Firewallregeln prüfen und optimieren

Auf dieser Seite werden einige gängige Firewall Insights-Aufgaben beschrieben zum Prüfen und Optimieren Ihrer VPC-Firewall (Virtual Private Cloud) Nutzung. Führen Sie diese Aufgaben aus, um Ihre Firewall-Regelkonfigurationen zu optimieren und die Sicherheitsgrenzen zu verschärfen.

Beispiel: Sie sind Netzwerkadministrator oder Netzwerksicherheitsanbieter die mehrere große freigegebene VPC-Netzwerke mit viele Projekte und Anwendungen. Sie möchten eine große Anzahl an gesammelten Firewallregeln prüfen und optimieren. um sicherzustellen, dass sie dem erwarteten Zustand Netzwerk. Mit den folgenden Aufgaben können Sie Ihre Firewallregeln prüfen und optimieren.

Erforderliche Rollen und Berechtigungen

Um die Berechtigungen zu erhalten, die Sie für die Verwendung von Firewall Insights benötigen, bitten Sie Ihren Administrator, Ihnen folgende IAM-Rollen für Ihr Projekt:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die für die Verwendung von Firewall Insights erforderlichen Berechtigungen. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zur Verwendung von Firewall Insights erforderlich:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Regeln ansehen, die in den letzten 30 Tagen auf eine VM angewendet wurden

Überprüfen von Regeln, mit denen Sie Fehlkonfigurationen und unnötige verdeckte Regeln:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Compute Engine-VM-Instanzen:

    Zu Compute Engine-VM-Instanzen

  2. Wählen Sie im Bereich Filter die Instanzen filtern, indem Sie eines der Schlüssel/Wert-Paare folgen, um relevante VMs zu finden.

    Network tags:TAG_NAME

    Ersetzen Sie TAG_NAME durch ein Tag, das einem VPC-Netzwerk zugewiesen ist.

    Internal IP:INTERNAL_IP_ADDRESS

    Ersetzen Sie INTERNAL_IP_ADDRESS durch eine interne IP-Adresse für eine VM-Schnittstelle.

    External IP:EXTERNAL_IP_ADDRESS

    Ersetzen Sie EXTERNAL_IP_ADDRESS durch eine externe IP-Adresse für eine VM-Schnittstelle.

  3. Wählen Sie in den Suchergebnissen für eine VM-Schnittstelle eine VM aus und klicken Sie auf weitere Aktionen.

  4. Wählen Sie im Menü Netzwerkdetails anzeigen aus.

  5. Führen Sie auf der Seite Details zur Netzwerkschnittstelle die folgenden Schritte aus:

    1. Klicken Sie im Bereich Details zu Firewall und Routen auf Firewalls und dann Filter.
    2. Geben Sie last hit after:YYYY-MM-DD ein, um die Firewallregeln zu filtern. Dieser Filterausdruck sucht Firewallregeln mit aktuellen Hits.

    3. Klicken Sie bei einer Firewallregel auf die Zahl in der Spalte Trefferanzahl, um das Firewall-Log zu öffnen und die Trafficdetails zu prüfen, wie in der folgenden Beispielabfrage. Klicken Sie auf Filter senden, um eine Abfrage einzugeben.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2")
      
    4. Fügen Sie einen oder mehrere zusätzliche Cloud Logging-Filter hinzu, um die Firewall-Logdetails weiter zu filtern. In der folgenden Beispielabfrage wird beispielsweise ein zusätzlicher Filter hinzugefügt, der nach der Quell-IP-Adresse (src_ip) filtert. Klicken Sie auf Filter senden, um eine Abfrage einzugeben.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2") AND
      jsonPayload.connection.src_ip:("10.0.1.2")
      

Plötzliche Erhöhungen der Trefferanzahl für deny-Firewallregeln erkennen

Sie können Cloud Monitoring so konfigurieren, dass Änderungen an der Trefferanzahl Ihrer VPC-deny-Firewallregeln erkannt werden. Sie können sich beispielsweise benachrichtigen lassen, wenn die Trefferanzahl einer bestimmten Regel um einen bestimmten Prozentsatz zunimmt. Durch Festlegen dieser Benachrichtigung können Sie mögliche Angriffe auf Ihre Google Cloud-Ressourcen erkennen.

