Présentation de Firewall Insights

Firewall Insights vous permet de mieux comprendre et d'optimiser en toute sécurité vos configurations de pare-feu. Firewall Insights fournit des rapports sur l'utilisation du pare-feu et l'impact de différentes règles de pare-feu sur votre réseau cloud privé virtuel (VPC).

Pour en savoir plus sur les concepts Insights, consultez la section Insights dans la documentation de l'outil de recommandation.

Avantages

Les rapports sur les métriques et les rapports sur les insights de Firewall Insights vous permettent de gérer vos configurations de pare-feu de la manière suivante.

Les rapports sur les métriques vous permettent d'effectuer les tâches ci-dessous :

  • Vérifier que les règles de pare-feu sont utilisées de la manière prévue
  • Sur des périodes spécifiées, vérifier que les règles de pare-feu autorisent ou bloquent les connexions prévues
  • Effectuer le débogage en direct des connexions qui sont abandonnées par inadvertance en raison des règles de pare-feu
  • Utilisez Cloud Monitoring pour détecter les tentatives malveillantes d'accès à votre réseau, y compris en recevant des alertes en cas de modifications importantes du nombre de hits des règles de pare-feu.

Les rapports sur les insights vous permettent d'examiner un ou plusieurs insights issus d'une analyse intelligente. Sur la base de ces insights, vous pouvez effectuer les tâches suivantes :

Rapports sur les métriques

Les métriques qui suivent l'utilisation du pare-feu vous permettent d'analyser l'utilisation des règles de pare-feu dans votre réseau VPC. Les métriques sont disponibles via l'API pour Cloud Monitoring.

Pour plus d'informations, consultez la section Afficher les métriques Firewall Insights.

Métriques de comptage des appels du pare-feu

Firewall Insights suit le nombre d'appels du pare-feu pour tout le trafic enregistré par la journalisation des règles de pare-feu. Pour chaque règle de pare-feu avec la journalisation activée, vous pouvez voir combien de fois la règle de pare-feu a bloqué ou autorisé des connexions. Vous pouvez également consulter ces métriques pour l'interface d'instances de machines virtuelles (VM) spécifiques.

Les données d'un nombre d'appels peuvent être en retard de plusieurs minutes par rapport à l'événement réel. Firewall Insights génère uniquement les métriques du nombre d'appels du pare-feu pour le trafic correspondant aux spécifications de la journalisation des règles de pare-feu. Par exemple, seul le trafic TCP et UDP peut être enregistré.

Dernières métriques utilisées par le pare-feu

Vous pouvez voir la dernière fois qu'une règle de pare-feu particulière a été appliquée pour autoriser ou refuser le trafic en affichant les métriques Firewall last used. L'affichage de ces métriques vous permet de savoir quelles règles de pare-feu n'ont pas été utilisées récemment.

Cette métrique capture l'historique des 42 derniers jours. Cette période est déterminée par la période de conservation définie pour la journalisation cloud. Si le dernier appel s'est produit avant les 42 derniers jours, la métrique last hit time s'affiche comme N/A (not applicable).

Les métriques d'utilisation des règles de pare-feu ne sont précises que pour la période pendant laquelle la journalisation des règles de pare-feu est activée.

Rapports sur les insights

Les rapports sur les insights présentent une analyse intelligente de la configuration de vos pare-feu. Un rapport contient un ou plusieurs insights.

Types d'insights et états

Le type d'insight pour Firewall Insights est appelé google.compute.firewall.Insight.

Chaque insight peut avoir l'un des états suivants, qu'il est possible de modifier comme décrit dans le tableau.

.
État Description
ACTIVE L'insight est actif. Google continue de mettre à jour le contenu des insights ACTIVE en fonction des dernières informations.
DISMISSED

Les insights sont ignorés et ne sont plus affichés sur aucune liste active d'insights pour aucun utilisateur. Vous pouvez restaurer l'état DISMISSED sur ACTIVE sur la page Historique ignoré.

Pendant la phase bêta, vous ne pouvez ignorer et rétablir des insights qu'à l'aide de Cloud Console. Pour plus d'informations, consultez la section Marquer un insight comme DISMISSED.

