Visão geral do Firewall Insights

O Firewall Insights ajuda você a entender melhor e otimizar com segurança suas regras de firewall. Ele fornece dados sobre como as regras de firewall estão sendo usadas, expõem configurações incorretas e identifica regras que podem ser mais rígidas. Ele também usa o machine learning para prever o uso futuro das regras de firewall. Assim, é possível tomar decisões informadas sobre remover ou restringir regras que parecem ser muito permissivas.

O Firewall Insights usa as métricas do Cloud Monitoring e os insights do Recomendador. Para mais informações sobre esses produtos, consulte a seguinte documentação:

Benefícios

O Firewall Insights produz métricas e insights que permitem tomar decisões melhores sobre suas regras de firewall.

Com as métricas do Firewall Insights, você pode executar as seguintes tarefas:

  • Verificar se as regras de firewall estão sendo usadas da maneira pretendida.
  • Durante períodos especificados, verificar se as regras do firewall permitem ou bloqueiam as conexões pretendidas.
  • Realize a depuração em tempo real das conexões que são descartadas inadvertidamente devido a regras de firewall.
  • Descubra tentativas mal-intencionadas de acessar sua rede, em parte recebendo alertas sobre alterações significativas nas contagens de ocorrências das regras de firewall.

Com insights, é possível realizar as seguintes tarefas:

  • Identificar configurações incorretas do firewall.
  • Identificar ataques de segurança.
  • Otimize as regras de firewall e restrinja os limites de segurança identificando regras allow permissivas e analisando previsões sobre o uso futuro delas.

Métrica

As métricas do Firewall Insights permitem analisar como suas regras de firewall estão sendo usadas. Essas métricas estão disponíveis no Cloud Monitoring e do console do Google Cloud.

As métricas são derivadas por meio da Geração de registros de regras de firewall. Elas estão disponíveis apenas para regras com a Geração de registros de regras de firewall ativada e são precisas apenas durante o período em que a Geração de registros de regras de firewall está ativada. Além disso, as métricas de firewall são geradas apenas para o tráfego que se encaixa nas especificações da Geração de registros de regras de firewall. Por exemplo, os dados são registrados e as métricas são geradas apenas para o tráfego TCP e UDP. Para uma lista completa de critérios, consulte Especificações na visão geral de Geração de registros de regras de firewall.

Métricas de contagem de hits do firewall

A métrica firewall_hit_count rastreia o número de vezes que uma regra de firewall foi usada para permitir ou negar tráfego.

Para cada regra de firewall, o Cloud Monitoring armazena dados da métrica firewall_hit_count somente se a regra tiver ocorrências devido ao tráfego TCP ou UDP. Ou seja, o Cloud Monitoring não armazena dados sobre regras que não tiveram ocorrências.

Também é possível visualizar os dados derivados dessa métrica nas seguintes páginas no console do Cloud:

Os dados nessas páginas não são idênticos aos dados de métrica firewall_hit_count armazenados no Cloud Monitoring. Por exemplo, enquanto o Cloud Monitoring não identifica explicitamente regras sem ocorrências, o console do Cloud mostra uma contagem de zero ocorrências para uma regra se determinadas condições forem atendidas. Ou seja, o console do Cloud mostrará uma contagem de zero ocorrências se a geração de registros da regra de firewall estiver ativada e o Cloud Monitoring não registrar ocorrências para a regra. Esse estado pode ocorrer com regras configuradas para permitir ou negar tráfego TCP, UDP, ICMP ou qualquer outro tipo.

Esse comportamento difere do insight de permitir regras sem ocorrências. Quando esse insight identifica regras que não tiveram ocorrências, ele omite as regras de firewall configuradas para permitir o tráfego diferente de TCP ou UDP. Isso acontecerá mesmo se essas regras também permitirem tráfego TCP ou UDP.

Métricas usadas pela última vez pelo firewall

Você pode ver a última vez que uma regra de firewall específica foi aplicada para permitir ou negar tráfego, visualizando a métrica firewall_last_used_timestamp. A visualização dessas métricas permite ver quais regras de firewall não foram usadas recentemente.

