Meninjau dan mengoptimalkan aturan firewall

Halaman ini menjelaskan beberapa tugas Firewall Insights umum untuk meninjau dan mengoptimalkan penggunaan firewall Virtual Private Cloud (VPC) Anda. Lakukan tugas ini untuk mengoptimalkan konfigurasi aturan firewall dan memperketat batas keamanan.

Misalnya, Anda adalah administrator jaringan atau engineer keamanan jaringan yang mendukung beberapa jaringan VPC Bersama besar dengan banyak project dan aplikasi. Anda ingin meninjau dan mengoptimalkan sejumlah besar aturan firewall yang terakumulasi seiring waktu untuk memastikan bahwa aturan tersebut konsisten dengan status jaringan yang diharapkan. Anda dapat menggunakan tugas berikut untuk meninjau dan mengoptimalkan aturan firewall.

Peran dan izin yang diperlukan

Untuk mendapatkan izin yang diperlukan guna menggunakan Firewall Insights, minta administrator untuk memberi Anda peran IAM berikut di project Anda:

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk menggunakan Firewall Insights. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk menggunakan Firewall Insights:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Melihat aturan yang diterapkan ke VM dalam 30 hari terakhir

Untuk meninjau aturan yang membantu Anda menghindari kesalahan konfigurasi dan aturan yang tidak perlu dibayangi, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Compute Engine VM instances.

    Buka Compute Engine VM instances

  2. Di kolom Filter, filter instance dengan memasukkan salah satu pasangan nilai kunci berikut untuk menemukan VM yang relevan.

    Network tags:TAG_NAME

    Ganti TAG_NAME dengan tag yang ditetapkan ke jaringan VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Ganti INTERNAL_IP_ADDRESS dengan alamat IP internal untuk antarmuka VM.

    External IP:EXTERNAL_IP_ADDRESS

    Ganti EXTERNAL_IP_ADDRESS dengan alamat IP eksternal untuk antarmuka VM.

  3. Di hasil penelusuran untuk antarmuka VM, pilih VM, lalu klik menu tindakan lainnya.

  4. Di menu, pilih View network details.

  5. Di halaman Network interface details, selesaikan langkah-langkah berikut:

    1. Di bagian Firewall and routes details, klik Firewalls, lalu Filter.

    2. Masukkan last hit after:YYYY-MM-DD untuk memfilter aturan firewall. Ekspresi filter ini menemukan aturan firewall dengan hit terbaru.

    3. Untuk aturan firewall, klik angka di kolom Hit count untuk membuka log firewall dan meninjau detail traffic, seperti dalam contoh kueri berikut. Untuk memasukkan kueri, klik Kirim filter.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2")

    4. Tambahkan satu atau beberapa filter Cloud Logging tambahan untuk memfilter lebih lanjut detail log firewall. Misalnya, contoh kueri berikut menambahkan filter tambahan yang memfilter menurut alamat IP sumber (src_ip). Untuk memasukkan kueri, klik Kirim filter.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2") AND
jsonPayload.connection.src_ip:("10.0.1.2")

Mendeteksi peningkatan jumlah hit yang tiba-tiba untuk aturan firewall deny

Anda dapat mengonfigurasi Cloud Monitoring untuk mendeteksi perubahan jumlah hit pada aturan firewall deny VPC. Misalnya, Anda dapat memilih untuk mendapatkan pemberitahuan saat jumlah hit aturan tertentu meningkat sebesar persentase tertentu. Menyetel pemberitahuan ini membantu Anda mendeteksi kemungkinan serangan pada resource Google Cloud Anda.

Untuk menetapkan pemberitahuan, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Monitoring.

    Buka Monitoring

  2. Di panel navigasi, klik Alerting, lalu Create policy.

  3. Di halaman Create alerting policy, klik Add alert condition. Kondisi baru ditambahkan.

  4. Luaskan bagian Kondisi baru, lalu pilih Konfigurasi pemicu. Halaman Konfigurasi pemicu pemberitahuan akan terbuka.

  5. Konfigurasikan kondisi pemberitahuan. Misalnya, gunakan nilai berikut untuk memicu pemberitahuan saat jumlah hit untuk aturan yang Anda identifikasi meningkat sebesar 10% selama enam jam:

    • Jenis kondisi: Tetapkan ke Threshold.
    • Pemicu pemberitahuan: Tetapkan ke Any time series violates.
    • Threshold position: Tetapkan ke Above threshold.
    • Nilai minimum: Tetapkan ke 10.

  6. Di bagian Advanced options, masukkan nama untuk kondisi, lalu klik Next.

  7. Di halaman Multi-condition trigger, tentukan kondisi dan klik Next.

  8. Di halaman Configure notifications, pilih Notification channels, lalu Manage notification channels.

  9. Di jendela Notification channels, tambahkan saluran notifikasi baru—misalnya, alamat email, lalu klik Save.

  10. Dalam daftar Saluran notifikasi, pilih notifikasi yang ditambahkan, lalu klik Oke.

  11. Di bagian Name the alert policy, masukkan nama dan klik Next. Kondisi pemberitahuan ditambahkan.

Membersihkan aturan firewall yang di-shadow

Untuk membersihkan aturan firewall yang dibayangi oleh aturan lain, lakukan tindakan berikut:

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di bagian VPC firewall rules, klik Filter, lalu pilih Insight type > Shadowed rules.

  3. Untuk setiap aturan dalam hasil penelusuran, klik Nama aturan dan lihat halaman detailnya. Tinjau dan bersihkan setiap aturan sesuai kebutuhan.

