Halaman ini menjelaskan cara mengaktifkan API dan fitur yang diperlukan untuk menggunakan Firewall Insights.
Sebelum menggunakan Analisis Firewall, pilih project, pastikan Anda memiliki peran dan izin yang diperlukan, lalu selesaikan tugas penyiapan yang diperlukan. Untuk mengetahui informasi selengkapnya tentang dua langkah pertama, lihat Peran dan izin.
Tugas penyiapan bervariasi berdasarkan metrik dan insight yang ingin Anda gunakan. Untuk mengetahui detailnya, lihat tabel berikut.
Tugas | Semua metrik | Insight aturan yang dibayangi | Analisis aturan yang terlalu permisif | Aturan tolak dengan hit |
---|---|---|---|---|
Mengaktifkan Firewall Insights API | ✔ | ✔ | ✔ | ✔ |
Mengaktifkan Firewall Rules Logging | ✔ | ✔ | ✔ | |
Mengaktifkan Recommender API | ✔ | ✔ | ||
Mengaktifkan jenis insight ini | ✔ | ✔ | ||
Mengonfigurasi periode pengamatan | ✔ | ✔ | ||
Menjadwalkan siklus muat ulang kustom | ✔ |
Bagian berikut menjelaskan cara mengaktifkan API dan fitur.
Mengaktifkan Firewall Insights API
Sebelum melakukan tugas apa pun menggunakan Analisis Firewall, Anda harus mengaktifkan Firewall Insights API.
Untuk mengaktifkan API, Anda dapat menggunakan langkah-langkah berikut atau Library API konsol Google Cloud, yang dijelaskan dalam Mengaktifkan API di dokumentasi Cloud API.
Konsol
Di konsol Google Cloud, buka halaman Firewall Insights.
Di halaman Firewall Insights API, klik Enable.
gcloud
Gunakan perintah berikut:
gcloud services enable firewallinsights.googleapis.com
Mengaktifkan Firewall Rules Logging
Jika ingin melihat salah satu hal berikut, Anda harus mengaktifkan Logging Aturan Firewall:
- Metrik tentang aturan firewall
- Insight tentang aturan yang terlalu permisif atau aturan
deny
; insight ini secara kolektif dikenal sebagai insight berbasis log
Insight Firewall menghasilkan metrik dan insight berbasis log hanya untuk aturan yang telah mengaktifkan logging. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Logging Aturan Firewall.
Mengaktifkan Recommender API
Aktifkan Recommender API untuk melakukan hal berikut:
- Menggunakan insight aturan bayangan
- Menggunakan insight aturan yang terlalu permisif
Mengambil data apa pun dengan melakukan panggilan API atau menggunakan Google Cloud CLI
Konsol
Di konsol Google Cloud, buka halaman Aktifkan akses ke API.
Pastikan project yang dipilih sudah benar, lalu klik Berikutnya.
Klik Aktifkan.
gcloud
Gunakan perintah berikut:
gcloud services enable recommender.googleapis.com
Mengaktifkan insight aturan yang dibayangi atau aturan yang terlalu permisif
Firewall Insights tidak menghasilkan insight aturan yang dibayangi atau terlalu permisif kecuali jika Anda secara aktif mengaktifkan fitur ini di halaman Firewall Insights.
Setelah mengaktifkan salah satu fitur, Anda mungkin harus menunggu hingga 48 jam untuk melihat insight yang dihasilkan.
Saat membuat atau memperbarui aturan firewall, Anda mungkin harus menunggu hingga sepuluh hari untuk melihat prediksi machine learning untuk insight aturan yang terlalu permisif. Sementara itu, Anda dapat melihat insight berdasarkan data yang dikumpulkan dari Logging Aturan Firewall.
Konsol
Di konsol Google Cloud, buka halaman Firewall Insights.
Klik Konfigurasi.
Klik Aktifasi.
Sesuai kebutuhan, geser penggeser ke Diaktifkan atau Dinonaktifkan untuk salah satu atau kedua hal berikut:
Insight aturan yang dibayangi
Insight aturan yang terlalu permisif
API
Anda dapat menggunakan Recommender API untuk mengaktifkan atau menonaktifkan insight aturan yang dibayangi dan insight aturan yang terlalu permisif. Anda juga dapat menggunakan API untuk menetapkan periode observasi untuk insight aturan yang terlalu permisif dan mengambil detail konfigurasi.
Untuk mengaktifkan insight aturan bayangan dan insight aturan yang terlalu permisif, gunakan
metode updateConfig
.
Untuk menggunakan metode updateConfig
, Anda harus menetapkan nilai untuk semua parameternya. Saat mengaktifkan atau menonaktifkan insight, Anda juga harus mengonfigurasi
periode pengamatan untuk insight yang terlalu permisif.
Untuk melakukan jenis pembaruan ini, gunakan permintaan berikut.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config { "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config", "insightTypeGenerationConfig": { "params": { "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE", "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED, "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE } }, "etag": "\"ETAG\"", }
Ganti nilai berikut:
- PROJECT_ID: ID project Anda
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: waktu, dalam detik, dari periode pengamatan untuk insight aturan yang terlalu permisif
- ENABLEMENT_SHADOWED: nilai boolean yang menunjukkan apakah insight aturan yang dibayangi diaktifkan
- ENABLEMENT_OVERLY_PERMISSIVE: nilai boolean yang menunjukkan apakah insight aturan yang terlalu permisif diaktifkan
- ETAG: nilai etag kebijakan IAM; untuk
mengambil nilai etag, gunakan metode
getConfig
, seperti yang dijelaskan di bagian berikut
Contoh
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config { "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config", "insightTypeGenerationConfig": { "params": { "observation_period": "604800s", "enable_shadowed_rule_insights": true, "enable_overly_permissive_rule_insights": true } }, "etag": "\"ETAG\"", }
Mengambil detail konfigurasi
Untuk mengambil detail tentang cara mengonfigurasi Analisis Firewall, gunakan
metode getConfig
seperti yang ditunjukkan dalam contoh berikut.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Mengonfigurasi periode pengamatan
Untuk beberapa insight, Anda dapat mengonfigurasi periode observasi, atau interval waktu yang dicakup insight. Untuk informasi selengkapnya, lihat Mengonfigurasi periode pengamatan di Menyiapkan periode pengamatan dan siklus refresh.
Menjadwalkan siklus refresh kustom
Anda dapat menyiapkan siklus muat ulang untuk menghasilkan insight aturan yang dibayangi untuk project Anda. Untuk mengetahui informasi selengkapnya, lihat Menjadwalkan siklus refresh kustom di Menyiapkan periode pengamatan dan siklus refresh.