Visão geral do Firewall Insights

O Firewall Insights permite entender melhor e otimizar com segurança suas configurações de firewall. O Firewall Insights fornece relatórios que contêm informações sobre o uso do firewall e o impacto de várias regras de firewall na sua rede de nuvem privada virtual (VPC, na sigla em inglês).

Para mais informações sobre os conceitos do Insights, consulte a seção Insights na documentação do Recomendador.

Vantagens

Os relatórios de métricas e insights do Firewall Insights permitem gerenciar suas configurações de firewall das maneiras descritas a seguir.

Com os relatórios de métricas, você pode executar as seguintes tarefas:

  • Verificar se as regras de firewall estão sendo usadas da maneira pretendida.
  • Durante períodos especificados, verificar se as regras do firewall permitem ou bloqueiam as conexões pretendidas.
  • Executar depuração em tempo real de conexões que foram eliminadas inadvertidamente devido a regras de firewall.
  • Use o Cloud Monitoring para descobrir tentativas mal-intencionadas de acessar sua rede, inclusive recebendo alertas quando houver alterações significativas nas contagens de ocorrências das regras de firewall.

Com os relatórios de insights, você pode revisar os resultados de uma análise inteligente que resulta em um ou mais insights. Esses insights permitem executar as seguintes tarefas:

Relatórios de métricas

As métricas que rastreiam a utilização do firewall ajudam a analisar o uso das regras de firewall na sua rede VPC. As métricas estão disponíveis na API para monitoramento de nuvem.

Para obter mais informações, consulte Visualizando métricas do Firewall Insights.

Métricas de contagem de hits do firewall

O Firewall Insights controla a contagem de ocorrências do firewall para todo o tráfego registrado pelo Log de Regras do Firewall. Para cada regra de firewall com o log ativado, você pode ver quantas vezes a regra de firewall bloqueou ou permitiu conexões. Também é possível ver essas métricas para a interface de instâncias de máquina virtual específicas.

Os dados para uma contagem de ocorrências podem ficar vários minutos atrás do evento real. O Firewall Insights gera apenas métricas de contagem de hits do firewall para o tráfego que se encaixa nas especificações do Registro de regras do firewall. Por exemplo, apenas o tráfego TCP e UDP pode ser registrado.

Métricas usadas pela última vez pelo firewall

Você pode ver a última vez que uma regra de firewall específica foi aplicada para permitir ou negar tráfego, visualizando as métricas de Firewall last used. A visualização dessas métricas permite descobrir quais regras de firewall não foram usadas recentemente.

Essa métrica captura o histórico dos últimos 42 dias. Esse período é determinado pelo período de armazenamento do Cloud Logging. Se a última ocorrência ocorreu antes de nos últimos 42 dias, last hit time será mostrado como N/A (not applicable).

As métricas de uso de regras de firewall são precisas apenas pelo período durante o qual o Registro de regras de firewall está ativado.

Relatórios do Insight

Os relatórios do Insight fornecem uma análise inteligente da configuração de seus firewalls. Um relatório contém um ou mais insights.

Tipos e estados do Insight

O tipo de insight para o Firewall Insights é denominado google.compute.firewall.Insight.

Cada insight pode ter um dos seguintes estados, que você pode alterar conforme descrito na tabela a seguir.

State Descrição
ACTIVE O insight está ativo. O Google continua a atualizar o conteúdo de ACTIVE com base nas informações mais recentes.
DISMISSED

O insight é descartado e não é mais mostrado em nenhuma lista de insights ativos para qualquer usuário. É possível restaurar o estado DISMISSED para ACTIVE na página Histórico de insights descartados.

Durante o período Beta, somente é possível descartar e restaurar insights com o Console do Cloud. Para mais informações, consulte Como marcar um insight como DISMISSED.

Regras de firewall ocultas

O Firewall Insights analisa suas regras de firewall para detectar regras de firewall sombreadas por outras regras.

Uma regra sombreada é uma regra de firewall que possui todos os seus atributos relevantes, como intervalo e portas de endereços IP, sobrepostos por atributos de uma ou mais regras de firewall de prioridade mais alta ou igual, chamadas regras de sombreamento. Um firewall não avalia uma regra sombreada devido à sobreposição e porque a regra sombreada tem uma prioridade mais baixa do que suas regras de sombreamento.

Exemplos de regras sombreadas

Neste exemplo, algumas regras ocultas e de ocultamento têm filtros de intervalo de IP de origem sobrepostos e outras têm prioridades de regras diferentes.

A tabela a seguir mostra as regras de firewall A a E. Consulte as seções que seguem a tabela para diferentes cenários de regras sombreadas.

Tipo Metas Filtros Protocolos ou portas Ação Priority
Regra de firewall A Entrada Aplicar a todas 10.10.0.0/16 tcp:80 Allow 1000
Regra de firewall B Entrada Aplicar a todas 10.10.0.0/24 tcp:80 Allow 1000
Regra de firewall C Entrada web 10.10.2.0/24 tcp:80
tcp:443
Allow 1000
Regra de firewall D Entrada web 10.10.2.0/24 tcp:80 Negar 900
Regra de firewall E Entrada web 10.10.2.0/24 tcp:443 Negar 900

Exemplo 1: a regra de firewall B é sombreada pela regra de firewall A

Neste exemplo, existem duas regras de firewall, A e B. Essas regras são quase as mesmas, exceto pelos filtros de intervalo de IP de origem. O intervalo de IPs da regra de firewall A é 10.10.0.0/16, enquanto o intervalo de endereços da regra de firewall B é 10.10.0.0/24. Assim, a regra de firewall B é sombreada pela regra de firewall A.

O insight shadowed firewall rules geralmente indica configuração incorreta do firewall. Por exemplo, a configuração de filtros IP da regra de firewall A é desnecessariamente muito ampla ou a configuração de filtros da regra B de firewall é muito restritiva e não é necessária.

Exemplo 2: a regra de firewall C é sombreada pelas regras de firewall D e E

Neste exemplo, existem três regras de firewall: C, D e E. A regra de firewall C permite a entrada do tráfego da Web das portas HTTP 80 e HTTPS 443 e tem uma prioridade de 1000 (prioridade padrão). As regras de firewall D e E negam a entrada de tráfego da Web HTTP e HTTPS, respectivamente, e ambas têm uma prioridade de 900 (alta prioridade). Assim, o firewall C é sombreado pelas regras de firewall D e E combinadas.

Regras de permissão sem ocorrência nas últimas seis semanas

Os dados fornecidos pelo Cloud Console para essa métrica são baseados no log de regras do firewall. Os dados são precisos somente se o Registro de regras de firewall tiver sido ativado continuamente para a regra de firewall nas últimas seis semanas. Caso contrário, o número real de contagens de ocorrências poderá ser maior.

Negar regras com hits nas últimas 24 horas

Quando você ativa o registros de regras de firewall, o Firewall Insights analisa os registros para mostrar insights sobre qualquer regra deny usada nas últimas 24 horas.

Essas informações fornecem sinais de queda de pacotes do firewall, que você pode verificar para verificar se os pacotes descartados são esperados devido a proteções de segurança ou se são inesperados devido a configurações incorretas da rede, por exemplo.

Onde você pode visualizar métricas e informações

É possível ver as métricas e insights do Firewall Insights nos seguintes locais do Console do Cloud:

A seguir