pare-feu, expose des erreurs de configuration et identifie les règles pouvant être rendues plus strictes. Il utilise également le machine learning pour prédire l'utilisation future de vos règles de pare-feu afin que vous puissiez prendre des décisions éclairées concernant la suppression ou le renforcement des règles qui semblent trop permissives. Des fonctionnalités conçues pour identifier les règles trop permissives sont actuellement en version bêta.

Firewall Insights utilise les métriques Cloud Monitoring et les insights de l'outil de recommandation. Pour en savoir plus sur ces produits, consultez la documentation suivante :

Avantages

Firewall Insights génère des métriques et des insights qui vous permettent de prendre de meilleures décisions concernant vos règles de pare-feu.

Avec les métriques Firewall Insights, vous pouvez effectuer les tâches suivantes :

  • Vérifier que les règles de pare-feu sont utilisées de la manière prévue
  • Sur des périodes spécifiées, vérifier que les règles de pare-feu autorisent ou bloquent les connexions prévues
  • Effectuer le débogage en direct des connexions qui sont abandonnées par inadvertance en raison des règles de pare-feu
  • Découvrir les tentatives malveillantes d'accès à votre réseau, notamment en recevant des alertes en cas de modifications importantes du nombre d'appels des règles de pare-feu.

Les insights vous permettent d'effectuer les tâches suivantes :

  • Identifier les erreurs de configuration du pare-feu
  • Identifier les attaques de sécurité
  • Optimisez les règles de pare-feu et renforcez les limites de sécurité en identifiant les règles allow trop permissives et en examinant les prédictions concernant leur utilisation future. Ces fonctionnalités sont disponibles en version bêta.

Métriques

Les métriques Firewall Insights vous permettent d'analyser la manière dont vos règles de pare-feu sont utilisées. Les métriques Firewall Insights sont disponibles via Cloud Monitoring et Google Cloud Console. Les métriques sont dérivées via la journalisation des règles de pare-feu.

Pour plus d'informations, consultez la section Afficher les métriques Firewall Insights.

Métriques de comptage des appels du pare-feu

La métrique firewall_hit_count suit le nombre d'appels des règles de pare-feu. Pour ce faire, elle évalue tout le trafic enregistré par la journalisation des règles de pare-feu. Pour chaque règle de pare-feu avec la journalisation activée, vous pouvez voir combien de fois la règle de pare-feu a bloqué ou autorisé des connexions. Vous pouvez également consulter ces métriques pour l'interface d'instances spécifiques de machines virtuelles (VM).

Les données d'un nombre d'appels peuvent être en retard de plusieurs minutes par rapport à l'événement réel. Firewall Insights génère les métriques de nombre d'appels de pare-feu pour le trafic répondant aux spécifications de la journalisation des règles de pare-feu. Par exemple, seul le trafic TCP et UDP peut être enregistré.

Dernières métriques utilisées par le pare-feu

Vous pouvez voir la dernière fois qu'une règle de pare-feu particulière a été appliquée pour autoriser ou refuser le trafic en affichant les métriques firewall_last_used_timestamp. L'affichage de ces métriques vous permet de voir quelles règles de pare-feu n'ont pas été utilisées récemment.

Cette métrique enregistre le nombre total d'appels sur les 24 derniers mois (ou depuis la date d'activation de la journalisation si cela fait moins de 24 mois). Cette période est déterminée par la période de conservation définie pour la journalisation cloud. Si le dernier appel s'est produit avant les 24 derniers mois, la métrique last hit time (date du dernier appel) indique N/A (not applicable) (non disponible).

Les métriques d'utilisation des règles de pare-feu ne sont précises que pour la période pendant laquelle la journalisation des règles de pare-feu est activée.

Insights

Les insights fournissent une analyse de la configuration de vos règles de pare-feu et de leur utilisation. Le type d'insight google.compute.firewall.Insight est alors utilisé.

Catégories d'insights et états

Cette section décrit les catégories de Firewall Insights, ainsi que les états qu'un insight peut avoir.

Catégories d'insights

Dans Firewall Insights, les insights appartiennent à deux catégories générales. Ces catégories sont décrites dans le tableau ci-dessous.

Catégorie Description Insights
Basé sur la configuration Ces informations sont générées en fonction des données de configuration de vos règles de pare-feu. Règles bloquées
Basé sur le journal Ces informations sont générées en fonction de la journalisation de l'utilisation de vos règles de pare-feu, ainsi que des informations sur la configuration des règles.
  • Règles trop permissives (version bêta) :
    • Règles Allow non utilisées
    • Règles Allow avec des attributs non utilisés
    • Règles Allow avec des plages d'adresses IP ou de ports trop permissives
  • Règles Deny utilisées

États des insights

Chaque insight peut avoir l'un des états suivants, qu'il est possible de modifier comme décrit dans le tableau.

