Firewall Insights vous aide à comprendre les schémas d'utilisation règles de pare-feu. Vous pouvez utiliser ces insights pour prendre des décisions concernant la suppression ou la modification de règles de pare-feu afin de simplifier et de sécuriser la configuration de votre pare-feu.
Vous pouvez consulter les insights suivants sur la page Firewall Insights de la console Google Cloud et à plusieurs autres endroits de la console :
- Les règles de pare-feu bloquées vous permettent d'identifier les règles de pare-feu qui se chevauchent avec règles existantes.
- Règles trop permissives : elles vous aident à identifier les règles
allow
sans requêtes, les attributs non utilisés, ou les plages d'adresses IP ou de ports trop permissives. - Règles de refus:fournissent des informations sur les règles
deny
ayant été utilisées pendant la période d'observation configurée.
Les insights sur les règles trop permissives et les règles de refus sont générés en fonction des données recueillies pendant la période où la journalisation des règles de pare-feu est activée.
Sur la page "Firewall Insights" de la console Google Cloud, chaque fiche qui affiche les insights inclut la liste de toutes les règles de votre projet qui correspondent aux critères de l'insight.
Si vous souhaitez limiter les résultats à un seul réseau VPC, utilisez le barre de filtre en haut de la page pour sélectionner un réseau.
Pour en savoir plus, consultez la section Emplacement d'affichage des métriques et insights.
Dans les sections suivantes, nous allons voir comment afficher chaque insight.
Rôles et autorisations requis
Pour obtenir l'autorisation nécessaire pour afficher les insights, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :
-
Administrateur de l'outil de recommandation de pare-feu (
roles/recommender.firewallAdmin
) -
Lecteur de l'outil de recommandation de pare-feu (
roles/recommender.firewallViewer
)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ce rôle prédéfini contient
recommender.computeFirewallInsights.list
les autorisations,
qui est nécessaire pour
consulter les insights.
Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.
Afficher les règles de pare-feu bloquées
Pour en savoir plus sur cet insight, consultez la section Blocage règles.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la fiche nommée Règles bloquées, cliquez sur Afficher la liste complète. La La console Google Cloud affiche les règles bloquées qui répertorie tous les réseaux VPC.
Pour chaque réseau VPC de votre projet, vous pouvez consulter les insights sur les stratégies de pare-feu hiérarchiques, les stratégies de pare-feu réseau mondial et les règles de pare-feu VPC, ainsi que la priorité de la règle. La colonne Insight pour chaque élément fournit un récapitulatif des raisons pour lesquelles la règle a été identifiée comme étant bloquée.
Facultatif: Utilisez le filtrage pour affiner les résultats. génère la liste en fonction du nom, de la priorité et du nom de la règle.
Pour afficher plus de détails sur la règle bloquée et les règles qui la bloquent, cliquez sur l'insight.
gcloud et API
Firewall Insights utilise Recommender. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles allow
non utilisées
Pour en savoir plus sur cet insight, consultez Règles d'autorisation non utilisées :
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la carte nommée Autoriser les règles inutilisées, cliquez sur Afficher la liste complète. La console Google Cloud affiche le panneau Autoriser les règles avec aucun appel de fichier. Cette page répertorie tous les réseaux VPC règles non utilisées pendant la période d'observation.
La colonne Insight de chaque règle indique si règle de pare-feu n'a fait l'objet d'aucun appel pendant la période d'observation. La colonne Prédiction d'appels indique une prédiction d'utilisation future en fonction de règles de pare-feu dans la même organisation.
Facultatif: Utilisez le filtrage pour affiner les résultats dans la liste en fonction d'une règle. le nom, la priorité et le nom de la règle.
Pour définir une règle dans la liste, procédez de l'une des façons suivantes :
- Pour afficher la page Détails de la règle de pare-feu de la règle, cliquez sur son nom.
- Pour afficher la journalisation de la règle, cliquez sur Afficher le journal d'audit.
