Configurer la période d'observation et le cycle d'actualisation

Cette page explique comment configurer une période d'observation et un cycle d'actualisation dans Firewall Insights.

Pour obtenir un aperçu des insights disponibles, consultez la section Catégories et états de Firewall Insights.

Pour obtenir la liste des métriques d'utilisation du pare-feu, consultez la page Afficher les métriques Firewall Insights.

Rôles et autorisations requis

Afin d'obtenir l'autorisation dont vous avez besoin pour configurer la période d'observation et le cycle d'actualisation, demandez à votre administrateur de vous attribuer le rôle IAM Administrateur de l'outil de recommandation de pare-feu (roles/recommender.firewallAdmin) sur votre projet. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ce rôle prédéfini contient l'autorisation recommender.computeFirewallInsightTypeConfigs.update, qui est requise pour configurer la période d'observation et le cycle d'actualisation.

Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.

Configurer la période d'observation

Pour certains insights, vous pouvez configurer une période d'observation, c'est-à-dire l'intervalle de temps couvert par les insights. Par exemple, vous pouvez configurer la période d'observation pour les insights sur les règles trop permissives et sur les règles deny. La période d'observation par défaut est de six semaines. Vous pouvez configurer une période d'observation comprise entre sept jours et un an.

Par exemple, si vous définissez la période d'observation des insights sur les règles deny sur deux mois, lorsque vous examinez la liste des règles deny comportant des appels après la période d'observation, Firewall Insights n'affiche que celles qui ont eu des appels au cours des deux derniers mois. Supposons que vous modifiez ultérieurement la période d'observation à un mois. Firewall Insights peut identifier un nombre différent de règles, car il analyserait un intervalle de temps plus court.

Lorsque vous examinez des insights et configurez des périodes d'observation, tenez compte des points suivants :

  • Lorsque vous configurez la période d'observation des règles deny avec des appels, Firewall Insights met immédiatement à jour les résultats des insights.

  • Lorsque vous mettez à jour la période d'observation pour des insights sur des règles trop permissives, la mise à jour des résultats existants par Firewall Insights peut prendre jusqu'à 48 heures. En attendant, la période d'observation des résultats existants correspond à la période d'observation précédemment configurée.

  • Pour les insights trop permissifs, si l'insight n'a identifié aucune règle de pare-feu, Firewall Insights n'affiche pas la période d'observation permettant d'identifier les insights utilisés.

  • Les insights sur les règles bloquées n'ont pas de période d'observation, car ils n'évaluent pas les données historiques. L'analyse des règles bloquées évalue la configuration de vos règles de pare-feu existantes toutes les 24 heures.

  • Les données des journaux de trafic des dernières 24 heures peuvent ne pas être incluses lors de la génération d'insights.

Console

Configurez une période d'observation:

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Cliquez sur Configuration

  3. Cliquez sur Période d'observation.

  4. Le cas échéant, définissez la liste déroulante Période d'observation sur l'heure appropriée pour chacun des éléments suivants :

    • Insights sur les règles trop permissives

    • Insights sur les règles de refus

API

Pour définir la période d'observation des règles deny avec des appels, vous devez utiliser la console Google Cloud. Cependant, vous pouvez utiliser l'API Recommender pour définir la période d'observation des insights de règles trop permissives. Vous pouvez également utiliser l'API pour activer les insights et récupérer les détails de la configuration.

Pour définir la période d'observation des insights sur les règles trop permissives, utilisez la méthode updateConfig.

Pour utiliser la méthode updateConfig, définissez des valeurs pour tous ses paramètres. Indiquez également si les insights sur les règles bloquées et les insights sur les règles trop permissives sont activés ou désactivés.

Pour effectuer ce type de mise à jour, utilisez la requête suivante.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

Remplacez les valeurs suivantes :

  • PROJECT_ID : ID de votre projet
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE : durée, en secondes, de la période d'observation pour les insights sur les règles trop permissives
  • ENABLEMENT_SHADOWED : valeur booléenne indiquant si les insights sur les règles bloquées sont activés
  • ENABLEMENT_OVERLY_PERMISSIVE : valeur booléenne indiquant si les insights sur les règles trop permissives sont activés
  • ETAG : valeur de l'eTag de la stratégie IAM. Pour récupérer la valeur eTag, utilisez la méthode getConfig, comme décrit dans la section suivante.

Exemple

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

Récupérer les détails de la configuration

Pour récupérer des détails sur la configuration de Firewall Insights, utilisez la méthode getConfig, comme indiqué dans l'exemple suivant. 

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

Planifier un cycle d'actualisation personnalisé

Configurez un cycle d'actualisation afin de générer des insights sur les règles bloquées pour votre projet.

Vous pouvez programmer le début du cycle d'actualisation à une date spécifique et personnaliser sa fréquence. La fréquence par défaut du cycle est d'un jour (24 heures).

Console

Configurez un cycle d'actualisation personnalisé pour les insights :

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Cliquez sur Configuration

  3. Cliquez sur Activation.

  4. Pour activer les insights sur les règles bloquées, cliquez sur la bascule d'activation.

  5. Dans le champ Démarrer le, saisissez la date à partir de laquelle le cycle d'actualisation personnalisé doit démarrer.

  6. Dans le champ Répéter chaque, sélectionnez la fréquence du cycle d'actualisation à partir de la date de début du cycle :

    • jour : toutes les 24 heures
    • semaine : toutes les semaines, les jours que vous choisissez
    • mois : tous les mois
    • trimestre : tous les trimestres

    Le nouveau calendrier de génération d'insights prend effet 24 heures après l'enregistrement des modifications apportées à la planification.

Étapes suivantes