État Description
ACTIVE L'insight est actif. Google continue de mettre à jour le contenu des insights ACTIVE en fonction des dernières informations.
DISMISSED

L'insight est ignoré et ne s'affiche plus sur aucune des listes d'insights actifs des utilisateurs. Vous pouvez revenir de l'état DISMISSED à l'état ACTIVE sur la page Historique des insights ignorés.

Pour en savoir plus, consultez la section Marquer un insight comme ignoré.

Règles bloquées

Firewall Insights analyse vos règles de pare-feu pour détecter celles qui sont bloquées par d'autres règles. Une règle bloquée est une règle de pare-feu dont tous les attributs pertinents, comme par exemple la plage d'adresses IP et les ports, chevauchent les attributs d'une ou plusieurs autres règles de pare-feu de priorité supérieure ou égale appelée règles bloquantes.

L'activation de l'API Firewall Insights est nécessaire pour générer les insights shadowed-firewall-rule. Les règles bloquées sont calculées dans les 24 heures suivant l'activation de la journalisation des règles de pare-feu et les informations sur les règles bloquées sont actualisées quotidiennement.

Firewall Insights n'identifie pas toutes les règles bloquantes possibles. Plus précisément, il ne détecte pas que les tags d'une règle de pare-feu ont été bloqués par plusieurs tags provenant d'autres règles de pare-feu.

Exemples de règles bloquées

Dans cet exemple, certaines règles bloquées et bloquantes ont des filtres de plage IP source qui se chevauchent et d'autres ont des priorités de règles différentes.

Le tableau suivant présente les règles de pare-feu de A à E. Pour différents scénarios de règles bloquées, consultez les sections qui suivent le tableau.

Type Cibles Filtres Protocoles ou ports Action Priorité
Règle de pare-feu A Entrée Appliquer à tous 10.10.0.0/16 tcp:80 Autoriser 1000
Règle de pare-feu B Entrée Appliquer à tous 10.10.0.0/24 tcp:80 Autoriser 1000
Règle de pare-feu C Entrée web 10.10.2.0/24 tcp:80
tcp:443
Autoriser 1000
Règle de pare-feu D Entrée web 10.10.2.0/24 tcp:80 Refuser 900
Règle de pare-feu E Entrée web 10.10.2.0/24 tcp:443 Refuser 900

Exemple 1 : la règle de pare-feu B est bloquée par la règle de pare-feu A

Dans cet exemple, il existe deux règles de pare-feu, A et B. Ces règles sont presque identiques, à l'exception de leurs filtres de plage IP source. La plage d'adresses IP de la règle de pare-feu A est 10.10.0.0/16, tandis que la plage d'adresses de la règle de pare-feu B est 10.10.0.0/24. Par conséquent, la règle de pare-feu B est bloquée par la règle de pare-feu A.

Les insights shadowed firewall rules indiquent généralement une configuration du pare-feu incorrecte. Par exemple, le paramètre de filtres IP de la règle de pare-feu A est inutilement étendu, ou le paramètre de filtres de la règle de pare-feu B est trop restrictif et n'est pas nécessaire.

Exemple 2 : la règle de pare-feu C est bloquée par les règles de pare-feu D et E

Dans cet exemple, il existe trois règles de pare-feu : C, D et E. La règle de pare-feu C autorise l'entrée du trafic Web du port HTTP 80 et du port HTTPS 443, et a une priorité de 1000 (priorité par défaut). Les règles de pare-feu D et E refusent l'entrée du trafic Web HTTP et HTTPS, respectivement, et les deux ont une priorité de 900 (haute priorité). Par conséquent, la règle de pare-feu C est bloquée par les règles de pare-feu D et E combinées.

Règles trop permissives

Firewall Insights fournit une analyse complète de la validité des règles de pare-feu. Cette analyse inclut les insights décrits dans les sections suivantes. Certains de ces insights incluent des prédictions sur la probabilité de validité des insights à l'avenir.

Les données fournies par ces insights sont basées sur la journalisation des règles de pare-feu. Ces données ne sont exactes que si la journalisation des règles de pare-feu a été activée de manière continue pendant toute la période d'observation. Sinon, le nombre réel de règles dans chaque catégorie d'insight peut être supérieur à celui indiqué.

Règles d'autorisation non utilisées

Cet aperçu identifie les règles allow qui n'ont pas été utilisées pendant la période d'observation.

Pour chaque règle identifiée, cet aperçu indique également la probabilité que la règle soit susceptible d'être atteinte à l'avenir. Cette prédiction est produite par une analyse de machine learning (ML) qui tient compte du modèle de trafic historique de cette règle et de règles similaires dans la même organisation.

