Rivedi e ottimizza le regole del firewall

Questa pagina descrive alcune attività comuni di Firewall Insights per rivedere e ottimizzare il firewall del tuo virtual private cloud (VPC) all'utilizzo delle risorse. Esegui queste attività per ottimizzare le configurazioni delle regole firewall e stringere i confini di sicurezza.

Ad esempio, se sei un amministratore di rete o un responsabile della sicurezza di rete che supporta diverse grandi reti VPC condiviso molti progetti e applicazioni. Vuoi rivedere e ottimizzare un grande volume di regole firewall accumulate nel tempo per garantire che siano coerenti con lo stato previsto dei tuoi in ogni rete. Puoi utilizzare le seguenti attività per esaminare e ottimizzare le regole del firewall.

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni necessarie per usare Firewall Insights, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti le autorizzazioni necessarie per usare Firewall Insights. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per utilizzare Firewall Insights sono necessarie le seguenti autorizzazioni:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati altri ruoli predefiniti.

Visualizza le regole applicate a una VM negli ultimi 30 giorni

Per rivedere le regole che ti aiutano a evitare errori di configurazione e inutili regole oscurate:

Console

  1. Nella console Google Cloud, vai alla pagina Istanze VM di Compute Engine.

    Vai alle istanze VM di Compute Engine

  2. Nella sezione Filtro filtra le istanze inserendo uno dei le seguenti coppie chiave-valore per trovare le VM pertinenti.

    Network tags:TAG_NAME

    Sostituisci TAG_NAME con un tag assegnato a un rete VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Sostituisci INTERNAL_IP_ADDRESS con un indirizzo IP interno per un'interfaccia VM.

    External IP:EXTERNAL_IP_ADDRESS

    Sostituisci EXTERNAL_IP_ADDRESS con un indirizzo IP esterno per un'interfaccia VM.

  3. Nei risultati di ricerca relativi all'interfaccia di una VM, seleziona una VM e fai clic sull'icona altre azioni.

  4. Nel menu, seleziona Visualizza dettagli rete.

  5. Nella pagina Dettagli interfaccia di rete, completa i seguenti passaggi:

    1. Nella sezione Dettagli firewall e route, fai clic su Firewall, quindi Filtra.

    2. Inserisci last hit after:YYYY-MM-DD per filtrare le regole del firewall. Questa espressione di filtro trova le regole firewall con indirizzo hit.

    3. Per una regola firewall, fai clic sul numero nella colonna Conteggio hit per apri il log del firewall ed esamina i dettagli del traffico, come illustrato di seguito query di esempio. Per inserire una query, fai clic su Invia filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2")

    4. Aggiungi uno o più filtri di Cloud Logging aggiuntivi per filtrare ulteriormente i dettagli di log del firewall. Ad esempio, la seguente query aggiunge un filtro aggiuntivo che filtra per indirizzo IP di origine (src_ip). Per inserire una query, fai clic su Invia filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2") AND
jsonPayload.connection.src_ip:("10.0.1.2")

Rileva aumenti improvvisi nel numero di hit per deny regola firewall

Puoi configurare Cloud Monitoring per rilevare le modifiche nel numero di hit delle regole firewall deny del VPC. Ad esempio, puoi scegliere di ricevere un avviso quando il numero di hit di un particolare aumenta di una determinata percentuale. Impostazione di questo avviso consente di rilevare possibili attacchi al tuo Google Cloud Google Cloud.

Per impostare un avviso:

Console

  1. Nella console Google Cloud, vai alla pagina Monitoring.

    Vai a Monitoring

  2. Nel riquadro di navigazione, fai clic su Avvisi. quindi Crea criterio.

  3. Nella pagina Crea criterio di avviso, fai clic su Aggiungi condizione di avviso. È stata aggiunta una nuova condizione.

  4. Espandi la sezione Nuova condizione e seleziona Configura trigger. La Si apre la pagina Configura trigger di avviso.

  5. Configura le condizioni di avviso. Ad esempio, utilizza i seguenti valori per attivare un avviso quando il numero di hit per la regola che hai identificato aumenta del 10% per sei ore:

    • Tipi di condizione:imposta su Threshold.
    • Attivazione avviso:imposta su Any time series violates.
    • Posizione soglia:imposta su Above threshold.
    • Valore soglia: imposta su 10.

  6. Nella sezione Opzioni avanzate, inserisci un nome per la condizione e fai clic su Avanti.

  7. Nella pagina Trigger per più condizioni, specifica la condizione e fai clic su Avanti.

  8. Nella pagina Configura le notifiche, seleziona Canali di notifica, quindi Gestisci canali di notifica.

  9. Nella finestra Canali di notifica, aggiungi la nuova notifica ad esempio un indirizzo email e fai clic su Salva.

  10. Nell'elenco Canali di notifica, seleziona le notifiche aggiunte e quindi fai clic su OK.

  11. Nella sezione Assegna un nome al criterio di avviso, inserisci il nome e fai clic su Avanti. La condizione di avviso è stata aggiunta.

Esegui la pulizia delle regole firewall con shadowing

Per pulire le regole firewall con shadowing da parte di altre regole, segui questi passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nella sezione Regole firewall VPC, fai clic su Filtro e poi seleziona Tipo di approfondimento > Regole oscurate.

  3. Per ogni regola nei risultati di ricerca, fai clic sul relativo nome e visualizzare la relativa pagina dei dettagli. Rivedi e pulisci ogni regola in base alle tue esigenze.

