Revisa y optimiza las reglas de firewall

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta página, se describen algunas tareas comunes de Estadísticas de firewall para revisar y optimizar el uso de tu firewall de nube privada virtual (VPC). Realiza estas tareas para optimizar la configuración de tus reglas de firewall y reforzar los límites de seguridad.

Por ejemplo, supongamos que eres un administrador de red o un ingeniero de seguridad de red que admite varias redes de VPC compartida grandes con muchos proyectos y aplicaciones. Deseas revisar y optimizar un gran volumen de reglas de firewall que se acumulan con el tiempo para asegurarte de que sean coherentes con el estado esperado de la red. Puedes usar las siguientes tareas para revisar y optimizar tus reglas de firewall.

Funciones y permisos requeridos

Para obtener los permisos que necesitas para usar Estadísticas de firewall, pídele al administrador que te otorgue las siguientes funciones de IAM en el proyecto:

  • Función de administrador del recomendador de firewall (roles/recommender.firewallAdmin)
  • Función de visualizador del recomendador de firewall (roles/recommender.firewallViewer)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

Estas funciones predefinidas contienen los permisos necesarios para usar Estadísticas de firewall. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Visualiza las reglas aplicadas a una VM en los últimos 30 días

Para revisar las reglas que te ayudan a evitar configuraciones incorrectas y reglas bloqueadas innecesarias, haz lo siguiente:

Consola

  1. En la consola de Google Cloud, ve a la página Instancias de VM de Compute Engine.

    Ir a Instancias de VM de Compute Engine

  2. En el campo Filtrar instancias de VM, ingresa uno de los siguientes pares clave-valor para buscar VM relevantes y filtrar las instancias. También puedes hacer clic en los valores que aparecen después de ingresar una clave, como Network tags. Para obtener más información, consulta la documentación sobre etiquetas y direcciones IP.

    Network tags:TAG_NAME

    Reemplaza TAG_NAME por una etiqueta asignada a una red de VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Reemplaza INTERNAL_IP_ADDRESS por una dirección IP interna para una interfaz de VM.

    External IP:EXTERNAL_IP_ADDRESS

    Reemplaza EXTERNAL_IP_ADDRESS por una dirección IP externa para una interfaz de VM.

  3. En los resultados de la búsqueda de una interfaz de VM, busca una VM y haz clic en el menú más acciones .

  4. En el menú, selecciona Ver detalles de red.

  5. En la página Detalles de la interfaz de red, completa los siguientes pasos:

    1. En el filtro Detalles de las rutas y las reglas de firewall > Firewalls, ingresa last hit after:YYYY-MM-DD para filtrar las reglas de firewall. Esta expresión de filtro encuentra reglas de firewall con hits recientes.

    2. En el caso de una regla de firewall, haz clic en el número en la columna Recuento de hits a fin de abrir el registro del firewall y revisar los detalles del tráfico, como en la siguiente consulta de ejemplo. Para ingresar una consulta, haz clic en Enviar filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2")

    3. Agrega uno o más filtros adicionales de Cloud Logging para filtrar aún más los detalles del registro del firewall. Por ejemplo, la siguiente consulta de ejemplo agrega un filtro adicional que filtra por dirección IP de origen (src_ip). Para ingresar una consulta, haz clic en Enviar filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2") AND
jsonPayload.connection.src_ip:("10.0.1.2")

Detecta aumentos repentinos en el recuento de hits de las reglas del firewall de deny

Puedes configurar Cloud Monitoring para detectar cambios en el recuento de aciertos de tus reglas de firewall de deny de VPC. Por ejemplo, puedes optar por recibir alertas cuando el recuento de hits de una regla en particular aumente en un porcentaje determinado. Configurar esta alerta te ayuda a detectar posibles ataques en tus recursos de Google Cloud.

Para configurar una alerta, haz lo siguiente:

Consola

  1. En la consola de Google Cloud, ve a la página Supervisión.

    Ir a Monitoring

  2. En el panel de navegación, selecciona Alertas.

  3. En la parte superior de la página, haz clic en Crear política.

  4. En la página Crear política de alertas, haz clic en Agregar condición y, luego, completa los siguientes pasos:

    1. Ingresa un nombre para la condición.

    2. En el campo Buscar tipo de recurso y métrica, ingresa firewallinsights.googleapis.com/vm/firewall_hit_count (recuentos de hit de firewall de VM). En esta métrica, se muestra el recuento de hits de las reglas de firewall que se activan para el tráfico dirigido a una VM en particular.

    3. Ingresa filtros. Por ejemplo:

      • Usa instance_id para especificar el ID de una VM.
      • Usa firewall_name para identificar una regla de firewall que tenga habilitado el registro de las reglas de firewall.

    4. Configura las condiciones de alerta. Por ejemplo, usa los siguientes valores para activar una alerta cuando el recuento de hits de la regla que identificaste aumente un 10% durante seis horas:

      • Activadores de condición si: Se configura como Any time series violates
      • Condición: Se configura como increases by
      • Umbral: Se configura como 10
      • Para: Se configura como 6 hours

    5. Haga clic en Agregar.

    6. Haz clic en Agregar canal de notificaciones y, luego, agrega, por ejemplo, una dirección de correo electrónico.

    7. Haz clic en Guardar.

Cómo limpiar reglas de firewall bloqueadas

Para limpiar las reglas de firewall que están bloqueadas por otras reglas, haz lo siguiente:

Consola

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Firewall

  2. En el campo Filtrar tabla, ingresa la siguiente consulta: Tipo de estadística: bloqueada por.

  3. Para cada regla en los resultados de la búsqueda, haz clic en el Nombre de la regla y visualiza su página de detalles. Revisa y limpia cada regla según sea necesario.

