Configurer la période d'observation et le cycle d'actualisation

Cette page explique comment configurer une période d'observation et un cycle d'actualisation dans Firewall Insights.

Pour obtenir un aperçu des insights disponibles, consultez la section Catégories et états de Firewall Insights.

Pour obtenir la liste des métriques d'utilisation du pare-feu, consultez Affichez les métriques Firewall Insights.

Rôles et autorisations requis

Pour obtenir l'autorisation dont vous avez besoin pour configurer la période d'observation et le cycle d'actualisation, demandez à votre administrateur de vous accorder le rôle IAM Administrateur du Recommandeur de pare-feu (roles/recommender.firewallAdmin) sur votre projet. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient recommender.computeFirewallInsightTypeConfigs.update les autorisations, qui est nécessaire pour configurer la période d'observation et le cycle d'actualisation.

Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.

Configurer la période d'observation

Pour certains insights, vous pouvez configurer une période d'observation, c'est-à-dire l'intervalle de temps couvert par l'insight. Par exemple, vous pouvez configurer la période d'observation des insights sur les règles trop permissives et les règles deny. La période d'observation par défaut est de six semaines. Vous pouvez la configurer entre sept jours et un an.

Par exemple, si vous définissez la période d'observation pour deny insight sur les règles à deux mois, lorsque vous examinez la liste des règles deny avec après la période d'observation, Firewall Insights vous indique que ceux qui ont fait l'objet d'appels au cours des deux derniers mois. Supposons que vous modifiiez la période d'observation sur un mois. Firewall Insights peut identifier un nombre différent de règles, car il analysera un intervalle de temps plus court.

Lorsque vous examinez des insights et configurez des périodes d'observation, tenez compte des points suivants :

  • Lorsque vous configurez la période d'observation des règles deny avec des appels, Firewall Insights met immédiatement à jour les résultats des insights.

  • Lorsque vous mettez à jour la période d'observation pour des insights sur des règles trop permissives, la mise à jour des résultats existants par Firewall Insights peut prendre jusqu'à 48 heures. En attendant, la période d'observation des résultats existants correspond à la période d'observation précédemment configurée.

  • Pour les insights trop permissifs, si l'insight n'a identifié aucune règle de pare-feu, Firewall Insights n'affiche pas la période d'observation pour identifier les insights utilisés.

  • Les insights sur les règles bloquées ne présentent pas de période d'observation, car ils n'évaluent pas les données de l'historique. L'analyse des règles bloquées évalue la configuration de vos règles de pare-feu existantes toutes les 24 heures.

  • Les données des journaux de trafic des dernières 24 heures peuvent ne pas être incluses lors de la génération des insights.

Console

Configurez une période d'observation :

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Cliquez sur Configuration

  3. Cliquez sur Période d'observation.

  4. Le cas échéant, définissez la liste déroulante Période d'observation sur l'heure appropriée pour chacun des éléments suivants :

    • Insights sur les règles trop permissives

    • Insights sur les règles de refus

API

Pour définir la période d'observation des règles deny avec des appels, vous devez utiliser la console Google Cloud. Cependant, vous pouvez utiliser l'API Recommender pour définir la période d'observation des insights de règles trop permissives. Vous pouvez également utiliser l'API pour activer les insights et récupérer les détails de la configuration.

Pour définir la période d'observation des insights sur les règles trop permissives, utilisez le Méthode updateConfig.

Pour utiliser la méthode updateConfig, définissez des valeurs pour tous ses paramètres. Spécifiez également si les insights sur les règles bloquées et les règles trop permissives sont activés ou désactivés.

Pour effectuer ce type de mise à jour, utilisez la requête suivante.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

Remplacez les valeurs suivantes :

  • PROJECT_ID : ID de votre projet
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE : durée, en secondes, de la période d'observation pour les insights sur les règles trop permissives
  • ENABLEMENT_SHADOWED : valeur booléenne indiquant si les insights sur les règles bloquées sont activés
  • ENABLEMENT_OVERLY_PERMISSIVE : valeur booléenne indiquant si les insights sur les règles trop permissives sont activés
  • ETAG : valeur de l'eTag de la stratégie IAM. Pour récupérer la valeur eTag, utilisez la méthode getConfig, comme décrit dans la section suivante.

Exemple

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

Récupérer les détails de la configuration

Pour récupérer les détails de la configuration de Firewall Insights, utilisez la méthode getConfig, comme indiqué dans l'exemple suivant. 

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

Planifier un cycle d'actualisation personnalisé

Configurez un cycle d'actualisation afin de générer des insights sur les règles bloquées pour votre projet.

Vous pouvez programmer le cycle d'actualisation pour qu'il commence à une date spécifique et la personnaliser la fréquence du cycle. La fréquence par défaut du cycle est d'un jour (24 heures).

Console

Configurez un cycle d'actualisation personnalisé pour les insights :

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Cliquez sur Configuration

  3. Cliquez sur Activation.

  4. Pour activer les insights sur les règles bloquées, cliquez sur la bascule d'activation.

  5. Dans le champ Démarrer le, saisissez la date à partir de laquelle le cycle d'actualisation personnalisé doit démarrer.

  6. Dans le champ Répéter chaque, sélectionnez la fréquence du cycle d'actualisation à partir de la date de début du cycle :

    • jour : toutes les 24 heures
    • semaine : toutes les semaines, les jours que vous choisissez
    • mois : tous les mois
    • trimestre : tous les trimestres

    Le nouveau calendrier de génération d'insights prend effet 24 heures après l'enregistrement des modifications apportées à la planification.

Étape suivante