Mengaktifkan API dan fitur

Halaman ini menjelaskan cara mengaktifkan API dan fitur yang diperlukan untuk menggunakan Firewall Insights.

Sebelum menggunakan Analisis Firewall, pilih project, pastikan Anda memiliki peran dan izin yang diperlukan, lalu selesaikan tugas penyiapan yang diperlukan. Untuk mengetahui informasi selengkapnya tentang dua langkah pertama, lihat Peran dan izin.

Tugas penyiapan bervariasi berdasarkan metrik dan insight yang ingin Anda gunakan. Untuk mengetahui detailnya, lihat tabel berikut.

Tugas Semua metrik Insight aturan yang dibayangi Analisis aturan yang terlalu permisif Aturan tolak dengan hit
Mengaktifkan Firewall Insights API
Mengaktifkan Firewall Rules Logging
Mengaktifkan Recommender API
Mengaktifkan jenis insight ini
Mengonfigurasi periode pengamatan
Menjadwalkan siklus muat ulang kustom


Bagian berikut menjelaskan cara mengaktifkan API dan fitur.

Mengaktifkan Firewall Insights API

Sebelum melakukan tugas apa pun menggunakan Analisis Firewall, Anda harus mengaktifkan Firewall Insights API.

Untuk mengaktifkan API, Anda dapat menggunakan langkah-langkah berikut atau Library API konsol Google Cloud, yang dijelaskan dalam Mengaktifkan API di dokumentasi Cloud API.

Konsol

  1. Di konsol Google Cloud, buka halaman Firewall Insights.

    Buka Analisis Firewall

  2. Di halaman Firewall Insights API, klik Enable.

gcloud

Gunakan perintah berikut:

gcloud services enable firewallinsights.googleapis.com

Mengaktifkan Firewall Rules Logging

Jika ingin melihat salah satu hal berikut, Anda harus mengaktifkan Logging Aturan Firewall:

  • Metrik tentang aturan firewall
  • Insight tentang aturan yang terlalu permisif atau aturan deny; insight ini secara kolektif dikenal sebagai insight berbasis log

Insight Firewall menghasilkan metrik dan insight berbasis log hanya untuk aturan yang telah mengaktifkan logging. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Logging Aturan Firewall.

Mengaktifkan Recommender API

Aktifkan Recommender API untuk melakukan hal berikut:

  • Menggunakan insight aturan bayangan
  • Menggunakan insight aturan yang terlalu permisif
  • Mengambil data apa pun dengan melakukan panggilan API atau menggunakan Google Cloud CLI

Konsol

  1. Di konsol Google Cloud, buka halaman Aktifkan akses ke API.

    Mengaktifkan akses ke API

  2. Pastikan project yang dipilih sudah benar, lalu klik Berikutnya.

  3. Klik Aktifkan.

gcloud

Gunakan perintah berikut:

gcloud services enable recommender.googleapis.com

Mengaktifkan insight aturan yang dibayangi atau aturan yang terlalu permisif

Firewall Insights tidak menghasilkan insight aturan yang dibayangi atau terlalu permisif kecuali jika Anda secara aktif mengaktifkan fitur ini di halaman Firewall Insights.

Setelah mengaktifkan salah satu fitur, Anda mungkin harus menunggu hingga 48 jam untuk melihat insight yang dihasilkan.

Saat membuat atau memperbarui aturan firewall, Anda mungkin harus menunggu hingga sepuluh hari untuk melihat prediksi machine learning untuk insight aturan yang terlalu permisif. Sementara itu, Anda dapat melihat insight berdasarkan data yang dikumpulkan dari Logging Aturan Firewall.

Konsol

  1. Di konsol Google Cloud, buka halaman Firewall Insights.

    Buka Analisis Firewall

  2. Klik Konfigurasi.

  3. Klik Aktifasi.

  4. Sesuai kebutuhan, geser penggeser ke Diaktifkan atau Dinonaktifkan untuk salah satu atau kedua hal berikut:

    • Insight aturan yang dibayangi

    • Insight aturan yang terlalu permisif

API

Anda dapat menggunakan Recommender API untuk mengaktifkan atau menonaktifkan insight aturan yang dibayangi dan insight aturan yang terlalu permisif. Anda juga dapat menggunakan API untuk menetapkan periode observasi untuk insight aturan yang terlalu permisif dan mengambil detail konfigurasi.

Untuk mengaktifkan insight aturan bayangan dan insight aturan yang terlalu permisif, gunakan metode updateConfig.

Untuk menggunakan metode updateConfig, Anda harus menetapkan nilai untuk semua parameternya. Saat mengaktifkan atau menonaktifkan insight, Anda juga harus mengonfigurasi periode pengamatan untuk insight yang terlalu permisif.

Untuk melakukan jenis pembaruan ini, gunakan permintaan berikut.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

Ganti nilai berikut:

  • PROJECT_ID: ID project Anda
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE: waktu, dalam detik, dari periode pengamatan untuk insight aturan yang terlalu permisif
  • ENABLEMENT_SHADOWED: nilai boolean yang menunjukkan apakah insight aturan yang dibayangi diaktifkan
  • ENABLEMENT_OVERLY_PERMISSIVE: nilai boolean yang menunjukkan apakah insight aturan yang terlalu permisif diaktifkan
  • ETAG: nilai etag kebijakan IAM; untuk mengambil nilai etag, gunakan metode getConfig, seperti yang dijelaskan di bagian berikut

Contoh

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

Mengambil detail konfigurasi

Untuk mengambil detail tentang cara mengonfigurasi Analisis Firewall, gunakan metode getConfig seperti yang ditunjukkan dalam contoh berikut.

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

Mengonfigurasi periode pengamatan

Untuk beberapa insight, Anda dapat mengonfigurasi periode observasi, atau interval waktu yang dicakup insight. Untuk informasi selengkapnya, lihat Mengonfigurasi periode pengamatan di Menyiapkan periode pengamatan dan siklus refresh.

Menjadwalkan siklus refresh kustom

Anda dapat menyiapkan siklus muat ulang untuk menghasilkan insight aturan yang dibayangi untuk project Anda. Untuk mengetahui informasi selengkapnya, lihat Menjadwalkan siklus refresh kustom di Menyiapkan periode pengamatan dan siklus refresh.

Langkah selanjutnya