ファイアウォール インサイトの概要

ファイアウォール インサイトを使用すると、ファイアウォール構成についてを理解を深めながら、安全に最適化できます。ファイアウォール インサイトは、Virtual Private Cloud(VPC)ネットワークでのファイアウォールの使用状況に関する情報と、さまざまなファイアウォール ルールが与える影響についてのレポートを提供します。

インサイトのコンセプトの詳細については、Recommender のドキュメントのインサイトをご覧ください。

利点

ファイアウォール インサイトの指標レポートとインサイト レポートを使用すると、次の方法でファイアウォール構成を管理できます。

指標レポートを使用すると、次のことを行えます。

  • ファイアウォール ルールが意図したとおりに使用されていることを確認する。
  • 指定した期間中、ファイアウォール ルールが目的の接続を許可またはブロックしていることを確認する。
  • ファイアウォール ルールが原因で間違ってドロップされる接続をリアルタイムでデバッグする。
  • Cloud Monitoring を使用して、ファイアウォール ルールのヒット数に大きな変更があったときにアラートを受け取るなど、ネットワークへの悪意のある試みを検出する。

インサイト レポートを使用すると、1 つ以上のインサイトをもたらすインテリジェントな分析結果を確認できます。こうしたインサイトにより、次のことを行えます。

指標レポート

ファイアウォールの使用状況を追跡する指標は、VPC ネットワークでのファイアウォール ルールの使用状況を分析するのに役立ちます。指標は Cloud Monitoring の API を介して利用できます。

詳細については、ファイアウォール インサイトの指標の表示をご覧ください。

ファイアウォール ヒット数の指標

ファイアウォール インサイト は、ファイアウォール ルール ロギングによって記録されたすべてのトラフィックのファイアウォール ヒット数を追跡します。ログが有効になっているファイアウォール ルールごとに、ファイアウォール ルールが接続をブロックまたは許可した回数を確認できます。また、特定の仮想マシン(VM)インスタンスのインターフェースに対するこれらの指標を確認することもできます。

ヒット数のデータは、実際のイベントから数分遅れることがあります。ファイアウォール インサイトは、ファイアウォール ルールロギングの仕様に適合するトラフィックの、ファイアウォール ヒット数の指標のみを生成します。たとえば、TCP と UDP のトラフィックのみがログに記録されます。

ファイアウォールが最後に使用した指標

トラフィックを許可または拒否するために特定のファイアウォール ルールが最後に適用された時間を確認するには、Firewall last used 指標を表示します。これらの指標を表示すると、最近使用されていないファイアウォール ルールを見つけることができます。

この指標は過去 42 日間の履歴を取得します。この期間は Cloud Logging の保持期間によって決まります。最後のヒットが過去 42 日より前に発生した場合、last hit timeN/A (not applicable) として表示されます。

ファイアウォール ルールの使用状況の指標は、ファイアウォール ルールロギングが有効になっている期間に対してのみ正確です。

インサイト レポート

インサイト レポートは、ファイアウォールの構成のインテリジェントな分析を提供します。レポートには 1 つ以上のインサイトが含まれます。

インサイトのタイプと状態

ファイアウォール インサイトには、google.compute.firewall.Insight というインサイト タイプがあります。

各インサイトは、次のいずれかの状態になり得ます。また、次の表で説明するように変更できます。

説明
ACTIVE インサイトはアクティブです。Google は、最新の情報に基づいて、ACTIVE インサイトのコンテンツを継続的に更新します。
DISMISSED

インサイトが拒否され、アクティブなインサイト リストに表示されなくなります。DISMISSED の状態は、[Dismissed History] ページで ACTIVE に復元できます。

ベータ期間中は、Cloud Console でインサイトの拒否と復元しかできません。詳しくは、インサイトを DISMISSED としてマークするをご覧ください。

シャドー ファイアウォール ルール

ファイアウォール インサイトはファイアウォール ルールを分析して、他のルールによって隠されているファイアウォール ルールを検出します。

シャドーイング対象ルールとは、IP アドレス範囲やポートなど、関連するすべての属性が、シャドーイング ルールと呼ばれる、より高いまたは等しい優先度を持つ 1 つ以上の他のファイアウォール ルールの属性と重複するファイアウォール ルールのことです。ファイアウォールは、重複のため、およびシャドールールの優先度がシャドーイングルールよりも低いため、シャドールールを評価しません。

シャドールールの例

この例では、一部のシャドールールとシャドーイング ルールに重複するソース IP 範囲フィルターがあり、他のルールには異なるルール優先度があります。

ファイアウォール ルール A から Eを、次表に示します。シャドールールのさまざまなシナリオについては、後述のセクションを参照してください。

ターゲット フィルタ プロトコルまたはポート 操作 優先度
ファイアウォール ルール A 上り すべてに適用 10.10.0.0/16 tcp:80 許可 1000
ファイアウォール ルール B 上り すべてに適用 10.10.0.0/24 tcp:80 許可 1000
ファイアウォール ルール C 上り web 10.10.2.0/24 tcp:80
tcp:443
許可 1000
ファイアウォール ルール D 上り web 10.10.2.0/24 tcp:80 拒否 900
ファイアウォール ルール E 上り web 10.10.2.0/24 tcp:443 拒否 900

例 1: ファイアウォール ルール B がファイアウォール ルール A により隠される

この例では、A と B の 2 つのファイアウォール ルールを使用します。2 つのルールは、ソース IP 範囲フィルターを除いて、ほとんど同じです。ファイアウォール ルール A の アドレス範囲は 10.10.0.0/16 で、ファイアウォール ルール B のアドレス範囲は 10.10.0.0/24 です。したがって、ファイアウォール ルール B はファイアウォール ルール A により隠されます。

通常、shadowed firewall rules インサイトはファイアウォールの構成ミスを示します。たとえば、ファイアウォール ルール A の IP フィルター設定が不必要に広すぎる場合や、ファイアウォール ルール B のフィルター設定が制限が厳しすぎて不要になる場合などです。

例 2: ファイアウォール ルール C が、ファイアウォール ルール D と E により隠される

この例では、C、D、E の 3 つのファイアウォール ルールを使用します。ファイアウォール ルール C は、HTTP ポート 80 と HTTPS ポート 443 のウェブ トラフィックの進入を許可しており、優先度は 1000 です(デフォルトの優先度)。ファイアウォール ルール D と E は、それぞれ HTTP および HTTPS Web トラフィックの進入を拒否しており、両方の優先度は 900(高優先度)です。したがって、ファイアウォール ルール C は、ファイアウォールルール D と E の組み合わせにより隠されます。

過去 6 週間にヒットのないルールを許可する

このメトリックに対して Cloud Console にから提供されるデータは、ファイアウォール ルール ロギングに基づいています。ファイアウォール ルールに対し、ファイアウォール ルール ロギングが過去 6 週間にわたって継続して有効にされている場合のにみ正確なデータになります。そうでない場合は、実際のヒット数が大きくなる可能性があります。

過去 24 時間にヒットしたルールを拒否する

ファイアウォール ルール ロギングを有効にすると、ファイアウォール インサイトはログを分析して、過去 24 時間に使用された deny ルールの分析情報を明らかにします。

こうした分析情報により、ファイアウォールのパケット ドロップのサインが得られます。これをチェックして、ドロップされたパケットがセキュリティ保護に伴うもので想定されていることや、ネットワークの構成ミスなどによって想定されていないことを確認できます。

指標と分析情報を確認できる場所

ファイアウォール インサイトの指標と分析情報は、Cloud Console の次の場所で確認できます。

次のステップ