So richten Sie eine Benachrichtigung ein:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

  2. Klicken Sie im Navigationsbereich auf Benachrichtigungen. und dann auf Richtlinie erstellen.

  3. Klicken Sie auf der Seite Benachrichtigungsrichtlinie erstellen auf Benachrichtigungsbedingung hinzufügen. Es wird eine neue Bedingung hinzugefügt.

  4. Maximieren Sie den Bereich Neue Bedingung und wählen Sie Trigger konfigurieren aus. Die Die Seite Trigger konfigurieren wird geöffnet.

  5. Konfigurieren Sie die Benachrichtigungsbedingungen. Verwenden Sie beispielsweise die folgenden Werte, um eine Benachrichtigung auszulösen, wenn die Trefferanzahl für die von Ihnen identifizierte Regel sechs Stunden lang um 10 % steigt:

    • Bedingungstypen: Legen Sie Threshold fest.
    • Auslöser für Benachrichtigung:Auf Any time series violates setzen.
    • Schwellenwertposition: Legen Sie Above threshold fest.
    • Grenzwert:Auf 10 festgelegt.
  6. Geben Sie im Bereich Erweiterte Optionen einen Namen für die Bedingung ein und klicken Sie auf Weiter.

  7. Geben Sie auf der Seite Trigger mit mehreren Bedingungen die Bedingung und Klicken Sie auf Weiter.

  8. Wählen Sie auf der Seite Benachrichtigungen konfigurieren die Option Benachrichtigungskanäle und dann Benachrichtigungskanäle verwalten aus.

  9. Fügen Sie im Fenster Benachrichtigungskanäle den neuen Benachrichtigungskanal hinzu, z. B. eine E-Mail-Adresse, und klicken Sie auf Speichern.

  10. Wählen Sie in der Liste Benachrichtigungskanäle die hinzugefügten Benachrichtigungen aus und klicken Sie auf OK.

  11. Geben Sie im Bereich Benachrichtigungsrichtlinie benennen einen Namen ein und klicken Sie auf Weiter. Die Benachrichtigungsbedingung wird hinzugefügt.

Verdeckte Firewallregeln bereinigen

So bereinigen Sie Firewallregeln, die von anderen Regeln verdeckt werden:

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie im Bereich VPC-Firewallregeln auf Filter Wählen Sie dann Statistiktyp > Verdeckte Regeln aus.

  3. Klicken Sie bei jeder Regel in den Suchergebnissen auf den Namen der Regel und rufen Sie die Detailseite auf. Prüfen und bereinigen Sie jede Regel nach Bedarf.

Weitere Informationen zu verdeckten Regeln finden Sie unter Beispiele für verdeckte Regeln.

Nicht verwendete allow-Regel entfernen

So bewerten und entfernen Sie eine nicht verwendete allow-Regel:

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie im Bereich VPC-Firewallregeln auf Filter und wählen Sie dann Typ > Ingress > Letzter Treffer vor MM/DD/YYYY aus.

    Ersetzen Sie MM/DD/YYYY durch das zu verwendende Datum. Beispiel: 08/31/2021.

  3. Prüfen Sie die Informationen in der Spalte Statistiken für jede Regel in den Suchergebnissen. Diese Spalte gibt einen Prozentsatz an, der die Wahrscheinlichkeit angibt, dass diese Regel in Zukunft erreicht wird. Wenn der Prozentsatz hoch ist, sollten Sie diese Regel beibehalten. Ist er jedoch niedrig, sollten Sie die Informationen, die sich aus der Statistik ergeben, weiter prüfen.

  4. Klicken Sie auf den Statistiklink, um den Bereich Statistikdetails aufzurufen.

  5. Prüfen Sie im Bereich Statistikdetails die Attribute dieser Regel und der Attribute ähnlicher Regeln, die aufgeführt sind.

  6. Wenn die Regel nur mit geringer Wahrscheinlichkeit einen Treffer hat und diese Vorhersage vom Treffermuster ähnlicher Regeln unterstützt wird, kann es sinnvoll sein, die Regel zu entfernen. Wenn Sie die Regel entfernen möchten, klicken Sie auf Regelname. Die Seite Details zur Firewallregel wird geöffnet.

  7. Klicken Sie auf Löschen.

  8. Klicken Sie im Bestätigungsdialogfeld auf Löschen.

Nicht verwendetes Attribut aus einer allow-Regel entfernen

So bewerten und entfernen Sie ein nicht verwendetes Attribut:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.