Essa métrica captura a contagem total de hits nos últimos 24 meses ou pelo tempo em que a geração de registros estiver ativada, o que for menor. Esse período é determinado pelo período de armazenamento do Cloud Logging. Se o último hit tiver ocorrido antes dos últimos 24 meses, last hit time será mostrado como N/A (not applicable).

Insights

Os insights fornecem análises sobre a configuração e o uso das regras de firewall. Eles usam o tipo de insight google.compute.firewall.Insight.

Categorias e estados do Insight

Nesta seção, descrevemos as categorias do Firewall Insights, bem como os estados que um insight pode ter.

Categorias de insight

No Firewall Insights, os insights se enquadram em duas categorias gerais. Essas categorias são descritas na tabela a seguir.

Categoria Descrição Insights
Baseada em configuração Esses insights são gerados com base em dados sobre a configuração das suas regras de firewall. Regras ocultas
Com base em registros Esses insights são gerados com base nos registros sobre o uso das regras de firewall, além de informações sobre como as regras são configuradas.
  • Regras excessivamente permissivas
    • Regras Allow sem ocorrências
    • Regras Allow com atributos não utilizados
    • Allow regras com intervalos de portas ou endereços IP excessivamente permissivos
  • Regras Deny com ocorrências

Estados de insight

Cada insight pode ter um dos seguintes estados, que você pode alterar conforme descrito na tabela a seguir.

Estado Descrição
ACTIVE O insight está ativo. O Google continua a atualizar o conteúdo de ACTIVE com base nas informações mais recentes.
DISMISSED

O insight é descartado e não é mais mostrado em nenhuma lista de insights ativos para qualquer usuário. É possível restaurar o estado DISMISSED para ACTIVE na página Histórico de insights descartados.

Para mais informações, consulte Como marcar um insight como descartado.

Regras ocultas

O Firewall Insights analisa suas regras de firewall para detectar regras de firewall sombreadas por outras regras. Uma regra sombreada é uma regra de firewall que possui todos os seus atributos relevantes, como o endereço IP e intervalos de portas, sobrepostos por atributos de uma ou mais regras com prioridade maior ou igual, chamadas de regras de sombreamento.

O Firewall Insights não identifica todas as regras de sombreamento possíveis. Mais especificamente, ele não identifica que as tags de uma regra de firewall foram ocultadas por várias tags de outras regras de firewall.

Na estrutura do recomendador, cada subtipo de insight tem um nível de gravidade. Para insights de regras ocultas, o nível de gravidade é medium. Para mais informações, consulte Gravidade na documentação do recomendador.

Exemplos de regras sombreadas

Neste exemplo, algumas regras ocultas e de ocultamento têm filtros de intervalo de IP de origem sobrepostos e outras têm prioridades de regras diferentes.

A tabela a seguir mostra as regras de firewall A a E. Para diferentes cenários de regras sombreadas, consulte as seções que seguem a tabela.

Tipo Metas Filtros Protocolos ou portas Ação Priority
Regra de firewall A Entrada Aplicar a todas 10.10.0.0/16 tcp:80 Allow 1000
Regra de firewall B Entrada Aplicar a todas 10.10.0.0/24 tcp:80 Allow 1000
Regra de firewall C Entrada web 10.10.2.0/24 tcp:80
tcp:443
Allow 1000
Regra de firewall D Entrada web 10.10.2.0/24 tcp:80 Negar 900
Regra de firewall E Entrada web 10.10.2.0/24 tcp:443 Negar 900

Exemplo 1: a regra de firewall B é sombreada pela regra de firewall A

Neste exemplo, existem duas regras de firewall, A e B. Essas regras são quase as mesmas, exceto pelos filtros de intervalo de IP de origem. O intervalo de IPs da regra de firewall A é 10.10.0.0/16, enquanto o intervalo de endereços da regra de firewall B é 10.10.0.0/24. Assim, a regra de firewall B é sombreada pela regra de firewall A.

