Questa pagina descrive alcune attività comuni di Firewall Insights per la revisione e l'ottimizzazione dell'utilizzo del firewall Virtual Private Cloud (VPC). Esegui queste attività per ottimizzare le configurazioni delle regole firewall e rafforzare i limiti di sicurezza.
Ad esempio, sei un amministratore di rete o un tecnico della sicurezza di rete che supporta diverse reti VPC condiviso di grandi dimensioni con molti progetti e applicazioni. Vuoi esaminare e ottimizzare un volume elevato di regole firewall accumulate nel tempo per assicurarti che siano coerenti con lo stato previsto della rete. Puoi utilizzare le attività seguenti per esaminare e ottimizzare le regole firewall.
Ruoli e autorizzazioni richiesti
Per ottenere le autorizzazioni necessarie per utilizzare Firewall Insights, chiedi all'amministratore di concederti i ruoli IAM seguenti per il tuo progetto:
-
Ruolo Amministratore motore per suggerimenti firewall (
roles/recommender.firewallAdmin
) -
Ruolo Visualizzatore motore per suggerimenti firewall (
roles/recommender.firewallViewer
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare Firewall Insights. Per visualizzare le autorizzazioni necessarie, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per utilizzare Firewall Insights sono necessarie le seguenti autorizzazioni:
-
recommender.computeFirewallInsights.list
-
recommender.computeFirewallInsights.update
Potresti anche essere in grado di ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
Visualizza le regole applicate a una VM negli ultimi 30 giorni
Per esaminare le regole che ti aiutano a evitare configurazioni errate e regole con shadowing non necessarie:
Console
Nella console Google Cloud, vai alla pagina Istanze VM di Compute Engine.
Nel campo
Filtro, filtra le istanze inserendo una delle seguenti coppie chiave-valore per trovare le VM pertinenti.Network tags:TAG_NAME
Sostituisci
TAG_NAME
con un tag assegnato a una rete VPC.Internal IP:INTERNAL_IP_ADDRESS
Sostituisci
INTERNAL_IP_ADDRESS
con un indirizzo IP interno per un'interfaccia VM.External IP:EXTERNAL_IP_ADDRESS
Sostituisci
EXTERNAL_IP_ADDRESS
con un indirizzo IP esterno per l'interfaccia di una VM.Nei risultati di ricerca per un'interfaccia VM, seleziona una VM e fai clic sul menu
Altre azioni.Nel menu, seleziona Visualizza dettagli rete.
Nella pagina Dettagli interfaccia di rete, completa i seguenti passaggi:
- Nella sezione Dettagli firewall e route, fai clic su Firewall, quindi su Filtro.
Inserisci
last hit after:YYYY-MM-DD
per filtrare le regole firewall. Questa espressione di filtro trova le regole firewall con hit recenti.Per una regola firewall, fai clic sul numero nella colonna Conteggio hit per aprire il log del firewall ed esaminare i dettagli del traffico, come nella query di esempio che segue. Per inserire una query, fai clic su Invia filtro.
jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND jsonPayload.instance.zone:("us-central1-c") AND jsonPayload.instance.vm_name:("instance2")
Aggiungi uno o più filtri Cloud Logging aggiuntivi per filtrare ulteriormente i dettagli del log del firewall. Ad esempio, la seguente query di esempio aggiunge un ulteriore filtro che filtra in base all'indirizzo IP di origine (
src_ip
). Per inserire una query, fai clic su Invia filtro.jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND jsonPayload.instance.zone:("us-central1-c") AND jsonPayload.instance.vm_name:("instance2") AND jsonPayload.connection.src_ip:("10.0.1.2")
Rileva aumenti improvvisi del numero di hit per deny
regole firewall
Puoi configurare Cloud Monitoring per rilevare modifiche
nel conteggio degli hit delle regole firewall deny
VPC.
Ad esempio, puoi scegliere di ricevere un avviso quando il numero di hit di una determinata regola aumenta di una determinata percentuale. L'impostazione di questo avviso consente di rilevare possibili attacchi alle tue risorse Google Cloud.
Per impostare un avviso:
Console
Nella console Google Cloud, vai alla pagina Monitoring.
Nel riquadro di navigazione, fai clic su
Avvisi, quindi su Crea criterio.Nella pagina Crea criterio di avviso, fai clic su
Aggiungi condizione di avviso. Viene aggiunta una nuova condizione.Espandi la sezione Nuova condizione e seleziona Configura trigger. Viene visualizzata la pagina Configura trigger di avviso.
Configura le condizioni di avviso. Ad esempio, utilizza i valori seguenti per attivare un avviso quando il numero di hit per la regola identificata aumenta del 10% per sei ore:
- Tipi di condizione: impostalo su
Threshold
. - Attivatore di avviso: imposta su
Any time series violates
. - Posizione soglia: imposta su
Above threshold
. - Valore soglia: impostato su
10
.
- Tipi di condizione: impostalo su
Nella sezione Opzioni avanzate, inserisci un nome per la condizione e fai clic su Avanti.
Nella pagina Trigger per più condizioni, specifica la condizione e fai clic su Avanti.
Nella pagina Configura le notifiche, seleziona Canali di notifica, quindi Gestisci canali di notifica.
Nella finestra Canali di notifica, aggiungi il nuovo canale di notifica, ad esempio un indirizzo email, e fai clic su Salva.
Nell'elenco Canali di notifica, seleziona le notifiche aggiunte e, quindi, fai clic su OK.
Nella sezione Assegna un nome al criterio di avviso, inserisci il nome e fai clic su Avanti. La condizione dell'avviso viene aggiunta.