Règles de pare-feu bloquées

Firewall Insights analyse vos règles de pare-feu pour détecter celles qui sont bloquées par d'autres règles.

Une règle bloquée est une règle de pare-feu qui possède tous les attributs correspondants, tels que la plage d'adresses IP et les ports, avec lesquels les attributs d'une ou de plusieurs autres règles de pare-feu d'une priorité supérieure ou égale, dénommées règles bloquantes, se chevauchent. Un pare-feu n'évalue pas une règle bloquée en raison du chevauchement des règles bloquantes et du rang de priorité inférieur de la règle bloquée.

Exemples de règles bloquées

Dans cet exemple, certaines règles bloquées et bloquantes ont des filtres de plage IP source qui se chevauchent et d'autres ont des priorités de règles différentes.

Le tableau suivant présente les règles de pare-feu de A à E. Consultez les sections qui suivent le tableau pour d'autres scénarios de règles bloquées.

Type Cibles Filtres Protocoles ou ports Action Priorité
Règle de pare-feu A Entrée Appliquer à tous 10.10.0.0/16 tcp:80 Autoriser 1000
Règle de pare-feu B Entrée Appliquer à tous 10.10.0.0/24 tcp:80 Autoriser 1000
Règle de pare-feu C Entrée web 10.10.2.0/24 tcp:80
tcp:443
Autoriser 1000
Règle de pare-feu D Entrée web 10.10.2.0/24 tcp:80 Refuser 900
Règle de pare-feu E Entrée web 10.10.2.0/24 tcp:443 Refuser 900

Exemple 1 : la règle de pare-feu B est bloquée par la règle de pare-feu A

Dans cet exemple, il existe deux règles de pare-feu, A et B. Ces règles sont presque identiques, à l'exception de leurs filtres de plage IP source. La plage d'adresses IP de la règle de pare-feu A est 10.10.0.0/16, tandis que la plage d'adresses de la règle de pare-feu B est 10.10.0.0/24. Par conséquent, la règle de pare-feu B est bloquée par la règle de pare-feu A.

Les insights shadowed firewall rules indiquent généralement une configuration du pare-feu incorrecte. Par exemple, le paramètre de filtres IP de la règle de pare-feu A est inutilement étendu, ou le paramètre de filtres de la règle de pare-feu B est trop restrictif et n'est pas nécessaire.

Exemple 2 : la règle de pare-feu C est bloquée par les règles de pare-feu D et E

Dans cet exemple, il existe trois règles de pare-feu : C, D et E. La règle de pare-feu C autorise l'entrée du trafic Web du port HTTP 80 et du port HTTPS 443, et a une priorité de 1000 (priorité par défaut). Les règles de pare-feu D et E refusent l'entrée du trafic Web HTTP et HTTPS, respectivement, et les deux ont une priorité de 900 (haute priorité). Par conséquent, la règle de pare-feu C est bloquée par les règles de pare-feu D et E combinées.

Règles d'autorisation non utilisées au cours des six dernières semaines

Les données fournies par Cloud Console pour cette métrique sont basées sur la journalisation des règles de pare-feu. Les données ne sont précises que si la journalisation des règles de pare-feu a été activée en permanence pour la règle de pare-feu concernée au cours des six dernières semaines. Sinon, le nombre d'appels réels serait plus élevé.

Règles de refus avec appels au cours des dernières 24 heures

Lorsque vous activez la journalisation des règles de pare-feu, Firewall Insights analyse les journaux pour faire apparaître les insights associés aux règles deny utilisées au cours des dernières 24 heures.

Ces insights vous fournissent des signaux de suppression de paquets de pare-feu, que vous pouvez consulter pour vérifier que les paquets supprimés sont attendus en raison de protections de sécurité, ou inattendus en raison, par exemple, de configurations incorrectes du réseau.

Emplacement d'affichage des métriques et insights

Vous pouvez afficher les métriques et les insights de Firewall Insights aux emplacements Cloud Console suivants :

Étape suivante