Para obtener más información sobre las reglas bloqueadas, consulta los ejemplos de reglas bloqueadas en las categorías y estados de las Estadísticas de firewall.

Quita una regla allow sin usar

Para evaluar y quitar una regla allow sin usar, haz lo siguiente:

Consola

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Firewall

  2. En el campo Filtrar tabla (Filter table), ingresa la siguiente consulta: Tipo:Última coincidencia de Ingress antes:MM/DD/YYYY.

    Reemplaza MM/DD/YYYY por la fecha que deseas usar. Por ejemplo, 08/31/2021

  3. Para cada regla en los resultados de la búsqueda, revisa la información en la columna estadísticas. Esta columna proporciona un porcentaje que indica la probabilidad de que esta regla se alcance en el futuro. Si el porcentaje es alto, es posible que quieras mantener esta regla. Sin embargo, si es bajo, continúa revisando la información generada por la estadística.

  4. Haz clic en el vínculo de estadísticas para mostrar el panel Detalles de la estadística.

  5. En el panel Detalles de la estadística, revisa los atributos de esta regla y los atributos de las reglas similares que aparecen en la lista.

  6. Si la regla tiene una probabilidad baja de tener hits en el futuro y si esa predicción es compatible con el patrón de hits de reglas similares, considera quitar la regla. Para quitar la regla, haz clic en su nombre, que aparece en la parte superior del panel Detalles de la estadística. Se abrirá la página Detalles de la regla de firewall.

  7. Haz clic en Borrar.

  8. En el diálogo de confirmación, haz clic en Borrar.

Quita un atributo sin usar de una regla allow

Para evaluar y quitar un atributo que no se usa, siga estos pasos:

Consola

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta Permitir reglas con atributos sin usar, haz clic en Ver lista completa. En respuesta, la consola de Google Cloud muestra la página Permitir reglas con atributos sin usar. En esta página, se enumeran todas las reglas que tenían atributos sin usar durante el período de observación.

  3. Haz clic en el texto que se muestra en la columna Insight. Se abrirá la página Detalles de la estadística.

  4. Revisa los detalles en la parte superior de la página. El resumen incluye los siguientes detalles:

    • El nombre de la estadística.
    • La cantidad de atributos sin usar que tiene esta regla.
    • La fecha y hora en la que se actualizó la estadística por última vez.
    • Los nombres de otras reglas en el proyecto que usan atributos similares.
    • La duración del período de observación.

  5. Evalúa si puede quitar el atributo:

    1. Revisa la tarjeta Regla de firewall con atributos sin hits. Mira el campo etiquetado como Atributo sin hits (con predicción de hits futuros). Este campo proporciona un porcentaje que describe la probabilidad de que el atributo se acceda en el futuro.
    2. Revisa la tarjeta Regla de firewall similar en el mismo proyecto. Revisa los datos que se muestran si se usó el atributo de esta regla.

  6. Si el atributo tiene una probabilidad baja de tener hits en el futuro, y si esa predicción es compatible con el patrón de hit de las reglas similares, considera quitar el atributo de la regla. Para quitar el atributo, haz clic en el nombre de la regla, que aparece en la parte superior de la página Detalles de la Estadística. Se abrirá la página Detalles de la regla de firewall.

  7. Haz clic en Editar, realiza los cambios necesarios y, luego, haz clic en Guardar.

Limita el rango de direcciones IP de una regla allow

Ten en cuenta que tu proyecto puede tener reglas de firewall que permiten el acceso desde ciertos bloques de direcciones IP para las verificaciones de estado del balanceador de cargas o para otras funciones de Google Cloud. Es posible que estas direcciones IP no tengan hits, pero no se deben quitar de tus reglas de firewall. Para obtener más información sobre estos rangos, consulta la documentación de Compute Engine.

Para evaluar y ajustar un rango de direcciones IP demasiado permisivo, haz lo siguiente:

Consola

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta llamada Permitir reglas con rangos de puertos o direcciones IP demasiado permisivos, haz clic en Ver lista completa. En respuesta, la consola de Google Cloud muestra una lista de todas las reglas que tenían rangos demasiado permisivos durante el período de observación.

  3. Busca cualquier regla en la lista y haz clic en el texto que se muestra en la columna Insight. Se abrirá la página Detalles de la estadística.

  4. Revisa los detalles en la parte superior de la página. El resumen incluye los siguientes detalles:

    • El nombre de la regla.
    • La cantidad de rangos de direcciones IP que se podrían restringir.
    • La fecha y hora en la que se actualizó la estadística por última vez.
    • La duración del período de observación.

  5. Evalúa si puedes limitar el rango de direcciones IP: Revisa la tarjeta Regla de firewall con direcciones IP permisivas o rangos de puertos demasiado flexibles. Revisa la lista propuesta de rangos de direcciones IP nuevos.

  6. Si es apropiado, considera usar las recomendaciones en las estadísticas para que el rango de direcciones IP sea más reducido. Haz clic en el nombre de la regla, que aparece en la parte superior de la página Detalles de las estadísticas. Se abrirá la página Detalles de la regla de firewall.

  7. Haz clic en Editar, realiza los cambios necesarios y, luego, haz clic en Guardar.

¿Qué sigue?