Nesta página, descrevemos como ativar as APIs e os recursos necessários para usar o Firewall Insights.
Antes de usar o Firewall Insights, selecione um projeto, verifique se você tem os papéis e as permissões necessários e conclua as tarefas de configuração necessárias. Para mais informações sobre as duas primeiras etapas, consulte Papéis e permissões.
As tarefas de configuração variam de acordo com as métricas e insights que você quer usar. Veja mais detalhes na tabela a seguir.
| Tarefa | Todas as métricas | Insights de regras ofuscadas | Insights de regras excessivamente permissivos | Negar regras com ocorrências |
|---|---|---|---|---|
| Ativar a API Firewall Insights | ✔ | ✔ | ✔ | ✔ |
| Ativar a geração de registros de regras de firewall | ✔ | ✔ | ✔ | |
| Ative a API Recommender | ✔ | ✔ | ||
| Ativar esse tipo de insight | ✔ | ✔ | ||
| Configurar um período de observação | ✔ | ✔ | ||
| Programar um ciclo de atualização personalizado | ✔ |
As seções a seguir descrevem como ativar as APIs e os recursos.
Ativar a API Firewall Insights
Antes de executar qualquer tarefa usando o Firewall Insights, você precisa ativar a API Firewall Insights.
Para ativar a API, siga as etapas abaixo ou a biblioteca de APIs do Console do Google Cloud, descrita em Como ativar APIs nas APIs do Cloud. documentação do cliente.
Console
No console do Google Cloud, acesse a página Firewall Insights.
Na página API Firewall Insights, clique em Ativar.
gcloud
Use o comando a seguir:
gcloud services enable firewallinsights.googleapis.com
Ativar a geração de registros de regras de firewall
Se você quiser ver qualquer um dos itens a seguir, ative a geração de registros de regras de firewall:
- Métricas sobre regras de firewall
- Insights sobre regras excessivamente permissivas
ou regras
deny; Esses insights são conhecidos coletivamente como insights com base em registros.
O Firewall Insights produz métricas e insights baseados em registros apenas para as regras que têm a geração de registros ativada. Para mais informações, consulte a Visão geral do Registro de regras de firewall.
Ative a API Recommender
Ative a API Recommender para fazer o seguinte:
- Usar insights de regra sombreada
- Usar insights de regra excessivamente permissivos
Recupere todos os dados fazendo chamadas de API ou usando a Google Cloud CLI.
Console
No console do Google Cloud, acesse a página Ativar acesso à API.
Verifique se o projeto correto está selecionado e clique em Next.
Clique em Enable.
gcloud
Use o comando a seguir:
gcloud services enable recommender.googleapis.com
Ativar insights de regras ocultas ou muito permissivas
O Firewall Insights não gera insights de regras ocultas ou de regras excessivamente permissivos, a menos que você ative explicitamente esses recursos na página "Firewall Insights".
Depois de ativar qualquer um dos recursos, talvez seja necessário aguardar até 48 horas para ver os insights gerados.
Ao criar ou atualizar uma regra de firewall, talvez seja necessário aguardar até dez dias para ver as previsões de aprendizado de máquina de insights de regras muito permissivas. Enquanto isso, é possível ver insights com base nos dados coletados da geração de registros de regras de firewall.
Console
No console do Google Cloud, acesse a página Firewall Insights.
Clique em Configuração.
Clique em Ativação.
Conforme apropriado, mova o controle deslizante para Enabled ou Disabled em um dos itens a seguir (ou ambos):
Insights de regras ofuscadas
Insights de regras excessivamente permissivos
API
É possível usar a API Recommender para ativar ou desativar insights de regras ocultas e insights de regras excessivamente permissivas. Também é possível usar a API para definir o período de observação para insights de regras excessivamente permissivas e recuperar detalhes de configuração.
Para ativar insights de regras ofuscadas e de regra excessivamente permissivas, use o
método updateConfig.
Para usar o método updateConfig, é necessário definir valores para todos os
parâmetros. Ao ativar ou desativar os insights, também é preciso configurar o período de observação para insights muito permissivos.
Para fazer esse tipo de atualização, use a solicitação a seguir.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
Substitua os seguintes valores:
- PROJECT_ID: ID do projeto
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: o tempo, em segundos, do período de observação para insights de regras excessivamente permissivas
- ENABLEMENT_SHADOWED: um valor booleano que representa se os insights de regras ocultas estão ativados
- ENABLEMENT_OVERLY_PERMISSIVE: um valor booleano que representa se os insights de regras excessivamente permissivas estão ativados
- ETAG: o valor de etag da política do IAM: para
recuperar o valor da etag, use o método
getConfig, conforme descrito na seção a seguir.
Exemplo
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
Recuperar detalhes de configuração
Para recuperar detalhes sobre como o Firewall Insights está configurado, use o
método getConfig,
conforme mostrado no exemplo a seguir.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Configurar um período de observação
Para alguns insights, é possível configurar um período de observação ou o intervalo de tempo que ele abrange. Para mais informações, consulte Configurar período de observação em Configurar período de observação e ciclo de atualização.
Programar um ciclo de atualização personalizado
É possível configurar um ciclo de atualização para gerar insights de regras ofuscadas para seu projeto. Para mais informações, consulte Programar um ciclo de atualização personalizado em Configurar período de observação e ciclo de atualização.