Examiner et optimiser les règles de pare-feu

Cette page décrit certaines tâches Firewall Insights courantes permettant d'examiner et d'optimiser l'utilisation de votre pare-feu de cloud privé virtuel (VPC). Effectuez ces tâches pour optimiser les configurations de vos règles de pare-feu et renforcer les limites de sécurité.

Par exemple, vous êtes administrateur réseau ou ingénieur en sécurité réseau travaillant sur plusieurs grands réseaux VPC partagés avec de nombreux projets et applications. Vous souhaitez examiner et optimiser un grand nombre de règles de pare-feu accumulées au fil du temps pour vous assurer qu'elles sont cohérentes avec l'état attendu de votre réseau. Vous pouvez effectuer les tâches suivantes pour examiner et optimiser vos règles de pare-feu.

Rôles et autorisations requis

Pour obtenir les autorisations nécessaires pour utiliser Firewall Insights, demandez à votre administrateur de vous attribuer les rôles IAM suivants sur votre projet:

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ces rôles prédéfinis contiennent les autorisations requises pour utiliser Firewall Insights. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour utiliser Firewall Insights:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Afficher les règles appliquées à une VM au cours des 30 derniers jours

Pour examiner les règles qui vous aident à éviter les erreurs de configuration et les règles bloquées inutiles, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Instances de VM de Compute Engine.

    Accéder à la page "Instances de VM" de Compute Engine

  2. Dans le champ Filtrer, filtrez les instances en saisissant l'une des paires clé/valeur suivantes pour trouver les VM pertinentes.

    Network tags:TAG_NAME

    Remplacez TAG_NAME par un tag attribué à un réseau VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Remplacez INTERNAL_IP_ADDRESS par une adresse IP interne pour une interface de VM.

    External IP:EXTERNAL_IP_ADDRESS

    Remplacez EXTERNAL_IP_ADDRESS par une adresse IP externe pour une interface de VM.

  3. Dans les résultats de recherche d'une interface de VM, sélectionnez une VM, puis cliquez sur le menu Autres actions.

  4. Dans le menu, sélectionnez Afficher les détails du réseau.

  5. Sur la page Détails de l'interface réseau, procédez comme suit :

    1. Dans la section Détails du pare-feu et des routes, cliquez sur Pare-feu, puis sur Filtrer.

    2. Saisissez last hit after:YYYY-MM-DD pour filtrer les règles de pare-feu. Cette expression de filtre trouve les règles de pare-feu avec des appels récents.

    3. Pour une règle de pare-feu, cliquez sur le nombre dans la colonne Nombre de visites pour ouvrir le journal du pare-feu et consulter les détails du trafic, comme dans l'exemple de requête suivant. Pour saisir une requête, cliquez sur Envoyer le filtre.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2")

    4. Ajoutez un ou plusieurs filtres Cloud Logging supplémentaires pour affiner le filtrage des détails du journal du pare-feu. Par exemple, l'exemple de requête suivant ajoute un filtre par adresse IP source (src_ip). Pour saisir une requête, cliquez sur Envoyer le filtre.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2") AND
jsonPayload.connection.src_ip:("10.0.1.2")

Détecter les augmentations soudaines du nombre d'appels des règles de pare-feu deny

Vous pouvez configurer Cloud Monitoring de façon à détecter les modifications apportées au nombre d'appels de vos règles de pare-feu VPC deny. Par exemple, vous pouvez choisir d'être alerté lorsque le nombre d'appels d'une règle particulière augmente d'un certain pourcentage. La définition de cette alerte vous permet de détecter d'éventuelles attaques sur vos ressources Google Cloud.

Pour définir une alerte, procédez comme suit:

Console

  1. Dans Google Cloud Console, accédez à la page Monitoring.

    Accéder à Monitoring

  2. Dans le volet de navigation, cliquez sur Alertes, puis sur Créer une règle.

  3. Sur la page Créer une règle d'alerte, cliquez sur Ajouter une condition d'alerte. Une nouvelle condition est ajoutée.

  4. Développez la section Nouvelle condition et sélectionnez Configurer le déclencheur. La page Configurer le déclencheur d'alerte s'ouvre.

  5. Configurez les conditions de l'alerte. Par exemple, utilisez les valeurs suivantes pour déclencher une alerte lorsque le nombre d'appels de la règle que vous avez identifiée augmente de 10 % pendant six heures :

    • Types de condition:définissez-la sur Threshold.
    • Déclencheur d'alerte:définissez-le sur Any time series violates.
    • Position du seuil:définissez la valeur sur Above threshold.
    • Valeur du seuil:définie sur 10.

  6. Dans la section Options avancées, saisissez un nom pour la condition, puis cliquez sur Suivant.

  7. Sur la page Déclencheur à plusieurs conditions, spécifiez la condition et cliquez sur Suivant.

  8. Sur la page Configurer les notifications, sélectionnez Canaux de notification, puis Gérer les canaux de notification.

  9. Dans la fenêtre Canaux de notification, ajoutez le nouveau canal de notification (par exemple, une adresse e-mail), puis cliquez sur Enregistrer.

  10. Dans la liste Canaux de notification, sélectionnez les notifications ajoutées, puis cliquez sur OK.

  11. Dans la section Attribuer un nom à la règle d'alerte, saisissez le nom et cliquez sur Suivant. La condition d'alerte est ajoutée.