- Pour en savoir plus sur la prédiction, cliquez sur le lien dans Colonne Insight. Le volet Détails de l'insight s'affiche. Ce volet décrit les principaux attributs de la règle. Il décrit également d'autres règles du projet qui présentent des attributs similaires.
gcloud et API
Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles allow
obsolètes en fonction de l'analyse adaptative
Vous pouvez afficher les règles allow
qui sont moins susceptibles d'être actives en fonction des tendances d'utilisation et de l'analyse adaptative.
Pour en savoir plus sur cet insight, consultez Règles d'autorisation obsolètes basées sur l'analyse adaptative.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la fiche intitulée Autoriser les règles non utilisées (analyse adaptative), procédez comme suit : cliquez sur Afficher la liste complète. La page Règles d'autorisation non utilisées (analyse adaptative) s'affiche. La page répertorie tous les réseaux VPC dont les règles sont susceptibles ne sont plus utilisées.
La colonne Insight de chaque règle indique si la règle de pare-feu est n'est plus actif d'après l'analyse adaptative de l'historique du nombre d'appels de règles.
Facultatif : Utilisez le filtrage pour affiner les résultats de la liste en fonction du nom de la règle, de la priorité et du nom de la stratégie.
Pour définir une règle dans la liste, procédez de l'une des façons suivantes :
- Pour afficher la page Détails de la règle de pare-feu de la règle, cliquez sur son nom.
- Pour afficher la journalisation de la règle, cliquez sur Afficher le journal d'audit.
- Pour en savoir plus sur la prédiction, cliquez sur le lien dans la colonne Insight.
La page Détails de l'insight décrit les principaux attributs de la règle. Dans la section Analyse adaptative, vous pouvez voir la date du dernier appel de la règle et le nombre moyen d'appels quotidiens avant que la règle ne devienne inactive.
Pour fermer la page Détails de l'insight, cliquez sur Annuler.
gcloud et API
Firewall Insights utilise Recommender. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles allow
comportant des attributs non utilisés
Pour en savoir plus sur cet insight, consultez Autorisez les règles avec des attributs inutilisés.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la fiche nommée Autoriser les règles avec des attributs non utilisés, cliquez sur Afficher la liste complète. En réponse, la console Google Cloud affiche la page Autoriser les règles avec des attributs non utilisés. Cette page répertorie tous les réseaux VPC dont les règles comportent des attributs non utilisés pendant la période d'observation.
La colonne Insight de chaque règle indique le nombre d'attributs inutilisés pendant la période d'observation.
Facultatif : Utilisez le filtrage pour affiner les résultats de la liste en fonction du nom de la règle, de la priorité et du nom de la stratégie.
Pour chaque réseau VPC de la liste, effectuez l'une des opérations suivantes : le cas échéant:
- Pour afficher la page Détails de la règle de pare-feu associée à la règle, cliquez sur le bouton nom de la règle.
- Pour afficher la journalisation de la règle, cliquez sur Afficher le journal d'audit.
- Pour en savoir plus sur la prédiction, cliquez sur le lien correspondant. Le volet Détails de l'insight s'affiche. Ce volet décrit les principaux attributs de la règle. Il décrit également d'autres règles du projet qui présentent des attributs similaires.
gcloud et API
Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles allow
avec des plages d'adresses IP ou de ports trop permissives
Pour en savoir plus sur cet insight, consultez la section Autoriser les règles avec des plages d'adresses IP ou de ports trop permissives.
Sachez que votre projet peut disposer de règles de pare-feu autorisant l'accès à partir de certains blocs d'adresses IP pour les vérifications d'état de l'équilibreur de charge ou pour d'autres fonctionnalités de Google Cloud. Ces adresses IP risquent de ne pas être appelées, mais elles ne doivent pas être supprimées de vos règles de pare-feu. Pour plus d'informations sur ces plages, consultez la documentation sur Compute Engine.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la fiche nommée Autoriser les règles associées à des adresses IP ou des plages de ports trop permissives, cliquez sur Afficher la liste complète. La console Google Cloud affiche la liste de toutes les règles dont les plages sont trop permissives pendant la période d'observation.