O insight shadowed firewall rules geralmente indica configuração incorreta do firewall. Por exemplo, a configuração de filtros IP da regra de firewall A é desnecessariamente ampla ou a configuração de filtros da regra B de firewall é muito restritiva e não é necessária.

Exemplo 2: a regra de firewall C é sombreada pelas regras de firewall D e E

Neste exemplo, existem três regras de firewall: C, D e E. A regra de firewall C permite a entrada do tráfego da Web das portas HTTP 80 e HTTPS 443 e tem uma prioridade de 1000 (prioridade padrão). As regras de firewall D e E negam a entrada de tráfego da Web HTTP e HTTPS, respectivamente, e ambas têm uma prioridade de 900 (alta prioridade). Assim, o firewall C é sombreado pelas regras de firewall D e E combinadas.

Regras excessivamente permissivas

O Firewall Insights fornece uma análise abrangente das regras de firewall. Esta análise inclui os seguintes insights:

Conforme descrito em Previsões de machine learning, alguns desses insights incluem previsões sobre se uma regra ou um atributo provavelmente será alcançado no futuro.

Os dados fornecidos por esses insights são baseados na geração de registros de regras de firewall. Esses dados só serão precisos se a geração de registros de regras de firewall tiver sido ativada continuamente durante todo o período de observação. Caso contrário, o número real de regras em cada categoria de insight poderá ser maior que o indicado.

Insights de regra excessivamente permissivos avaliam o tráfego TCP e UDP. Outros tipos de tráfego não são analisados. Para mais detalhes, consulte a descrição de cada insight.

Na estrutura do recomendador, cada subtipo de insight tem um nível de gravidade. Para insights de regras permissivos demais, o nível de gravidade é high. Para mais informações, consulte Gravidade na documentação do recomendador.

Regras de permissão sem ocorrências

Esse insight identifica regras allow que não tiveram ocorrências durante o período de observação.

Para cada regra identificada, esse insight também informa a probabilidade de a regra ser atingida no futuro. Essa previsão é produzida por uma análise de machine learning (ML) que considera o padrão de tráfego histórico dessa regra e de regras semelhantes na mesma organização.

Para ajudar você a entender a previsão, esse insight identifica regras semelhantes no mesmo projeto que a regra identificada por ele. O insight lista a contagem de ocorrências dessas regras e resume os detalhes de configuração delas. Esses detalhes incluem a prioridade e os atributos de cada regra, como o endereço IP e os intervalos de portas.

Allow rules with no hits avalia as regras de firewall aplicadas ao tráfego TCP e UDP. Se uma regra de firewall permitir qualquer outro tipo de tráfego, ela não será incluída nesta análise.

Para informações sobre as previsões usadas pelo Firewall Insights, consulte Previsões de machine learning.

Regras de permissão com atributos não utilizados

Para regras allow que foram atingidas durante o período de observação, esse insight informa todos os atributos dessa regra, como endereços IP e intervalos de portas, que não foram atingidos durante o mesmo período.

Para esses atributos não utilizados, esse insight informa a probabilidade de que eles sejam atingidos no futuro. Essa previsão é baseada em uma análise de ML que considera os padrões de tráfego histórico da regra e regras semelhantes na mesma organização.

Para ajudar você a entender a previsão, o insight resume outras regras de firewall no mesmo projeto que têm atributos semelhantes. Esse resumo inclui dados para determinar se os atributos dessas regras foram alcançados.

Allow rules with unused attributes avalia apenas os atributos definidos para o tráfego TCP e UDP. Se uma regra permitir outros tipos de tráfego além de TCP e UDP, ela poderá ser incluída nessa análise. No entanto, os atributos relacionados a outros tipos de tráfego não são analisados.

Por exemplo, suponha que uma regra permita o tráfego TCP e ICMP. Se o intervalo de endereços IP permitido parecer não ser utilizado, ele não será considerado porque pode ser usado para tráfego ICMP. No entanto, se a mesma regra tiver um intervalo de portas TCP que não seja usado, a regra será sinalizada como excessivamente permissiva.

Para informações sobre as previsões usadas pelo Firewall Insights, consulte Previsões de machine learning.