Nettoyer les règles de pare-feu bloquées

Pour nettoyer les règles de pare-feu bloquées par d'autres règles, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder aux stratégies de pare-feu

  2. Dans la section Règles de pare-feu VPC, cliquez sur Filtrer, puis sélectionnez Type d'insight > Règles bloquées.

  3. Pour chaque règle dans les résultats de la recherche, cliquez sur son Nom et consultez sa page d'informations. Examinez et nettoyez chaque règle au besoin.

Pour en savoir plus sur les règles bloquées, consultez la section Exemples de règles bloquées.

Supprimer une règle allow non utilisée

Pour évaluer et supprimer une règle allow inutilisée, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder aux stratégies de pare-feu

  2. Dans la section Règles de pare-feu VPC, cliquez sur Filtrer, puis sélectionnez Type > Ingress > dernier appel avant MM/DD/YYYY.

    Remplacez MM/DD/YYYY par la date que vous souhaitez utiliser. Par exemple, 08/31/2021.

  3. Pour chaque règle des résultats de recherche, consultez les informations de la colonne Insights. Cette colonne fournit un pourcentage qui indique la probabilité que cette règle soit appelée à l'avenir. Si le pourcentage est élevé, vous pouvez conserver cette règle. Toutefois, si elle est faible, continuez à examiner les informations générées par l'insight.

  4. Cliquez sur le lien de l'insight pour afficher le volet Détails de l'insight.

  5. Dans le volet Détails des insights, examinez les attributs de cette règle et ceux de toute règle similaire répertoriée.

  6. Si la règle a une faible probabilité d'être appelée à l'avenir et si cette prédiction est compatible avec le modèle d'appel de règles similaires, envisagez de supprimer la règle. Pour supprimer la règle, cliquez sur Nom de la règle. La page Détails de la règle de pare-feu s'ouvre.

  7. Cliquez sur Supprimer.

  8. Dans la boîte de dialogue de confirmation, cliquez sur Supprimer.

Supprimer un attribut non utilisé d'une règle allow

Pour évaluer et supprimer un attribut inutilisé, procédez comme suit:

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la fiche nommée Autoriser les règles avec des attributs non utilisés, cliquez sur Afficher la liste complète. En réponse, la console Google Cloud affiche la page Autoriser les règles avec des attributs non utilisés. Cette page répertorie toutes les règles comportant des attributs non utilisés pendant la période d'observation.

  3. Cliquez sur le texte qui s'affiche dans la colonne Insight. La page Détails de l'insight s'ouvre.

  4. Examinez les détails en haut de la page. Le résumé comprend les informations suivantes :

    • Nom de l'insight.
    • Nombre d'attributs non utilisés de cette règle.
    • Date et heure de la dernière mise à jour de l'insight.
    • Noms des autres règles du projet qui utilisent des attributs similaires.
    • Durée de la période d'observation.

  5. Déterminez si vous pouvez supprimer l'attribut :

    1. Consultez la fiche Règle de pare-feu avec des attributs non utilisés. Examinez le champ intitulé Attribut non utilisé (avec prédiction d'appels). Ce champ fournit un pourcentage qui décrit la probabilité que l'attribut soit appelé à l'avenir.
    2. Consultez la fiche Règle de pare-feu similaire dans le même projet. Vérifiez les données affichées pour savoir si l'attribut de cette règle a été utilisé.

  6. Si l'attribut a une faible probabilité d'être appelé à l'avenir et si cette prédiction est compatible avec le modèle d'appel de règles similaires, envisagez de supprimer l'attribut de la règle. Pour supprimer l'attribut, cliquez sur le nom de la règle, qui apparaît en haut de la page Détails de l'insight. La page Détails de la règle de pare-feu s'affiche.

  7. Cliquez sur Modifier, apportez les modifications nécessaires, puis cliquez sur Enregistrer.

Réduire la plage d'adresses IP d'une règle allow

Sachez que votre projet peut disposer de règles de pare-feu autorisant l'accès à partir de certains blocs d'adresses IP pour les vérifications d'état de l'équilibreur de charge ou pour d'autres fonctionnalités de Google Cloud. Ces adresses IP risquent de ne pas être appelées, mais elles ne doivent pas être supprimées de vos règles de pare-feu. Pour plus d'informations sur ces plages, consultez la documentation sur Compute Engine.

Pour évaluer et restreindre une plage d'adresses IP trop permissive, procédez comme suit:

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la fiche nommée Autoriser les règles associées à des adresses IP ou des plages de ports trop permissives, cliquez sur Afficher la liste complète. En conséquence, la console Google Cloud affiche la liste de toutes les règles dont les plages sont trop permissives pendant la période d'observation.

  3. Recherchez n'importe quelle règle dans la liste, puis cliquez sur le texte affiché dans la colonne Insight. La page Détails de l'insight s'ouvre.

  4. Examinez les détails en haut de la page. Le résumé comprend les informations suivantes :

    • Nom de la règle.
    • Nombre de plages d'adresses IP pouvant être restreintes.
    • Date et heure de la dernière mise à jour de l'insight.
    • Durée de la période d'observation.

  5. Déterminez si vous pouvez restreindre la plage d'adresses IP: consultez la fiche Règle de pare-feu avec des plages d'adresses IP ou de ports trop permissives. Examinez la liste proposée pour les nouvelles plages d'adresses IP.

  6. Le cas échéant, envisagez d'utiliser les recommandations fournies dans cet insight pour affiner la plage d'adresses IP. Cliquez sur le nom de la règle, qui apparaît en haut de la page Détails de l'insight. La page Détails de la règle de pare-feu s'affiche.

  7. Cliquez sur Modifier, apportez les modifications nécessaires, puis cliquez sur Enregistrer.

Étapes suivantes