Configura il periodo di osservazione e il ciclo di aggiornamento

Questa pagina descrive come configurare un periodo di osservazione e un ciclo di aggiornamento in Firewall Insights.

Per una panoramica degli insight disponibili, consulta Categorie e stati di Firewall Insights.

Per un elenco delle metriche di utilizzo del firewall, consulta Visualizzare le metriche di Firewall Insights.

Ruoli e autorizzazioni richiesti

Per ottenere l'autorizzazione necessaria per configurare il periodo di osservazione e il ciclo di aggiornamento, chiedi all'amministratore di concederti il ruolo IAM Amministratore motore per suggerimenti firewall (roles/recommender.firewallAdmin) sul tuo progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questo ruolo predefinito contiene l'autorizzazione recommender.computeFirewallInsightTypeConfigs.update, necessaria per configurare il periodo di osservazione e il ciclo di aggiornamento.

Potresti anche essere in grado di ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.

Configura il periodo di osservazione

Per alcuni insight, puoi configurare un periodo di osservazione, l'intervallo di tempo interessato dall'insight. Ad esempio, puoi configurare il periodo di osservazione per gli insight eccessivamente permissivi e sulle regole deny. La finestra di osservazione predefinita è di sei settimane e puoi configurare il periodo di osservazione da sette giorni a un anno.

Ad esempio, se imposti il periodo di osservazione per gli insight sulle regole deny su due mesi, quando esamini l'elenco di regole deny con hit dopo il periodo di osservazione, Firewall Insights mostra solo quelle che hanno avuto corrispondenze negli ultimi due mesi. Supponiamo che in un secondo momento modifichi il periodo di osservazione impostandolo su un mese. Firewall Insights potrebbe identificare un numero diverso di regole perché analizza un intervallo di tempo più breve.

Quando esamini gli insight e configuri i periodi di osservazione, tieni presente quanto segue:

  • Quando configuri il periodo di osservazione per le regole deny con hit, Firewall Insights aggiorna immediatamente i risultati degli insight.

  • Quando aggiorni il periodo di osservazione per gli insight sulle regole eccessivamente permissive, Firewall Insights può impiegare fino a 48 ore per aggiornare i risultati esistenti. Nel frattempo, il periodo di osservazione per i risultati esistenti corrisponde al periodo di osservazione configurato in precedenza.

  • Per insight eccessivamente permissivi, se l'insight non ha identificato regole firewall, Firewall Insights non visualizza il periodo di osservazione per identificare gli insight utilizzati.

  • Gli insight sulle regole con shadowing non hanno un periodo di osservazione perché non valutano i dati storici. L'analisi delle regole con shadowing valuta la configurazione delle regole firewall esistenti ogni 24 ore.

  • I dati del log sul traffico delle ultime 24 ore potrebbero non essere inclusi durante la generazione di insight.

Console

Configura un periodo di osservazione:

  1. Nella console Google Cloud, vai alla pagina Approfondimenti firewall.

    Vai a Firewall Insights

  2. Fai clic su Configurazione.

  3. Fai clic su Periodo di osservazione.

  4. Se appropriato, imposta l'elenco a discesa Periodo di osservazione sul momento appropriato per ognuna delle seguenti situazioni:

    • Insight sulle regole eccessivamente permissive

    • Approfondimenti sulle regole di negazione

API

Per impostare il periodo di osservazione per le regole deny con hit, devi utilizzare la console Google Cloud. Tuttavia, puoi utilizzare l'API Recommender per impostare il periodo di osservazione per gli insight sulle regole eccessivamente permissive. Puoi utilizzare l'API anche per abilitare gli insight e recuperare i dettagli della configurazione.

Per impostare il periodo di osservazione per gli insight sulle regole eccessivamente permissive, utilizza il metodo updateConfig.

Per utilizzare il metodo updateConfig, imposta i valori per tutti i parametri associati. Specifica inoltre se gli insight regola oscurata e gli insight sulle regole eccessivamente permissive sono abilitati o disabilitati.

Per effettuare questo tipo di aggiornamento, utilizza la richiesta seguente.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

Sostituisci i seguenti valori:

  • PROJECT_ID: l'ID del progetto
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE: il tempo, in secondi, del periodo di osservazione per gli insight sulle regole eccessivamente permissive
  • ENABLEMENT_SHADOWED: un valore booleano che rappresenta se gli insight regola oscurata sono abilitati
  • ENABLEMENT_OVERLY_PERMISSIVE: un valore booleano che indica se sono abilitati gli insight sulle regole eccessivamente permissive
  • ETAG: il valore etag del criterio IAM. Per recuperare il valore etag, utilizza il metodo getConfig, come descritto nella sezione seguente

Esempio

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

Recuperare i dettagli di configurazione

Per recuperare i dettagli su come è configurato Firewall Insights, utilizza il metodo getConfig come mostrato nell'esempio seguente. 

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

Pianificare un ciclo di aggiornamento personalizzato

Configura un ciclo di aggiornamento per generare insight sulle regola oscurata per il tuo progetto.

Puoi pianificare il ciclo di aggiornamento in modo che inizi in una data specificata e personalizzare la frequenza del ciclo. La frequenza del ciclo predefinita è un giorno (24 ore).

Console

Configura un ciclo di aggiornamento personalizzato per gli approfondimenti:

  1. Nella console Google Cloud, vai alla pagina Approfondimenti firewall.

    Vai a Firewall Insights

  2. Fai clic su Configurazione.

  3. Fai clic su Abilitazione.

  4. Per abilitare gli insight regola oscurata, fai clic sul pulsante di attivazione/disattivazione.

  5. Nel campo Inizia il, inserisci una data di inizio del ciclo di aggiornamento personalizzato.

  6. Nel campo Ripeti ogni, seleziona la frequenza del ciclo di aggiornamento a partire dalla data di inizio del ciclo:

    • day: ogni 24 ore
    • week: ogni settimana nei giorni selezionati
    • month: ogni mese
    • trimestre: ogni trimestre

    La nuova pianificazione di generazione di insight entra in vigore 24 ore dopo il salvataggio delle modifiche apportate alla pianificazione.

Passaggi successivi