Reveja e otimize as regras de firewall

Esta página descreve algumas tarefas comuns do Firewall Insights para rever e otimizar a utilização da firewall da nuvem virtual privada (VPC). Realize estas tarefas para otimizar as configurações das regras da firewall e reforçar os limites de segurança.

Por exemplo, é um administrador de rede ou um engenheiro de segurança de rede que suporta várias redes VPC partilhadas grandes com muitos projetos e aplicações. Quer rever e otimizar um grande volume de regras de firewall acumuladas ao longo do tempo para garantir que são consistentes com o estado esperado da sua rede. Pode usar as seguintes tarefas para rever e otimizar as suas regras de firewall.

Funções e autorizações necessárias

Para receber as autorizações de que precisa para usar o Firewall Insights, peça ao seu administrador para lhe conceder as seguintes funções de IAM no seu projeto:

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Estas funções predefinidas contêm as autorizações necessárias para usar o Firewall Insights. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

São necessárias as seguintes autorizações para usar o Firewall Insights:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Veja as regras aplicadas a uma VM nos últimos 30 dias

Para rever as regras que ajudam a evitar configurações incorretas e regras ocultadas desnecessárias, faça o seguinte:

Consola

  1. Na Google Cloud consola, aceda à página Instâncias de VM do Compute Engine.

    Aceda às instâncias de VM do Compute Engine

  2. No campo Filtro, filtre as instâncias introduzindo um dos seguintes pares de chave-valor para encontrar VMs relevantes.

    Network tags:TAG_NAME

    Substitua TAG_NAME por uma etiqueta atribuída a uma rede VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Substitua INTERNAL_IP_ADDRESS por um endereço IP interno para uma interface de VM.

    External IP:EXTERNAL_IP_ADDRESS

    Substitua EXTERNAL_IP_ADDRESS por um endereço IP externo para uma interface de VM.

  3. Nos resultados da pesquisa de uma interface de VM, selecione uma VM e clique no menu mais ações.

  4. No menu, selecione Ver detalhes da rede.

  5. Na página Detalhes da interface de rede, conclua os seguintes passos:

    1. Na secção Detalhes da firewall e das rotas, clique em Firewalls e, de seguida, em Filtrar.

    2. Introduza last hit after:YYYY-MM-DD para filtrar as regras de firewall. Esta expressão de filtro encontra regras de firewall com acessos recentes.

    3. Para uma regra de firewall, clique no número na coluna Número de ocorrências para abrir o registo da firewall e rever os detalhes do tráfego, como na seguinte consulta de exemplo. Para introduzir uma consulta, clique em Enviar filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2")

    4. Adicione um ou mais filtros do Cloud Logging para filtrar ainda mais os detalhes do registo da firewall. Por exemplo, a seguinte consulta de exemplo adiciona um filtro adicional que filtra por endereço IP de origem (src_ip). Para introduzir uma consulta, clique em Enviar filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2") AND
jsonPayload.connection.src_ip:("10.0.1.2")

Deteta aumentos súbitos na contagem de resultados para regras de firewall deny

Pode configurar o Cloud Monitoring para detetar alterações na contagem de acessos das regras de firewall da VPC deny. Por exemplo, pode optar por receber um alerta quando a contagem de resultados de uma regra específica aumentar numa determinada percentagem. A definição deste alerta ajuda a detetar possíveis ataques aos seus recursos. Google Cloud

Para definir um alerta, faça o seguinte:

Consola

  1. Na Google Cloud consola, aceda à página Monitorização.

    Aceder a Monitorização

  2. No painel de navegação, clique em Alertas e, de seguida, em Criar política.

  3. Na página Criar política de alertas, clique em Adicionar condição de alerta. É adicionada uma nova condição.

  4. Expanda a secção Nova condição e selecione Configurar acionador. É apresentada a página Configurar acionador de alerta.

  5. Configure as condições do alerta. Por exemplo, use os seguintes valores para acionar um alerta quando a contagem de acessos da regra que identificou aumentar 10% durante seis horas:

    • Tipos de condições: definido como Threshold.
    • Acionador de alerta: definido para Any time series violates.
    • Posição do limite: definida como Above threshold.
    • Valor limite: definido como 10.

  6. Na secção Opções avançadas, introduza um nome para a condição e clique em Seguinte.

  7. Na página Acionador de várias condições, especifique a condição e clique em Seguinte.

  8. Na página Configurar notificações, selecione Canais de notificação e, de seguida, Gerir canais de notificação.

  9. Na janela Canais de notificação, adicione o novo canal de notificação, por exemplo, um endereço de email, e clique em Guardar.

  10. Na lista Canais de notificação, selecione as notificações adicionadas e, em seguida, clique em OK.

  11. Na secção Dê um nome à política de alertas, introduza o nome e clique em Seguinte. A condição de alerta é adicionada.

Limpe as regras de firewall sobrepostas

Para limpar as regras de firewall ocultadas por outras regras, faça o seguinte:

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. Na secção Regras de firewall da VPC, clique em Filtrar e, de seguida, selecione Tipo de estatísticas > Regras ocultadas.

  3. Para cada regra nos resultados da pesquisa, clique no Nome da regra e veja a respetiva página de detalhes. Reveja e limpe cada regra conforme necessário.