Pour définir une règle dans la liste, procédez de l'une des façons suivantes :
- Pour afficher la page Détails de la règle de pare-feu de la règle, cliquez sur son nom.
- Pour afficher les journaux de la règle, cliquez sur Afficher le journal d'audit.
- Pour voir des suggestions sur la façon d'affiner la plage, cliquez sur le lien dans Colonne Insight. Le volet Détails de l'insight est affiché. Ce volet décrit les principaux attributs de la règle. Il suggère des adresses IP ou des plages de ports plus précises que vous pouvez utiliser.
gcloud et API
Firewall Insights utilise Recommender. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles deny
utilisées
Pour en savoir plus sur cet insight, consultez la section Refuser les règles appelées.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la fiche intitulée Refuser les règles utilisées, cliquez sur Afficher la liste complète. Dans réponse, la console Google Cloud affiche le message Deny rules with hits (Règles de refus ayant été déclenchées) . Cette page répertorie tous les réseaux VPC qui comportent des règles
deny
qui ont été appelées pendant la période d'observation.Pour examiner les paquets supprimés par un pare-feu, cliquez sur Nombre d'appels.
gcloud et API
Firewall Insights utilise Recommender. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les insights sur la page d'informations de l'interface réseau des VM
Affichez l'utilisation du pare-feu sur la page Informations sur l'interface réseau d'une VM.
Pour en savoir plus, consultez Listez les règles de pare-feu pour l'interface réseau d'une instance de VM.
Afficher les règles ayant été appelées au cours des 24 derniers mois
Console
Dans la console Google Cloud, accédez à la page Instances de VM Compute Engine.
Dans les résultats de la recherche d'interface de VM, sélectionnez une VM et cliquez sur le bouton
Autres actions.Dans le menu, sélectionnez Afficher les détails du réseau.
Sur la page Détails des pare-feu et des routes, cliquez sur l'onglet Règles de pare-feu.
Dans la colonne Nombre d'appels, affichez le nombre d'appels pour le trafic
allow
(autorisé) etdeny
(refusé) au cours des 24 derniers mois pour toutes les règles de pare-feu associées à une interface réseau spécifique.
gcloud et API
Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les insights sur la page "Firewall"
Pour en savoir plus sur la page Pare-feu, consultez Répertoriez les règles de pare-feu VPC pour un réseau VPC.
Répertorier les insights d'un projet
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Pour chaque règle de pare-feu, affichez le nom des insights disponibles dans la colonne Insights.
Vous pouvez cliquer sur le nom d'un insight pour en afficher les détails.
Les sections suivantes expliquent comment afficher et interpréter les détails de chaque type d'insight.
Afficher les règles allow
non utilisées au cours des 24 derniers mois
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans la colonne Dernier appel, passez en revue la dernière utilisation d'une règle de pare-feu donnée au cours des 24 derniers mois.
gcloud et API
Firewall Insights utilise Recommender. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher le graphique de l'historique d'utilisation d'une règle
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Cliquez sur le nom d'une règle de pare-feu.
Dans la section Surveillance du nombre d'appels de la page, affichez le graphique qui indique le nombre d'appels de pare-feu pour une période donnée. Vous pouvez sélectionner un intervalle de temps pour le graphique de surveillance du nombre de requêtes.
gcloud et API
Firewall Insights utilise Recommender. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles deny
utilisées au cours d'une période d'observation
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans la colonne Nombre d'appels, affichez le nombre de connexions uniques utilisées. pour une règle de pare-feu donnée au cours des 24 derniers mois (par défaut).
gcloud et API
Firewall Insights utilise Recommender. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Étape suivante
- Gérer et exporter des insights
- Examiner et optimiser les règles de pare-feu
- Afficher les insights dans le tableau de bord du centre de recommandations