Per ulteriori informazioni sulle regole oscurate, consulta Esempi di regole con shadowing.

Rimuovi una regola allow inutilizzata

Per valutare e rimuovere una regola allow inutilizzata:

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nella sezione Regole firewall VPC, fai clic su Filtra e poi seleziona Digita > Ingress > ultimo hit prima del giorno MM/DD/YYYY.

    Sostituisci MM/DD/YYYY con la data che vuoi utilizzare. Ad esempio, 08/31/2021.

  3. Per ogni regola nei risultati di ricerca, esamina le informazioni nella sezione nella colonna Approfondimenti. Questa colonna fornisce una percentuale che indica probabilità che questa regola venga applicata in futuro. Se la percentuale è alta, ti consigliamo di mantenere questa regola. Se invece è basso, continua esaminando le informazioni generate dall'insight.

  4. Fai clic sul link degli insight per visualizzare il riquadro Dettagli insight.

  5. Nel riquadro Dettagli insight, esamina gli attributi di questa regola e gli attributi di regole simili elencate.

  6. Se la regola ha una bassa probabilità di avere corrispondenze in futuro e se è supportata dal pattern di hit di regole simili, valuta la possibilità di rimuoverla. Per rimuovere la regola, fai clic su Nome regola. Si apre la pagina Dettagli regola firewall.

  7. Fai clic su Elimina.

  8. Nella finestra di dialogo di conferma, fai clic su Elimina.

Rimuovere un attributo non utilizzato da una regola allow

Per valutare e rimuovere un attributo non utilizzato, procedi nel seguente modo:

Console

  1. Nella console Google Cloud, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Nella scheda Consenti regole con attributi inutilizzati, fai clic su Visualizza elenco completo. In risposta, la console Google Cloud mostra Pagina Consenti regole con attributi inutilizzati. In questa pagina sono elencate tutte le regole con attributi inutilizzati durante il periodo di osservazione.

  3. Fai clic sul testo visualizzato nella colonna Insight. Lo strumento di approfondimento Viene visualizzata la pagina Dettagli.

  4. Esamina i dettagli nella parte superiore della pagina. Il riepilogo include seguenti dettagli:

    • Il nome dell'insight.
    • Il numero di attributi inutilizzati di questa regola.
    • Ora dell'ultimo aggiornamento dell'insight.
    • I nomi di altre regole del progetto che utilizzano attributi simili.
    • La durata del periodo di osservazione.

  5. Valuta se puoi rimuovere l'attributo:

    1. Esamina la scheda Regola firewall con attributi senza corrispondenze. Guarda il campo con l'etichetta Attributo senza hit (con previsione di hit futuri). Questo campo fornisce una percentuale che descrive la probabilità che in futuro.
    2. Esamina la scheda Regola firewall simile nello stesso progetto. Rivedi i dati visualizzati sull'eventuale utilizzo dell'attributo di questa regola.

  6. Se l'attributo ha una bassa probabilità di essere colpito in futuro e se è supportata dal pattern di hit di regole simili, valuta la possibilità di rimuovere l'attributo personalizzata. Per rimuovere l'attributo, fai clic sul nome che viene visualizzata nella parte superiore della pagina Dettagli di approfondimento. La Si apre la pagina Dettagli regola firewall.

  7. Fai clic su Modifica, apporta le modifiche necessarie e poi fai clic su Salva.

Restringi l'intervallo di indirizzi IP di una regola allow

Tieni presente che il progetto potrebbe avere regole firewall che consentono l'accesso da determinati blocchi di indirizzi IP per i controlli di integrità del bilanciatore del carico o per altri di Google Cloud. Questi indirizzi IP potrebbero non essere stati trovati, ma dovrebbero non vengano rimosse dalle regole firewall. Per ulteriori informazioni su questi gli intervalli di tempo, consulta Documentazione di Compute Engine.

Per valutare e restringere un intervallo di indirizzi IP eccessivamente permissivo, segui questi passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Sulla scheda denominata Consenti regole con indirizzi IP eccessivamente permissivi o intervalli di porte, fai clic su Visualizza l'elenco completo. In risposta, Nella console Google Cloud viene visualizzato un elenco di tutte le regole che sono state intervalli permissivi durante il periodo di osservazione.

  3. Individua una regola nell'elenco e fai clic sul testo visualizzato nella Colonna Insight. Si apre la pagina Dettagli di approfondimento.

  4. Esamina i dettagli nella parte superiore della pagina. Il riepilogo include seguenti dettagli:

    • Il nome della regola.
    • Il numero di intervalli di indirizzi IP che è possibile limitare.
    • Ora dell'ultimo aggiornamento dell'insight.
    • La durata del periodo di osservazione.

  5. Valuta se puoi restringere l'intervallo di indirizzi IP: esamina il Scheda Regola firewall con intervalli di porte o indirizzi IP eccessivamente permissivi. Esamina l'elenco proposto di nuovi intervalli di indirizzi IP.

  6. Se opportuno, valuta la possibilità di utilizzare i consigli negli approfondimenti per restringere l'intervallo di indirizzi IP. Fai clic sul nome del che viene visualizzata nella parte superiore della pagina Dettagli di approfondimento. La Si apre la pagina Dettagli regola firewall.

  7. Fai clic su Modifica, apporta le modifiche necessarie e poi fai clic su Salva.

Passaggi successivi