Questa pagina descrive come attivare le API e le funzionalità necessarie per utilizzare Firewall Insights.
Prima di usare Firewall Insights, seleziona un progetto, assicurati di disporre dei ruoli e delle autorizzazioni richiesti, quindi completa la le attività di configurazione richieste. Per ulteriori informazioni sui primi due passaggi, consulta Ruoli e autorizzazioni.
Le attività di configurazione variano in base alle metriche e alle informazioni che vuoi utilizzare. Per maggiori dettagli consulta la tabella seguente.
| Attività | Tutte le metriche | Insight sulle regole oscurate | Insight sulle regole eccessivamente permissive | Regole di negazione con hit |
|---|---|---|---|---|
| Abilita l'API Firewall Insights | ✔ | ✔ | ✔ | ✔ |
| Abilitare il logging delle regole firewall | ✔ | ✔ | ✔ | |
| Attiva l'API Recommender | ✔ | ✔ | ||
| Attivare questo tipo di approfondimenti | ✔ | ✔ | ||
| Configurare un periodo di osservazione | ✔ | ✔ | ||
| Pianificare un ciclo di aggiornamento personalizzato | ✔ |
Le seguenti sezioni descrivono come abilitare le API e le funzionalità.
Abilita l'API Firewall Insights
Prima di eseguire qualsiasi attività utilizzando Firewall Insights, devi abilitare la Firewall Insights API.
Per attivare l'API, puoi utilizzare i passaggi che seguono o la libreria API della console Google Cloud, descritta in Attivare le API nella documentazione delle API Cloud.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti sul firewall.
Nella pagina Firewall Insights API, fai clic su Attiva.
gcloud
Utilizza questo comando:
gcloud services enable firewallinsights.googleapis.com
Attivare il logging delle regole firewall
Per visualizzare uno dei seguenti elementi, devi abilitare Logging delle regole firewall:
- Metriche sulle regole firewall
- Approfondimenti sulle regole eccessivamente permissive o sulle regole
deny; questi approfondimenti sono noti collettivamente come approfondimenti basati su log
Firewall Insights genera metriche e insight basati su log solo per le regole che hanno il logging abilitato. Per ulteriori informazioni, consulta Panoramica del logging delle regole firewall.
Abilita l'API Recommender
Abilita l'API Recommender per eseguire le seguenti operazioni:
- Utilizza gli insight regola oscurata
- Utilizzare gli insight sulle regole eccessivamente permissive
Recupera i dati effettuando chiamate API o utilizzando Google Cloud CLI
Console
Nella console Google Cloud, vai alla pagina Abilita l'accesso all'API.
Assicurati che sia selezionato il progetto corretto, quindi fai clic su Avanti.
Fai clic su Attiva.
gcloud
Utilizza il seguente comando:
gcloud services enable recommender.googleapis.com
Attivare gli insight sulle regole oscurate o eccessivamente permissive
Firewall Insights non genera shadowing o eccessivamente insight sulle regole permissive, a meno che non abiliti attivamente queste funzionalità su nella pagina Firewall Insights.
Dopo aver attivato una delle funzionalità, potresti dover attendere fino a 48 ore per visualizzare gli approfondimenti generati.
Quando crei o aggiorni una regola firewall, potresti dover attendere fino a dieci giorni per visualizzare le previsioni del machine learning per gli approfondimenti sulle regole eccessivamente permissive. Nel frattempo, puoi visualizzare gli insight basati sui dati raccolti dal logging delle regole firewall.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti sul firewall.
Fai clic su Configurazione.
Fai clic su Abilitazione.
Se necessario, sposta il cursore su Attivata o Disattivata per uno o più entrambi i seguenti elementi:
Approfondimenti sulle regole oscurate
Insight sulle regole eccessivamente permissive
API
Puoi utilizzare l'API Recommender per attivare o disattivare gli insight sulle regole oscurate e sulle regole eccessivamente permissive. Puoi utilizzare l'API anche per impostare il periodo di osservazione per gli insight sulle regole eccessivamente permissive della configurazione.
Per attivare gli insight sulle regole oscurate e sulle regole eccessivamente permissive, utilizza il
metodo updateConfig.
Per utilizzare il metodo updateConfig, devi impostare i valori per tutti
parametri. Quando attivi o disattivi gli insight, devi anche configurare il periodo di osservazione per gli insight eccessivamente permissivi.
Per eseguire questo tipo di aggiornamento, utilizza la seguente richiesta.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
Sostituisci i seguenti valori:
- PROJECT_ID: l'ID del progetto
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: il tempo, in secondi, del periodo di osservazione per gli insight sulle regole eccessivamente permissive
- ENABLEMENT_SHADOWED: un valore booleano che rappresenta se gli insight regola oscurata sono abilitati
- ENABLEMENT_OVERLY_PERMISSIVE: un valore booleano che rappresenta se gli insight sulle regole eccessivamente permissive sono abilitati
- ETAG: il valore dell'etag del criterio IAM. Per recuperare il valore dell'etag, utilizza il metodo
getConfig, come descritto nella sezione seguente
Esempio
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
Recupera i dettagli di configurazione
Per recuperare i dettagli sulla configurazione di Firewall Insights, utilizza
Metodo getConfig
come mostrato nell'esempio seguente.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Configurare un periodo di osservazione
Per alcuni approfondimenti, puoi configurare un periodo di osservazione o l'intervallo di tempo coperto dall'approfondimento. Per ulteriori informazioni, vedi Configurare il periodo di osservazione in Configurare il periodo di osservazione e il ciclo di aggiornamento.
Pianificare un ciclo di aggiornamento personalizzato
Puoi configurare un ciclo di aggiornamento per generare insight sulle regola oscurata per il progetto. Per ulteriori informazioni, consulta Pianificare un ciclo di aggiornamento personalizzato in Configurare il periodo di osservazione e il ciclo di aggiornamento.