API 및 기능 사용 설정

이 페이지에서는 방화벽 통계를 사용하는 데 필요한 API 및 기능을 사용 설정하는 방법에 대해 설명합니다.

방화벽 통계를 사용하려면 먼저 프로젝트를 선택하고, 필요한 역할 및 권한이 있는지 확인한 후 필요한 설정 태스크를 완료합니다. 처음 두 단계에 대한 자세한 내용은 역할 및 권한을 참조하세요.

설정 태스크는 사용하려는 측정항목 및 통계에 따라 달라집니다. 자세한 내용은 다음 표를 참고하세요.

작업 전체 측정항목 섀도 처리된 규칙 통계 과도한 권한이 부여된 규칙 통계 적중이 있는 거부 규칙
Firewall Insights API 사용 설정
방화벽 규칙 로깅 사용 설정
Recommender API 사용 설정
이 유형의 통계 사용 설정하기
관찰 기간 구성
커스텀 갱신 주기 예약


다음 섹션에서는 API 및 기능을 사용 설정하는 방법에 대해 설명합니다.

Firewall Insights API 사용 설정

방화벽 통계를 사용하여 작업을 수행하려면 먼저 Firewall Insights API를 사용 설정해야 합니다.

API를 사용 설정하려면 다음 단계를 수행하거나 Cloud API 문서의 API 사용 설정에 설명된 대로 Google Cloud 콘솔 API 라이브러리를 사용할 수 있습니다.

콘솔

  1. Google Cloud Console에서 방화벽 통계 페이지로 이동합니다.

    방화벽 통계로 이동

  2. 방화벽 통계 API 페이지에서 사용 설정을 클릭합니다.

gcloud

다음 명령어를 사용하세요.

gcloud services enable firewallinsights.googleapis.com

방화벽 규칙 로깅 사용 설정

다음 항목을 보려면 방화벽 규칙 로깅을 사용 설정해야 합니다.

  • 방화벽 규칙 측정항목
  • 과도한 권한이 부여된 규칙 또는 deny 규칙에 대한 통계를 통칭하여 로그 기반 통계라고 합니다.

방화벽 통계는 로깅이 사용 설정된 규칙에 대해서만 측정항목과 로그 기반 통계를 생성합니다. 자세한 내용은 방화벽 규칙 로깅 개요를 참조하세요.

Recommender API 사용 설정

Recommender API를 사용 설정하여 다음을 수행합니다.

  • 섀도 처리된 규칙 통계 사용
  • 과도한 권한이 부여된 규칙 통계 사용
  • API를 호출하거나 Google Cloud CLI를 사용하여 모든 데이터 검색

콘솔

  1. Google Cloud 콘솔에서 API에 대한 액세스 사용 설정 페이지로 이동합니다.

    API 액세스 사용 설정

  2. 올바른 프로젝트가 선택되었는지 확인한 후 다음을 클릭합니다.

  3. 사용 설정을 클릭합니다.

gcloud

다음 명령어를 사용하세요.

gcloud services enable recommender.googleapis.com

섀도 처리된 규칙 또는 과도한 권한이 부여된 규칙 통계 사용 설정

방화벽 통계는 섀도 처리된 또는 과도한 권한이 부여된 규칙 통계를 방화벽 통계 페이지에서 적극적으로 사용 설정하지 않는 한 생성되지 않습니다.

두 기능을 모두 설정한 후 생성된 통계를 확인하려면 최대 48시간을 기다려야 할 수 있습니다.

방화벽 규칙을 만들거나 업데이트할 때 머신러닝 예측을 통해 과도한 권한이 부여된 규칙 통계를 보려면 최대 10일을 기다려야 할 수 있습니다. 그동안 방화벽 규칙 로깅에서 수집한 데이터를 기반으로 한 통계를 볼 수 있습니다.

콘솔

  1. Google Cloud Console에서 방화벽 통계 페이지로 이동합니다.

    방화벽 통계로 이동

  2. 구성을 클릭합니다.

  3. 사용 설정을 클릭합니다.

  4. 필요에 따라 다음 중 하나 또는 둘 모두를 위해 슬라이더를 사용 설정됨 또는 사용 중지됨으로 이동합니다.

    • 섀도 처리된 규칙 통계

    • 과도한 권한이 부여된 규칙 통계

API

Recommender API를 사용하여 섀도 처리된 규칙 통계 또는 과도한 권한이 부여된 규칙 통계를 사용 설정 또는 중지할 수 있습니다. API를 사용하여 과도한 권한이 부여된 규칙 통계의 관찰 기간을 설정하고 구성 세부정보를 검색할 수도 있습니다.

섀도 처리된 규칙 통계 및 과도한 권한이 부여된 규칙 통계를 사용 설정하려면 updateConfig 메서드를 사용합니다.

updateConfig 메서드를 사용하려면 모든 매개변수의 값을 설정해야 합니다. 통계를 사용 설정하거나 중지할 때 과도한 권한이 부여된 통계의 관찰 기간도 구성해야 합니다.

이러한 유형의 업데이트를 수행하려면 다음 요청을 사용하세요.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

다음 값을 바꿉니다.

  • PROJECT_ID: 프로젝트의 ID
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE: 과도한 권한이 부여된 규칙 통계 관찰 기간(초)
  • ENABLEMENT_SHADOWED: 섀도 처리된 규칙 통계가 사용 설정되었는지 여부를 나타내는 부울 값
  • ENABLEMENT_OVERLY_PERMISSIVE: 과도한 권한이 부여된 규칙 통계가 사용 설정되었는지 여부를 나타내는 부울 값
  • ETAG: IAM 정책 etag 값. etag 값을 검색하려면 다음 섹션의 설명대로 getConfig 메서드를 사용합니다.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

구성 세부정보 검색

방화벽 통계가 구성된 방식에 대한 세부정보를 검색하려면 다음 예시와 같이 getConfig 메서드를 사용합니다.

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

관찰 기간 구성

일부 통계의 경우 관찰 기간 또는 통계에서 처리할 기간을 구성할 수 있습니다. 자세한 내용은 관찰 기간 및 새로고침 주기 설정관찰 기간 구성을 참조하세요.

커스텀 갱신 주기 예약

갱신 주기를 설정하여 프로젝트에 섀도 처리된 규칙 통계를 생성할 수 있습니다. 자세한 내용은 관찰 기간 및 새로고침 주기 설정커스텀 새로고침 주기 예약을 참조하세요.

다음 단계