Esegui la pulizia delle regole firewall con shadowing
Per ripulire le regole firewall con shadowing da parte di altre regole:
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nella sezione Regole firewall VPC, fai clic su > Regole con shadowing.
Filtra e seleziona Tipo di InsightPer ogni regola nei risultati di ricerca, fai clic sul nome della regola e visualizza la relativa pagina dei dettagli. Esamina e pulisci ogni regola, se necessario.
Per ulteriori informazioni sulle regole con shadowing, consulta Esempi di regole con shadowing.
Rimuovi una regola allow
inutilizzata
Per valutare e rimuovere una regola allow
inutilizzata:
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nella sezione Regole firewall VPC, fai clic su > Ingress > Ultimo hit prima del giorno MM/DD/YYYY.
Filtra, quindi seleziona TipoSostituisci
MM/DD/YYYY
con la data che vuoi utilizzare. Ad esempio,08/31/2021
.Per ogni regola nei risultati di ricerca, esamina le informazioni nella colonna Approfondimenti. Questa colonna fornisce una percentuale che indica la probabilità che la regola venga applicata in futuro. Se la percentuale è alta, ti consigliamo di mantenere questa regola. Tuttavia, se è basso, continua a esaminare le informazioni generate dall'insight.
Fai clic sul link degli insight per visualizzare il riquadro Dettagli di Insight.
Nel riquadro Dettagli di Insight, esamina gli attributi di questa regola e quelli di eventuali regole simili elencate.
Se la regola ha una bassa probabilità di avere corrispondenze in futuro e se la previsione è supportata dal pattern di hit di regole simili, valuta la possibilità di rimuoverla. Per rimuovere la regola, fai clic su Nome regola. Viene visualizzata la pagina Dettagli regola firewall.
Fai clic su Elimina.
Nella finestra di dialogo di conferma, fai clic su Elimina.
Rimuovi un attributo non utilizzato da una regola allow
Per valutare e rimuovere un attributo inutilizzato:
Console
Nella console Google Cloud, vai alla pagina Approfondimenti firewall.
Nella scheda Consenti regole con attributi inutilizzati, fai clic su Visualizza elenco completo. In risposta, la console Google Cloud mostra la pagina Consenti regole con attributi inutilizzati. In questa pagina sono elencate tutte le regole con attributi inutilizzati durante il periodo di osservazione.
Fai clic sul testo visualizzato nella colonna Insight. Si apre la pagina Dettagli di Insight.
Esamina i dettagli nella parte superiore della pagina. Il riepilogo include i seguenti dettagli:
- Il nome dell'insight.
- Il numero di attributi inutilizzati di questa regola.
- L'ora dell'ultimo aggiornamento dell'insight.
- I nomi di altre regole del progetto che utilizzano attributi simili.
- La durata del periodo di osservazione.
Valuta se puoi rimuovere l'attributo:
- Consulta la scheda Regola firewall con attributi senza corrispondenze. Esamina il campo denominato Attributo senza hit (con previsione di corrispondenze future). Questo campo fornisce una percentuale che descrive la probabilità che l'attributo venga hit in futuro.
- Esamina la scheda Regola firewall simile nello stesso progetto. Esamina i dati visualizzati per verificare se è stato utilizzato l'attributo di questa regola.
Se l'attributo ha una bassa probabilità di avere corrispondenze in futuro e se la previsione è supportata dal pattern di hit di regole simili, valuta la possibilità di rimuovere l'attributo dalla regola. Per rimuovere l'attributo, fai clic sul nome della regola, visualizzato nella parte superiore della pagina Dettagli di Insight. Viene visualizzata la pagina Dettagli regola firewall.
Fai clic su Modifica, apporta le modifiche necessarie e poi fai clic su Salva.
Restringi l'intervallo di indirizzi IP di una regola allow
Tieni presente che il tuo progetto potrebbe avere regole firewall che consentono l'accesso da determinati blocchi di indirizzi IP per i controlli di integrità del bilanciatore del carico o per altre funzionalità di Google Cloud. Questi indirizzi IP potrebbero non avere corrispondenze, ma non devono essere rimossi dalle regole firewall. Per ulteriori informazioni su questi intervalli, consulta la documentazione di Compute Engine.
Per valutare e rafforzare un intervallo di indirizzi IP eccessivamente permissivo:
Console
Nella console Google Cloud, vai alla pagina Approfondimenti firewall.
Nella scheda denominata Consenti regole con intervalli di indirizzi IP o porte eccessivamente permissivi, fai clic su Visualizza elenco completo. In risposta, la console Google Cloud mostra un elenco di tutte le regole che avevano intervalli eccessivamente permissivi durante il periodo di osservazione.
Individua una regola qualsiasi nell'elenco e fai clic sul testo visualizzato nella colonna Insight. Si apre la pagina Dettagli di Insight.
Esamina i dettagli nella parte superiore della pagina. Il riepilogo include i seguenti dettagli:
- Il nome della regola.
- Il numero di intervalli di indirizzi IP che è possibile limitare.
- L'ora dell'ultimo aggiornamento dell'insight.
- La durata del periodo di osservazione.
Valuta se puoi restringere l'intervallo di indirizzi IP: esamina la scheda Regola firewall con intervalli di indirizzi IP o porte eccessivamente permissivi. Esamina l'elenco proposto di nuovi intervalli di indirizzi IP.
Se opportuno, valuta la possibilità di utilizzare i suggerimenti nell'insight per restringere l'intervallo di indirizzi IP. Fai clic sul nome della regola, visualizzato nella parte superiore della pagina Dettagli di Insight. Viene visualizzata la pagina Dettagli regola firewall.
Fai clic su Modifica, apporta le modifiche necessarie e poi fai clic su Salva.