En esta página, se describe cómo habilitar las APIs y las funciones necesarias para su uso Estadísticas de firewall.
Antes de usar Estadísticas de firewall, selecciona un proyecto. asegúrate de tener los roles y permisos necesarios y, luego, completa las tareas de configuración requeridas. Para obtener más información sobre los dos primeros pasos, consulta Funciones y permisos.
Las tareas de configuración varían según las métricas y las estadísticas que desees usar. Para obtener más información, consulta la siguiente tabla:
| Tarea | Todas las métricas | Estadísticas de reglas bloqueadas | Estadísticas de reglas demasiado permisivas | Reglas de rechazo con hits |
|---|---|---|---|---|
| Habilitar la API de Estadísticas de firewall | ✔ | ✔ | ✔ | ✔ |
| Habilitar el registro de las reglas de firewall | ✔ | ✔ | ✔ | |
| Habilitar la API del Recomendador. | ✔ | ✔ | ||
| Habilitar este tipo de estadística | ✔ | ✔ | ||
| Configurar un período de observación | ✔ | ✔ | ||
| Cómo programar un ciclo de actualización personalizado | ✔ |
En las siguientes secciones, se describe cómo habilitar las APIs y las funciones.
Habilita la API de Firewall Insights
Antes de realizar cualquier tarea con las Estadísticas de firewall, debes habilitar la API de Estadísticas de firewall.
Para habilitar la API, puedes usar los siguientes pasos o la biblioteca de la API de la consola de Google Cloud, que se describe en Habilita las APIs en la documentación de las APIs de Cloud.
Console
En la consola de Google Cloud, ve a la página Estadísticas de firewall.
En la página API de Firewall Insights, haz clic en Habilitar.
gcloud
Usa el siguiente comando:
gcloud services enable firewallinsights.googleapis.com
Habilita el registro de las reglas de firewall
Si deseas ver cualquiera de las siguientes opciones, debes habilitar el registro de reglas de firewall:
- Métricas sobre las reglas de firewall
- Estadísticas sobre reglas demasiado permisivas o reglas
denyEstas estadísticas se conocen en conjunto como estadísticas basadas en registros.
Estadísticas de firewall produce métricas y estadísticas basadas en registros solo para las reglas que tienen habilitado el registro. Para obtener más información, consulta Descripción general del registro de las reglas de firewall.
Habilita la API de recomendador
Habilita la API de Recommender para hacer lo siguiente:
- Usa las estadísticas de reglas bloqueadas
- Usa estadísticas de reglas demasiado permisivas
Recupera cualquier dato mediante llamadas a la API o mediante Google Cloud CLI
Console
En la consola de Google Cloud, ve a la página Habilitar el acceso a la API.
Asegúrate de que el proyecto correcto esté seleccionado y, luego, haz clic en Siguiente.
Haz clic en Habilitar.
gcloud
Usa el siguiente comando:
gcloud services enable recommender.googleapis.com
Habilita las reglas de bloqueo o las estadísticas de reglas demasiado permisivas
Estadísticas de firewall no genera reglas bloqueadas ni estadísticas de reglas demasiado permisivas, a menos que habilites de forma activa estas funciones en la página Estadísticas de firewall.
Después de habilitar cualquiera de las funciones, es posible que debas esperar hasta 48 horas para ver estadísticas generadas.
Cuando crees o actualices una regla de firewall, es posible que debas esperar hasta diez días para ver predicciones de aprendizaje automático para obtener estadísticas de reglas demasiado permisivas. Mientras tanto, puedes ver las estadísticas basadas en los datos recopilados del registro de reglas de firewall.
Console
En la consola de Google Cloud, ve a la página Estadísticas de firewall.
Haz clic en Configuración.
Haz clic en Habilitación.
Según corresponda, mueve el control deslizante a Habilitado o Deshabilitado de una de las siguientes opciones o ambas:
Estadísticas de reglas bloqueadas
Estadísticas de reglas demasiado permisivas
API
Puedes usar la API de Recommender para habilitar o inhabilitar las estadísticas de regla bloqueada y estadísticas de reglas demasiado permisivas. También puedes usar la API para establecer el período de observación de las estadísticas de reglas demasiado permisivas y recuperar los detalles de la configuración.
Para habilitar las estadísticas de regla bloqueada y las estadísticas de reglas demasiado permisivas, usa el
Método updateConfig.
Para usar el método updateConfig, debes establecer valores para todos sus parámetros. Cuando habilitas o inhabilitas las estadísticas, también debes configurar el
el período de observación de las conclusiones
demasiado permisivas.
Para realizar este tipo de actualización, usa la siguiente solicitud.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
Reemplaza los siguientes valores:
- PROJECT_ID: Es el ID de tu proyecto.
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: es el tiempo, en segundos, del período de observación de las estadísticas de reglas demasiado permisivas.
- ENABLEMENT_SHADOWED: un valor booleano que representa si las estadísticas de reglas bloqueadas están habilitadas
- ENABLEMENT_OVERLY_PERMISSIVE: un valor booleano que representa si las estadísticas de reglas demasiado permisivas están habilitadas.
- ETAG: El valor de Etag de la política de IAM; Para recuperar el valor de Etag, usa el método
getConfig, como se describe en la siguiente sección.
Ejemplo
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
Recupera detalles de configuración
Para recuperar detalles sobre cómo se configura Estadísticas de firewall, usa el
Método getConfig
como se muestra en el siguiente ejemplo.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Configurar un período de observación
Para algunas estadísticas, puedes configurar un período de observación, es decir, el intervalo de tiempo que cubre la estadística. Para obtener más información, consulta Configurar el período de observación en Configura el período de observación y el ciclo de actualización.
Programa un ciclo de actualización personalizado
Puedes configurar un ciclo de actualización para generar estadísticas de reglas bloqueadas para tu proyecto. Para ver más información, consulta Cómo programar un ciclo de actualización personalizado en Configura el período de observación y el ciclo de actualización.
¿Qué sigue?
- Categorías y estados de las estadísticas de firewall
- Visualiza y comprende las Estadísticas de firewall