Ativar APIs e recursos

Nesta página, descrevemos como ativar as APIs e os recursos necessários para usar o Firewall Insights.

Antes de usar o Firewall Insights, selecione um projeto, verifique se você tem os papéis e as permissões necessários e conclua as tarefas de configuração necessárias. Para mais informações sobre as duas primeiras etapas, consulte Papéis e permissões.

As tarefas de configuração variam de acordo com as métricas e insights que você quer usar. Veja mais detalhes na tabela a seguir.

Tarefa Todas as métricas Insights de regras ofuscadas Insights de regras excessivamente permissivos Negar regras com ocorrências
Ativar a API Firewall Insights
Ativar a geração de registros de regras de firewall
Ative a API Recommender
Ativar esse tipo de insight
Configurar um período de observação
Programar um ciclo de atualização personalizado


As seções a seguir descrevem como ativar as APIs e os recursos.

Ativar a API Firewall Insights

Antes de executar qualquer tarefa usando o Firewall Insights, você precisa ativar a API Firewall Insights.

Para ativar a API, siga as etapas abaixo ou a biblioteca de APIs do Console do Google Cloud, descrita em Como ativar APIs nas APIs do Cloud. documentação do cliente.

Console

  1. No console do Google Cloud, acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. Na página API Firewall Insights, clique em Ativar.

gcloud

Use o comando a seguir:

gcloud services enable firewallinsights.googleapis.com

Ativar a geração de registros de regras de firewall

Se você quiser ver qualquer um dos itens a seguir, ative a geração de registros de regras de firewall:

  • Métricas sobre regras de firewall
  • Insights sobre regras excessivamente permissivas ou regras deny; Esses insights são conhecidos coletivamente como insights com base em registros.

O Firewall Insights produz métricas e insights baseados em registros apenas para as regras que têm a geração de registros ativada. Para mais informações, consulte a Visão geral do Registro de regras de firewall.

Ative a API Recommender

Ative a API Recommender para fazer o seguinte:

  • Usar insights de regra sombreada
  • Usar insights de regra excessivamente permissivos
  • Recupere todos os dados fazendo chamadas de API ou usando a Google Cloud CLI.

Console

  1. No console do Google Cloud, acesse a página Ativar acesso à API.

    Ativar o acesso à API

  2. Verifique se o projeto correto está selecionado e clique em Next.

  3. Clique em Enable.

gcloud

Use o comando a seguir:

gcloud services enable recommender.googleapis.com

Ativar insights de regras ocultas ou muito permissivas

O Firewall Insights não gera insights de regras ocultas ou de regras excessivamente permissivos, a menos que você ative explicitamente esses recursos na página "Firewall Insights".

Depois de ativar qualquer um dos recursos, talvez seja necessário aguardar até 48 horas para ver os insights gerados.

Ao criar ou atualizar uma regra de firewall, talvez seja necessário aguardar até dez dias para conferir as previsões de aprendizado de máquina de insights de regras muito permissivas. Enquanto isso, é possível ver insights com base nos dados coletados da geração de registros de regras de firewall.

Console

  1. No console do Google Cloud, acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. Clique em Configuração.

  3. Clique em Ativação.

  4. Conforme apropriado, mova o controle deslizante para Enabled ou Disabled em um dos itens a seguir (ou ambos):

    • Insights de regras ofuscadas

    • Insights de regras excessivamente permissivos

API

É possível usar a API Recommender para ativar ou desativar insights de regras ocultas e insights de regras excessivamente permissivas. Também é possível usar a API para definir o período de observação para insights de regras excessivamente permissivas e recuperar detalhes de configuração.

Para ativar insights de regras ofuscadas e de regra excessivamente permissivas, use o método updateConfig.

Para usar o método updateConfig, é necessário definir valores para todos os parâmetros. Ao ativar ou desativar os insights, também é preciso configurar o período de observação para insights muito permissivos.

Para fazer esse tipo de atualização, use a solicitação a seguir.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

Substitua os seguintes valores:

  • PROJECT_ID: ID do projeto
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE: o tempo, em segundos, do período de observação para insights de regras excessivamente permissivas
  • ENABLEMENT_SHADOWED: um valor booleano que representa se os insights de regras ocultas estão ativados
  • ENABLEMENT_OVERLY_PERMISSIVE: um valor booleano que representa se os insights de regras excessivamente permissivas estão ativados
  • ETAG: o valor de etag da política do IAM: para recuperar o valor da etag, use o método getConfig, conforme descrito na seção a seguir.

Exemplo

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

Recuperar detalhes de configuração

Para recuperar detalhes sobre como o Firewall Insights está configurado, use o método getConfig, conforme mostrado no exemplo a seguir.

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

Configurar um período de observação

Para alguns insights, é possível configurar um período de observação ou o intervalo de tempo que ele abrange. Para mais informações, consulte Configurar período de observação em Configurar período de observação e ciclo de atualização.

Programar um ciclo de atualização personalizado

É possível configurar um ciclo de atualização para gerar insights de regras ofuscadas para seu projeto. Para mais informações, consulte Programar um ciclo de atualização personalizado em Configurar período de observação e ciclo de atualização.

A seguir