Untuk mengetahui informasi selengkapnya tentang aturan yang dibayangi, lihat Contoh aturan yang dibayangi.

Menghapus aturan allow yang tidak digunakan

Untuk mengevaluasi dan menghapus aturan allow yang tidak digunakan, lakukan hal berikut:

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di bagian VPC firewall rules, klik Filter, lalu pilih Type > Ingress > last hit before MM/DD/YYYY.

    Ganti MM/DD/YYYY dengan tanggal yang ingin Anda gunakan. Contoh, 08/31/2021.

  3. Untuk setiap aturan dalam hasil penelusuran, tinjau informasi di kolom Insight. Kolom ini memberikan persentase yang menunjukkan kemungkinan bahwa aturan ini akan tercapai di masa mendatang. Jika persentasenya tinggi, sebaiknya pertahankan aturan ini. Namun, jika rendah, lanjutkan meninjau informasi yang dihasilkan oleh insight.

  4. Klik link insight untuk menampilkan panel Detail insight.

  5. Di panel Detail insight, tinjau atribut aturan ini dan atribut aturan serupa yang tercantum.

  6. Jika aturan memiliki probabilitas rendah untuk ditemukan di masa mendatang, dan jika prediksi tersebut didukung oleh pola hit aturan serupa, pertimbangkan untuk menghapus aturan tersebut. Untuk menghapus aturan, klik Nama aturan. Halaman Detail aturan firewall akan terbuka.

  7. Klik Hapus.

  8. Pada dialog konfirmasi, klik Delete.

Menghapus atribut yang tidak digunakan dari aturan allow

Untuk mengevaluasi dan menghapus atribut yang tidak digunakan, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Firewall Insights.

    Buka Analisis Firewall

  2. Pada kartu bernama Izinkan aturan dengan atribut yang tidak digunakan, klik Lihat daftar lengkap. Sebagai respons, konsol Google Cloud akan menampilkan halaman Allow rules with unused attributes. Halaman ini mencantumkan semua aturan yang memiliki atribut yang tidak digunakan selama periode pengamatan.

  3. Klik teks yang ditampilkan di kolom Insight. Halaman Insight Details akan terbuka.

  4. Tinjau detail di bagian atas halaman. Ringkasannya mencakup detail berikut:

    • Nama insight.
    • Jumlah atribut yang tidak digunakan yang dimiliki aturan ini.
    • Waktu insight terakhir diperbarui.
    • Nama aturan lain dalam project yang menggunakan atribut serupa.
    • Durasi periode pengamatan.

  5. Evaluasi apakah Anda dapat menghapus atribut tersebut:

    1. Tinjau kartu Aturan firewall dengan atribut tanpa hit. Lihat kolom berlabel Atribut tanpa hit (dengan prediksi hit di masa mendatang). Kolom ini memberikan persentase yang menjelaskan kemungkinan apakah atribut akan diaktifkan di masa mendatang.
    2. Tinjau kartu Aturan firewall serupa dalam project yang sama. Tinjau data yang ditampilkan tentang apakah atribut aturan ini digunakan.

  6. Jika atribut memiliki probabilitas rendah untuk diaktifkan pada masa mendatang, dan jika prediksi tersebut didukung oleh pola hit aturan serupa, pertimbangkan untuk menghapus atribut dari aturan. Untuk menghapus atribut, klik nama aturan, yang muncul di bagian atas halaman Detail Insight. Halaman Detail aturan firewall akan terbuka.

  7. Klik Edit, buat perubahan yang diperlukan, lalu klik Simpan.

Mempersempit rentang alamat IP aturan allow

Perhatikan bahwa project Anda mungkin memiliki aturan firewall yang mengizinkan akses dari blok alamat IP tertentu untuk health check load balancer atau untuk fungsi Google Cloud lainnya. Alamat IP ini mungkin tidak diakses, tetapi tidak boleh dihapus dari aturan firewall Anda. Untuk informasi selengkapnya tentang rentang ini, lihat dokumentasi Compute Engine.

Untuk mengevaluasi dan memperketat rentang alamat IP yang terlalu permisif, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Firewall Insights.

    Buka Analisis Firewall

  2. Pada kartu bernama Izinkan aturan dengan alamat IP atau rentang port yang terlalu permisif, klik Lihat daftar lengkap. Sebagai respons, konsol Google Cloud akan menampilkan daftar semua aturan yang memiliki rentang yang terlalu longgar selama periode pengamatan.

  3. Temukan aturan apa pun dalam daftar, lalu klik teks yang ditampilkan di kolom Insight. Halaman Insight Details akan terbuka.

  4. Tinjau detail di bagian atas halaman. Ringkasannya mencakup detail berikut:

    • Nama aturan.
    • Jumlah rentang alamat IP yang dapat dipersempit.
    • Waktu insight terakhir diperbarui.
    • Durasi periode pengamatan.

  5. Evaluasi apakah Anda dapat mempersempit rentang alamat IP: Tinjau kartu Aturan firewall dengan alamat IP atau rentang port yang terlalu permisif. Tinjau daftar rentang alamat IP baru yang diusulkan.

  6. Jika sesuai, pertimbangkan untuk menggunakan rekomendasi dalam insight untuk membuat rentang alamat IP lebih sempit. Klik nama aturan, yang muncul di bagian atas halaman Detail Insight. Halaman Detail aturan firewall akan terbuka.

  7. Klik Edit, buat perubahan yang diperlukan, lalu klik Simpan.

Langkah selanjutnya