    Zu Firewall Insights

  2. Klicken Sie auf der Karte Zulassungsregeln mit nicht verwendeten Attributen auf Vollständige Liste ansehen. Als Antwort wird in der Google Cloud Console die Seite Zulassungsregeln mit nicht verwendeten Attributen angezeigt. Auf dieser Seite werden alle Regeln aufgelistet, deren Attribute während des Beobachtungszeitraums nicht verwendet wurden.

  3. Klicken Sie auf den Text, der in der Spalte Statistik angezeigt wird. Die Seite Details zur Statistik wird geöffnet.

  4. Prüfen Sie die Details oben auf der Seite. Die Zusammenfassung enthält die folgenden Details:

    • Der Name der Statistik.
    • Die Anzahl der nicht verwendeten Attribute, die diese Regel hat.
    • Die Zeit, zu der die Statistik zuletzt aktualisiert wurde.
    • Die Namen anderer Regeln im Projekt, die ähnliche Attribute verwenden.
    • Die Länge des Beobachtungszeitraums.
  5. Prüfen Sie, ob das Attribut entfernt werden kann:

    1. Sehen Sie sich die Karte Firewallregel mit Attributen ohne Treffer an. Sehen Sie sich das Feld Attribut ohne Treffer (mit Vorhersage zukünftiger Treffer) an. Dieses Feld gibt einen Prozentsatz an, der beschreibt, wie wahrscheinlich es ist, dass das Attribut in Zukunft zur Anwendung kommt.
    2. Prüfen Sie die Karte Ähnliche Firewallregel im selben Projekt. Überprüfen Sie die angezeigten Daten darüber, ob das Attribut dieser Regel verwendet wurde.
  6. Wenn das Attribut nur mit geringer Wahrscheinlichkeit einen Treffer hat und diese Vorhersage vom Treffermuster ähnlicher Regeln unterstützt wird, kann es sinnvoll sein, das Attribut von der Regel zu entfernen. Klicken Sie zum Entfernen des Attributs in der Seite Details zur Statistik oben auf den Namen der Regel. Die Seite Details zu Firewallregel wird geöffnet.

  7. Klicken Sie auf Bearbeiten, nehmen Sie die erforderlichen Änderungen vor und klicken Sie auf Speichern.

IP-Adressbereich einer allow-Regel eingrenzen

Beachten Sie, dass Ihr Projekt Firewallregeln enthalten kann, die den Zugriff von bestimmten IP-Adressblöcken für Load-Balancer-Systemdiagnosen oder für andere Google Cloud-Funktionen zulassen. Diese IP-Adressen sind zwar nicht betroffen, sollten aber nicht aus Ihren Firewall-Regeln entfernt werden. Weitere Informationen zu diesen Bereichen finden Sie in der Compute Engine-Dokumentation.

So bewerten und beschränken Sie einen zu moderaten IP-Adressbereich:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.

    Zu Firewall Insights

  2. Klicken Sie auf der Karte mit dem Namen Zulassungsregeln mit zu moderaten IP-Adressen oder Portbereichen auf Vollständige Liste anzeigen. Daraufhin zeigt die Google Cloud Console eine Liste aller Regeln an, die während des Beobachtungszeitraums übermäßig moderate Bereiche hatten.

  3. Suchen Sie eine Regel in der Liste und klicken Sie auf den Text, der in der Spalte Statistik angezeigt wird. Die Seite Details zur Statistik wird geöffnet.

  4. Prüfen Sie die Details oben auf der Seite. Die Zusammenfassung enthält die folgenden Details:

    • Der Name der Regel.
    • Die Anzahl der IP-Adressbereiche, die eingeschränkt werden könnten.
    • Die Zeit, zu der die Statistik zuletzt aktualisiert wurde.
    • Die Länge des Beobachtungszeitraums.
  5. Prüfen Sie, ob Sie den IP-Adressbereich eingrenzen können: Überprüfen Sie die Karte Firewallregel mit zu moderaten IP-Adress- oder Portbereichen: Sehen Sie sich die Liste der vorgeschlagenen neuen IP-Adressbereiche an.

  6. Gegebenenfalls sollten Sie die Empfehlungen in der Statistik berücksichtigen, um den IP-Adressbereich einzugrenzen. Klicken Sie auf den Namen der Regel, der oben auf der Seite Details zur Statistik angezeigt wird. Die Seite Details zu Firewallregel wird geöffnet.

  7. Klicken Sie auf Bearbeiten, nehmen Sie die erforderlichen Änderungen vor und klicken Sie auf Speichern.

Nächste Schritte