Pour vous aider à comprendre la prédiction, cet aperçu identifie des règles similaires dans le même projet que la règle identifiée par l'insight. Il répertorie le nombre d'appels de ces règles et résume les détails de leur configuration. Ces détails incluent la priorité et les attributs de chaque règle, tels que son adresse IP et ses plages de ports.

Pour plus d'informations sur les prédictions utilisées par Firewall Insights, consultez la section Prédictions de machine learning.

Règles d'autorisation comportant des attributs non utilisés

Pour les règles allow appelées au cours de la période d'observation, cet insight indique tous les attributs de cette règle (tels que les adresses IP et les plages de ports) qui n'ont pas été utilisés pendant la même période.

Pour ces attributs inutilisés, l'insight indique la probabilité qu'ils soient utilisés ultérieurement. Cette prédiction est basée sur une analyse de ML qui prend en compte les modèles de trafic historiques de cette règle et des règles similaires dans la même organisation.

Pour vous aider à comprendre la prédiction, l'insight résume les autres règles de pare-feu du même projet qui présentent des attributs similaires. Ce résumé inclut des données indiquant si les attributs de ces règles ont été atteints.

Pour plus d'informations sur les prédictions utilisées par Firewall Insights, consultez la section Prédictions de machine learning.

Règles d'autorisation avec des plages d'adresses IP ou de ports trop permissives

Pour les règles allow qui ont été appelées pendant la période d'observation, cet insight identifie des règles ayant des plages d'adresses IP ou de ports trop étendues.

Cet aperçu est utile, car les règles de pare-feu sont souvent créées avec un champ d'application plus large que nécessaire. Un champ d'application trop large peut entraîner des risques de sécurité.

Cet insight permet d'atténuer ce problème en analysant l'utilisation réelle de l'adresse IP et des plages de ports de vos règles. Pour les règles comportant des plages trop étendues, cela suggère également une combinaison alternative de plages d'adresses IP et de plages de ports. Grâce à ces connaissances, vous pouvez supprimer les plages qui semblent inutiles en fonction des modèles de trafic pendant la période d'observation.

Sachez que votre projet peut disposer de règles de pare-feu autorisant l'accès à partir de certains blocs d'adresses IP pour les vérifications d'état de l'équilibreur de charge ou pour d'autres fonctionnalités de Google Cloud. Ces adresses IP risquent de ne pas être appelées, mais elles ne doivent pas être supprimées de vos règles de pare-feu. Pour plus d'informations sur ces plages, consultez la documentation sur Compute Engine.

Prédictions de machine learning

Comme décrit dans les sections précédentes, deux insights (les règles allow non utilisées et les règles allow avec des attributs non utilisés) utilisent les prédictions de ML.

Pour générer des prédictions, Firewall Insights entraîne un modèle de ML sur toutes les règles de pare-feu de la même organisation. De cette manière, Firewall Insights apprend les modèles courants. Par exemple, Firewall Insights apprend sur les combinaisons d'attributs qui ont tendance à être atteints. Ces attributs peuvent inclure des plages d'adresses IP, des plages de ports et des protocoles IP. Si la règle de pare-feu en cours d'analyse contient certains des modèles courants qui ont pu être historiquement affectés, Firewall Insights est plus sûr que la règle pourrait être appelée à l'avenir. L'inverse est également vrai.

Pour chaque aperçu utilisant des prédictions, Firewall Insights affiche des détails sur les règles considérées comme similaires à la règle identifiée par l'insight. Plus précisément, dans le panneau Détails de l'insight, Firewall Insights affiche des détails sur les trois règles les plus similaires à la règle faisant l'objet de la prédiction. Plus il existe de chevauchements entre les attributs de deux règles, plus elles sont similaires.

Pour les règles allow non utilisées, considérons l'exemple suivant :

Supposons que la règle A possède les attributs suivants :

Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80

Supposons que la règle B possède les attributs suivants :

Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80

Ces deux règles partagent les mêmes tags cibles, attributs de protocole et attributs de port. Elles ne diffèrent que par leur attribut source. Pour cette raison, elles sont considérées comme similaires.

Pour les règles allow comportant des attributs non utilisés, la similarité est déterminée de la même manière. Pour cet insight, Firewall Insights tient compte des règles similaires lorsque leur configuration inclut les mêmes attributs.

Règles de refus non utilisées

Cet aperçu fournit des détails sur les règles deny utilisées au cours de la période d'observation.

Ces informations vous fournissent des signaux de suppression de paquets de pare-feu. Vous pouvez ensuite vérifier si les paquets supprimés sont attendus en raison de protections de sécurité ou s'ils sont le résultat d'une mauvaise configuration réseau.

Emplacement d'affichage des métriques et insights

Vous pouvez afficher les métriques et les insights de Firewall Insights aux emplacements Cloud Console suivants :

Étape suivante