En esta página se describe cómo habilitar las APIs y las funciones necesarias para usar Estadísticas de firewall.
Antes de usar Estadísticas de cortafuegos, seleccione un proyecto, compruebe que tiene los roles y permisos necesarios y, a continuación, complete las tareas de configuración obligatorias. Para obtener más información sobre los dos primeros pasos, consulta Roles y permisos.
Las tareas de configuración varían en función de las métricas y las estadísticas que quieras usar. Para obtener más información, consulta la tabla que se incluye más abajo.
| Tarea | Todas las métricas | Estadísticas de reglas sustituidas | Información sobre reglas demasiado permisivas | Reglas de denegación con coincidencias |
|---|---|---|---|---|
| Habilita la API Firewall Insights. | ✔ | ✔ | ✔ | ✔ |
| Habilitar el almacenamiento de registros de reglas de cortafuegos | ✔ | ✔ | ✔ | |
| Habilitar la API Recommender | ✔ | ✔ | ||
| Habilitar este tipo de estadística | ✔ | ✔ | ||
| Configurar un periodo de observación | ✔ | ✔ | ||
| Programar un ciclo de actualización personalizado | ✔ |
En las siguientes secciones se describe cómo habilitar las APIs y las funciones.
Habilitar la API Firewall Insights
Antes de realizar cualquier tarea con Firewall Insights, debes habilitar la API de Firewall Insights.
Para habilitar la API, puedes seguir los pasos que se indican a continuación o usar la Google Cloud biblioteca de APIs de la consola, que se describe en el artículo Habilitar APIs de la documentación de las APIs de Cloud.
Consola
En la Google Cloud consola, ve a la página Estadísticas de cortafuegos.
En la página API Firewall Insights, haz clic en Habilitar.
gcloud
Usa el siguiente comando:
gcloud services enable firewallinsights.googleapis.com
Habilitar el almacenamiento de registros de reglas de cortafuegos
Para ver cualquiera de los siguientes elementos, debes habilitar el almacenamiento de registros de reglas de cortafuegos:
- Métricas sobre las reglas de cortafuegos
- Información valiosa sobre reglas demasiado permisivas o
deny. En conjunto, se denominan estadísticas basadas en registros.
Firewall Insights genera métricas y estadísticas basadas en registros solo para las reglas que tienen habilitado el registro. Para obtener más información, consulta el resumen del almacenamiento de registros de reglas de cortafuegos.
Habilitar la API Recommender
Habilita la API Recommender para hacer lo siguiente:
- Usar las estadísticas de reglas sustituidas
- Usar las estadísticas de reglas demasiado permisivas
Recuperar datos mediante llamadas a la API o con Google Cloud CLI
Consola
En la Google Cloud consola, ve a la página Habilitar acceso a la API.
Asegúrate de que esté seleccionado el proyecto correcto y, a continuación, haz clic en Siguiente.
Haz clic en Enable (Habilitar).
gcloud
Usa el siguiente comando:
gcloud services enable recommender.googleapis.com
Habilitar estadísticas de reglas ocultas o demasiado permisivas
Firewall Insights no genera información valiosa sobre reglas ocultas o demasiado permisivas a menos que habilites activamente estas funciones en la página Firewall Insights.
Después de habilitar cualquiera de las dos funciones, puede que tengas que esperar hasta 48 horas para ver las estadísticas generadas.
Cuando creas o actualizas una regla de cortafuegos, es posible que tengas que esperar hasta diez días para ver las predicciones de aprendizaje automático sobre las reglas demasiado permisivas. Mientras tanto, puedes consultar estadísticas basadas en los datos recogidos del almacenamiento de registros de reglas de cortafuegos.
Consola
En la Google Cloud consola, ve a la página Estadísticas de cortafuegos.
Haz clic en Configuración.
Haga clic en Habilitación.
Según corresponda, mueve el control deslizante a Habilitado o Inhabilitado para una o ambas de las siguientes opciones:
Estadísticas de reglas sustituidas
Información valiosa sobre reglas demasiado permisivas
API
Puedes usar la API Recommender para habilitar o inhabilitar las estadísticas de reglas ocultas y de reglas demasiado permisivas. También puedes usar la API para definir el periodo de observación de las estadísticas de reglas demasiado permisivas y obtener detalles de configuración.
Para habilitar las estadísticas de reglas ocultas y de reglas demasiado permisivas, usa el método updateConfig.
Para usar el método updateConfig, debe definir valores para todos sus parámetros. Cuando habilitas o inhabilitas las estadísticas, también debes configurar el periodo de observación de las estadísticas demasiado permisivas.
Para hacer este tipo de actualización, usa la siguiente solicitud.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
Sustituye los siguientes valores:
- PROJECT_ID: el ID de tu proyecto
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: el tiempo, en segundos, del periodo de observación de las estadísticas de reglas demasiado permisivas
- ENABLEMENT_SHADOWED: valor booleano que representa si se han habilitado las estadísticas de reglas ocultas.
- ENABLEMENT_OVERLY_PERMISSIVE: valor booleano que representa si se han habilitado las estadísticas de reglas demasiado permisivas.
- ETAG: el valor etag de la política de gestión de identidades y accesos. Para obtener el valor etag, usa el método
getConfig, tal como se describe en la siguiente sección.
Ejemplo
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
Obtener detalles de configuración
Para obtener detalles sobre cómo se configura Firewall Insights, usa el método getConfig, como se muestra en el siguiente ejemplo.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Configurar un periodo de observación
En algunas estadísticas, puede configurar un periodo de observación, es decir, el intervalo de tiempo que abarca la estadística. Para obtener más información, consulta Configurar el periodo de observación en Configurar el periodo de observación y el ciclo de actualización.
Programar un ciclo de actualización personalizado
Puedes configurar un ciclo de actualización para generar estadísticas de reglas sustituidas de tu proyecto. Para obtener más información, consulte Programar un ciclo de actualización personalizado en Configurar el periodo de observación y el ciclo de actualización.