Para mais informações sobre regras ocultadas, consulte os exemplos de regras ocultadas.

Remova uma regra allow não usada

Para avaliar e remover uma regra de allow não utilizada, faça o seguinte:

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder a Políticas de firewall

  2. Na secção Regras da firewall da VPC, clique em Filtrar e, de seguida, selecione Tipo > Entrada > último acesso antes de MM/DD/YYYY.

    Substitua MM/DD/YYYY pela data que quer usar. Por exemplo, 08/31/2021.

  3. Para cada regra nos resultados da pesquisa, reveja as informações na coluna Estatísticas. Esta coluna apresenta uma percentagem que indica a probabilidade de esta regra ser atingida no futuro. Se a percentagem for elevada, é recomendável manter esta regra. No entanto, se for baixa, continue a rever as informações geradas pela estatística.

  4. Clique no link das estatísticas para apresentar o painel Detalhes das estatísticas.

  5. No painel Detalhes das estatísticas, reveja os atributos desta regra e os atributos de quaisquer regras semelhantes apresentadas.

  6. Se a regra tiver uma baixa probabilidade de ser atingida no futuro e se essa previsão for suportada pelo padrão de ocorrências de regras semelhantes, considere remover a regra. Para remover a regra, clique em Nome da regra. É apresentada a página Detalhes da regra de firewall.

  7. Clique em Eliminar.

  8. Na caixa de diálogo de confirmação, clique em Eliminar.

Remova um atributo não usado de uma regra de allow

Para avaliar e remover um atributo não usado, faça o seguinte:

Consola

  1. Na Google Cloud consola, aceda à página Estatísticas da firewall.

    Aceder ao Firewall Insights

  2. No cartão denominado Permitir regras com atributos não usados, clique em Ver lista completa. Em resposta, a Google Cloud consola apresenta a páginaPermitir regras com atributos não usados. Esta página apresenta todas as regras que tinham atributos não usados durante o período de observação.

  3. Clique no texto apresentado na coluna Insight. É apresentada a página Detalhes das estatísticas.

  4. Reveja os detalhes na parte superior da página. O resumo inclui os seguintes detalhes:

    • O nome da estatística.
    • O número de atributos não usados que esta regra tem.
    • A hora em que a estatística foi atualizada pela última vez.
    • Os nomes de outras regras no projeto que usam atributos semelhantes.
    • A duração do período de observação.

  5. Avalie se pode remover o atributo:

    1. Reveja o cartão Regra de firewall com atributos não atingidos. Analise o campo etiquetado como Atributo sem resultado (com previsão de resultados futuros). Este campo fornece uma percentagem que descreve a probabilidade de o atributo ser atingido no futuro.
    2. Reveja o cartão Regra de firewall semelhante no mesmo projeto. Reveja os dados apresentados sobre se o atributo desta regra foi usado.

  6. Se o atributo tiver uma baixa probabilidade de ser atingido no futuro e se essa previsão for suportada pelo padrão de acessos de regras semelhantes, considere remover o atributo da regra. Para remover o atributo, clique no nome da regra, que aparece na parte superior da página Detalhes das estatísticas. É apresentada a página Detalhes da regra de firewall.

  7. Clique em Editar, faça as alterações necessárias e, de seguida, clique em Guardar.

Restrinja o intervalo de endereços IP de uma regra allow

Tenha em atenção que o seu projeto pode ter regras de firewall que permitem o acesso a determinados blocos de endereços IP para verificações de funcionamento do balanceador de carga ou para outraGoogle Cloud funcionalidade. Estes endereços IP podem não ser atingidos, mas não devem ser removidos das regras da firewall. Para mais informações sobre estes intervalos, consulte a documentação do Compute Engine.

Para avaliar e restringir um intervalo de endereços IP excessivamente permissivo, faça o seguinte:

Consola

  1. Na Google Cloud consola, aceda à página Estatísticas da firewall.

    Aceder ao Firewall Insights

  2. No cartão denominado Permitir regras com intervalos de portas ou endereços IP excessivamente permissivos, clique em Ver lista completa. Em resposta, a Google Cloud consola apresenta uma lista de todas as regras que tinham intervalos excessivamente permissivos durante o período de observação.

  3. Encontre qualquer regra na lista e clique no texto apresentado na coluna Insight. É apresentada a página Detalhes das estatísticas.

  4. Reveja os detalhes na parte superior da página. O resumo inclui os seguintes detalhes:

    • O nome da regra.
    • O número de intervalos de endereços IP que podem ser restritos.
    • A hora em que a estatística foi atualizada pela última vez.
    • A duração do período de observação.

  5. Avalie se pode restringir o intervalo de endereços IP: reveja o cartão Regra de firewall com intervalos de portas ou endereços IP excessivamente permissivos. Reveja a lista proposta de novos intervalos de endereços IP.

  6. Se for adequado, considere usar as recomendações na estatística para tornar o intervalo de endereços IP mais restrito. Clique no nome da regra, que aparece na parte superior da página Detalhes das estatísticas. É apresentada a página Detalhes da regra de firewall.

  7. Clique em Editar, faça as alterações necessárias e, de seguida, clique em Guardar.

O que se segue?