Esta página descreve como ativar as APIs e as funcionalidades necessárias para usar o Firewall Insights.
Antes de usar o Firewall Insights, selecione um projeto, certifique-se de que tem as funções e as autorizações necessárias e, em seguida, conclua as tarefas de configuração necessárias. Para mais informações sobre os dois primeiros passos, consulte o artigo Funções e autorizações.
As tarefas de configuração variam com base nas métricas e nas estatísticas que quer usar. Para ver detalhes, consulte a tabela seguinte.
| Tarefa | Todas as métricas | Estatísticas de regras sobrepostas | Estatísticas de regras excessivamente permissivas | Regras de recusa com resultados |
|---|---|---|---|---|
| Ative a API Firewall Insights | ✔ | ✔ | ✔ | ✔ |
| Ative o registo de regras de firewall | ✔ | ✔ | ✔ | |
| Ative a API Recommender | ✔ | ✔ | ||
| Ative este tipo de estatísticas | ✔ | ✔ | ||
| Configure um período de observação | ✔ | ✔ | ||
| Agende um ciclo de atualização personalizado | ✔ |
As secções seguintes descrevem como ativar as APIs e as funcionalidades.
Ative a API Firewall Insights
Antes de realizar tarefas com o Firewall Insights, tem de ativar a API Firewall Insights.
Para ativar a API, pode seguir os passos abaixo ou usar a Google Cloud biblioteca de APIs da consola, descrita no artigo Ativar APIs na documentação das APIs Google Cloud.
Consola
Na Google Cloud consola, aceda à página Estatísticas da firewall.
Na página API Firewall Insights, clique em Ativar.
gcloud
Use o seguinte comando:
gcloud services enable firewallinsights.googleapis.com
Ative o registo de regras de firewall
Se quiser ver qualquer um dos seguintes elementos, tem de ativar o registo de regras da firewall:
- Métricas sobre regras de firewall
- Estatísticas sobre regras excessivamente permissivas ou
denyregras; estas estatísticas são conhecidas coletivamente como estatísticas baseadas em registos
O Firewall Insights gera métricas e estatísticas baseadas em registos apenas para as regras que têm o registo ativado. Para mais informações, consulte o artigo Vista geral do registo de regras de firewall.
Ative a API Recommender
Ative a API Recommender para fazer o seguinte:
- Use estatísticas de regras sobrepostas
- Use estatísticas de regras excessivamente permissivas
Obter dados através de chamadas API ou da CLI Google Cloud
Consola
Na Google Cloud consola, aceda à página Ativar acesso à API.
Certifique-se de que o projeto correto está selecionado e, de seguida, clique em Seguinte.
Clique em Ativar.
gcloud
Use o seguinte comando:
gcloud services enable recommender.googleapis.com
Ative as estatísticas de regras ocultadas ou excessivamente permissivas
O Firewall Insights não gera estatísticas de regras excessivamente permissivas ou sombreadas, a menos que ative ativamente estas funcionalidades na página do Firewall Insights.
Depois de ativar qualquer uma das funcionalidades, pode ter de aguardar até 48 horas para ver as estatísticas geradas.
Quando cria ou atualiza uma regra de firewall, pode ter de aguardar até dez dias para ver previsões de aprendizagem automática para estatísticas de regras excessivamente permissivas. Entretanto, pode ver estatísticas baseadas em dados recolhidos do Registo de regras de firewall.
Consola
Na Google Cloud consola, aceda à página Estatísticas da firewall.
Clique em Configuração.
Clique em Ativação.
Conforme adequado, mova o controlo de deslize para Ativado ou Desativado para uma ou ambas as seguintes opções:
Estatísticas de regras sobrepostas
Informações sobre regras excessivamente permissivas
API
Pode usar a API Recommender para ativar ou desativar as estatísticas de regras ocultadas e as estatísticas de regras excessivamente permissivas. Também pode usar a API para definir o período de observação para estatísticas de regras excessivamente permissivas e obter detalhes de configuração.
Para ativar as estatísticas de regras ocultadas e as estatísticas de regras excessivamente permissivas, use o método updateConfig.
Para usar o método updateConfig, tem de definir valores para todos os respetivos parâmetros. Quando ativa ou desativa as estatísticas, também tem de configurar o período de observação para estatísticas excessivamente permissivas.
Para fazer este tipo de atualização, use o seguinte pedido.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
Substitua os seguintes valores:
- PROJECT_ID: o ID do seu projeto
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: o tempo, em segundos, do período de observação para estatísticas de regras excessivamente permissivas
- ENABLEMENT_SHADOWED: um valor booleano que representa se as estatísticas das regras ocultadas estão ativadas
- ENABLEMENT_OVERLY_PERMISSIVE: um valor booleano que representa se as estatísticas de regras excessivamente permissivas estão ativadas
- ETAG: o valor etag da política de IAM; para
obter o valor etag, use o método
getConfig, conforme descrito na secção seguinte
Exemplo
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
Obtenha detalhes da configuração
Para obter detalhes sobre como o Firewall Insights está configurado, use o método getConfig, conforme mostrado no exemplo seguinte.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Configure um período de observação
Para algumas estatísticas, pode configurar um período de observação ou o intervalo de tempo abrangido pela estatística. Para mais informações, consulte a secção Configure o período de observação no artigo Configure o período de observação e o ciclo de atualização.
Agende um ciclo de atualização personalizado
Pode configurar um ciclo de atualização para gerar estatísticas de regras ocultadas para o seu projeto. Para mais informações, consulte Agende um ciclo de atualização personalizado em Configure o período de observação e o ciclo de atualização.