En esta página, se describe cómo habilitar las APIs y las funciones necesarias para usar las Estadísticas de firewall.
Antes de usar Estadísticas de firewall, selecciona un proyecto, asegúrate de tener los roles y permisos necesarios y, luego, completa las tareas de configuración necesarias. Para obtener más información sobre los primeros dos pasos, consulta Funciones y permisos.
Las tareas de configuración varían según las métricas y estadísticas que desees usar. Para obtener más información, consulta la siguiente tabla:
| Tarea | Todas las métricas | Estadísticas de reglas bloqueadas | Estadísticas de reglas demasiado permisivas | Reglas de rechazo con hits |
|---|---|---|---|---|
| Habilitar la API de Estadísticas de firewall | ✔ | ✔ | ✔ | ✔ |
| Habilitar el registro de las reglas de firewall | ✔ | ✔ | ✔ | |
| Habilitar la API del Recomendador. | ✔ | ✔ | ||
| Habilitar este tipo de estadística | ✔ | ✔ | ||
| Configurar un período de observación | ✔ | ✔ | ||
| Cómo programar un ciclo de actualización personalizado | ✔ |
En las siguientes secciones, se describe cómo habilitar las APIs y las funciones.
Habilita la API de Firewall Insights
Antes de realizar cualquier tarea con Estadísticas de firewall, debes habilitar la API de Firewall Insights.
Para habilitar la API, puedes usar los siguientes pasos o la Biblioteca de API de la consola de Google Cloud, que se describe en Habilita las API en la documentación de las API de Cloud.
Consola
En la consola de Google Cloud, ve a la página Estadísticas de firewall.
En la página API de Firewall Insights, haz clic en Habilitar.
gcloud
Usa el siguiente comando:
gcloud services enable firewallinsights.googleapis.com
Habilita el registro de las reglas de firewall
Si deseas ver cualquiera de las siguientes opciones, debes habilitar el registro de reglas de firewall:
- Métricas sobre las reglas de firewall
- Estadísticas sobre reglas demasiado permisivas o reglas
denyEstas estadísticas se conocen en conjunto como estadísticas basadas en registros.
Estadísticas de firewall produce métricas y estadísticas basadas en registros solo para las reglas que tienen habilitado el registro. Para obtener más información, consulta Descripción general del registro de las reglas de firewall.
Habilita la API de recomendador
Habilita la API de recomendador para que realice las siguientes acciones:
- Usa las estadísticas de reglas bloqueadas
- Usa estadísticas de reglas demasiado permisivas
Recupera cualquier dato mediante llamadas a la API o mediante Google Cloud CLI
Consola
En la consola de Google Cloud, ve a la página Habilitar el acceso a la API.
Asegúrate de que el proyecto correcto esté seleccionado y, luego, haz clic en Siguiente.
Haz clic en Habilitar.
gcloud
Usa el siguiente comando:
gcloud services enable recommender.googleapis.com
Habilita las reglas de bloqueo o las estadísticas de reglas demasiado permisivas
Estadísticas de firewall no genera estadísticas de reglas bloqueadas o demasiado permisivas, a menos que habilites estas funciones de forma activa en la página de estadísticas de firewall.
Después de habilitar cualquiera de las funciones, es posible que debas esperar hasta 48 horas para ver estadísticas generadas.
Cuando creas o actualizas una regla de firewall, es posible que debas esperar hasta diez días para ver las predicciones de aprendizaje automático y las estadísticas de reglas demasiado permisivas. Mientras tanto, puedes ver las estadísticas basadas en los datos recopilados del registro de reglas de firewall.
Consola
En la consola de Google Cloud, ve a la página Estadísticas de firewall.
Haz clic en Configuración.
Haz clic en Habilitación.
Según corresponda, mueve el control deslizante a Habilitado o Deshabilitado de una de las siguientes opciones o ambas:
Estadísticas de reglas bloqueadas
Estadísticas de reglas demasiado permisivas
API
Puedes usar la API de recomendador para habilitar o inhabilitar las estadísticas de regla bloqueada y las estadísticas de reglas demasiado permisivas. También puedes usar la API para establecer el período de observación de las estadísticas de reglas demasiado permisivas y recuperar los detalles de la configuración.
Para habilitar las estadísticas de regla bloqueada y las estadísticas de reglas demasiado permisivas, usa el método updateConfig.
Para usar el método updateConfig, debes establecer valores para todos sus parámetros. Cuando habilitas o inhabilitas las estadísticas, también debes configurar el período de observación para las estadísticas demasiado permisivas.
Para realizar este tipo de actualización, usa la siguiente solicitud.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
Reemplaza los siguientes valores:
- PROJECT_ID: Es el ID de tu proyecto.
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: es el tiempo, en segundos, del período de observación de las estadísticas de reglas demasiado permisivas.
- ENABLEMENT_SHADOWED: un valor booleano que representa si las estadísticas de reglas bloqueadas están habilitadas
- ENABLEMENT_OVERLY_PERMISSIVE: un valor booleano que representa si las estadísticas de reglas demasiado permisivas están habilitadas.
- ETAG: El valor de Etag de la política de IAM; Para recuperar el valor de Etag, usa el método
getConfig, como se describe en la siguiente sección.
Ejemplo
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
Recupera detalles de configuración
Para obtener detalles sobre la configuración de Estadísticas de firewall, usa el
método getConfig
como se muestra en el siguiente ejemplo.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Configura un período de observación
Para algunas estadísticas, puedes configurar un período de observación o el intervalo de tiempo que cubre la estadística. Para obtener más información, consulta Cómo configurar el período de observación en Cómo configurar el período de observación y el ciclo de actualización.
Programa un ciclo de actualización personalizado
Puedes configurar un ciclo de actualización a fin de generar estadísticas de regla bloqueada para tu proyecto. Para obtener más información, consulta Cómo programar un ciclo de actualización personalizado en Cómo configurar el período de observación y el ciclo de actualización.
¿Qué sigue?
- Categorías y estados de las Estadísticas de firewall
- Consulta y comprende las Estadísticas de firewall