Permitir regras com intervalos de portas ou endereços IP excessivamente permissivos

Para regras allow que foram atingidas durante o período de observação, esse insight identifica regras que podem ter endereços IP ou intervalos de portas excessivamente amplos.

Esse insight é útil porque as regras de firewall geralmente são criadas com um escopo mais amplo do que o necessário. Um escopo excessivamente amplo pode levar a riscos de segurança.

Esse insight ajuda a atenuar esse problema analisando o uso real do endereço IP e dos intervalos de portas das suas regras. Para regras com intervalos excessivamente amplos, ele também sugere uma combinação alternativa de intervalos de endereços IP e portas. Com esse conhecimento, é possível remover os intervalos que parecem desnecessários com base nos padrões de tráfego durante o período de observação.

Allow rules with overly permissive IP address or port ranges avalia apenas os atributos definidos para o tráfego TCP e UDP. Se uma regra permitir outros tipos de tráfego além de TCP e UDP, ela poderá ser incluída nessa análise. No entanto, os atributos relacionados a outros tipos de tráfego não são analisados.

Por exemplo, suponha que uma regra permita o tráfego TCP e ICMP. Se o intervalo de endereços IP permitido parecer usado apenas parcialmente, o insight não sinalizará o intervalo de endereços IP como excessivamente amplo, porque ele pode ser usado para tráfego ICMP. No entanto, se a mesma regra tiver um intervalo de portas TCP usado apenas parcialmente, ela será sinalizada como excessivamente permissiva.

Tenha em mente que o projeto pode ter regras de firewall que permitem o acesso de determinados blocos de endereços IP para verificações de integridade do balanceador de carga ou para outra funcionalidade do Google Cloud. Esses endereços IP podem não ocorrer, mas não podem ser removidos das suas regras de firewall. Para mais informações sobre esses intervalos, consulte a documentação do Compute Engine.

Previsões de machine learning

Conforme descrito nas seções anteriores, dois insights (regras allow sem ocorrências e regras allow com atributos não utilizados) usam previsões de ML.

Para gerar previsões, o Firewall Insights treina um modelo de ML em todas as regras de firewall da mesma organização. Dessa forma, o Firewall Insights aprende padrões comuns. Por exemplo, o Firewall Insights aprende sobre combinações de atributos que tendem a ser atingidos. Esses atributos podem incluir intervalos de endereços IP, intervalos de portas e protocolos de IP. Se a regra de firewall que está sendo analisada contiver alguns dos padrões comuns que provavelmente foram atingidos, o Firewall Insights tem maior confiança de que a regra pode ser atingida no futuro. O inverso também é verdadeiro.

Para cada insight que usa previsões, o Firewall Insights mostra detalhes sobre as regras que foram consideradas semelhantes à regra identificada pelo insight. Especificamente no painel Detalhes do Insight, o Firewall Insights mostra detalhes sobre as três regras mais semelhantes à regra do assunto da previsão. Quanto maior for a sobreposição entre os atributos de duas regras, mais semelhantes serão consideradas.

Para regras allow sem ocorrências, considere o exemplo a seguir:

Suponha que a regra A tenha os seguintes atributos:

Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80

Suponha que a regra B tenha os atributos a seguir:

Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80

Essas duas regras compartilham as mesmas tags de destino, atributos de protocolo e atributos de porta. Eles diferem apenas no atributo de origem. Por esse motivo, eles são considerados semelhantes.

Para regras allow com atributos não utilizados, a similaridade é determinada da mesma maneira. Para esse insight, o Firewall Insights considera regras semelhantes quando a configuração inclui os mesmos atributos.

Negar regras com ocorrências

Esse insight fornece detalhes sobre as regras de deny que tiveram ocorrências durante o período de observação.

Esses insights fornecem sinais de queda de pacote do firewall. Em seguida, você pode verificar se os pacotes descartados são esperados devido a proteções de segurança ou se são resultado de uma configuração incorreta da rede.

Onde você pode visualizar métricas e informações

É possível ver as métricas e insights do Firewall Insights nos seguintes locais do console do Cloud:

A seguir