Firewall Insights consente di comprendere i pattern di utilizzo delle regole firewall. Puoi utilizzare questi insight per supportare le decisioni sulla rimozione o sulla modifica delle regole firewall per semplificare e proteggere la configurazione del firewall.
Puoi visualizzare i seguenti insight nella pagina Approfondimenti Firewall della console Google Cloud e in diverse altre sezioni della console Google Cloud:
- Regole firewall con shadowing: ti consentono di identificare le regole firewall che si sovrappongono alle regole esistenti.
- Regole eccessivamente permissive: ti aiutano a identificare le regole
allowsenza hit, attributi non utilizzati oppure intervalli di indirizzi IP o porte eccessivamente permissivi. - Regole di negazione: forniscono dettagli sulle regole
denyche hanno avuto corrispondenze durante il periodo di osservazione configurato.
Gli insight per le regole eccessivamente permissive e di negazione vengono generati in base ai dati raccolti per il periodo di tempo in cui è abilitato il logging delle regole firewall.
Nella pagina Firewall Insights nella console Google Cloud, ogni scheda che mostra gli insight include un elenco di tutte le regole del tuo progetto che soddisfano i criteri di insight.
Se vuoi limitare i risultati a una sola rete VPC, utilizza la barra dei filtri nella parte superiore della pagina per selezionare una rete.
Per ulteriori informazioni, consulta Dove è possibile visualizzare metriche e approfondimenti.
Nelle sezioni seguenti viene descritto come visualizzare ogni approfondimento.
Ruoli e autorizzazioni richiesti
Per ottenere l'autorizzazione necessaria per visualizzare gli insight, chiedi all'amministratore di concederti i seguenti ruoli IAM per il tuo progetto:
-
Amministratore motore per suggerimenti firewall (
roles/recommender.firewallAdmin) -
Visualizzatore motore per suggerimenti firewall (
roles/recommender.firewallViewer)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questo ruolo predefinito contiene l'autorizzazione recommender.computeFirewallInsights.list, necessaria per visualizzare gli insight.
Potresti anche essere in grado di ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.
Visualizza regole firewall con shadowing
Per saperne di più su questo insight, consulta Regole con shadowing.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti firewall.
Nella scheda denominata Regole con shadowing, fai clic su Visualizza elenco completo. Nella console Google Cloud viene visualizzata la pagina Regole con shadowing, che elenca tutte le reti VPC.
Per ogni rete VPC nel progetto, puoi visualizzare gli insight per i criteri firewall gerarchici, i criteri firewall di rete globali e le regole firewall VPC, insieme alla priorità della regola. La colonna Insight di ogni regola fornisce un riepilogo del motivo per cui la regola è stata identificata come regola oscurata.
(Facoltativo) Utilizza i filtri per restringere i risultati nell'elenco in base al nome della regola, alla priorità e al nome del criterio.
Per visualizzare ulteriori dettagli sulla regola oscurata e sulle regole che la sottopongono a shadowing, fai clic sull'approfondimento.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti di utilizzo per prodotti e servizi Google Cloud.
Visualizza allow regole senza corrispondenze
Per ulteriori informazioni su questo insight, consulta Consentire regole senza hit.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti firewall.
Nella scheda Consenti regole senza hit, fai clic su Visualizza elenco completo. Nella console Google Cloud viene visualizzata la pagina Consenti regole senza hit. In questa pagina sono elencate tutte le reti VPC che avevano regole senza corrispondenze durante il periodo di osservazione.
La colonna Insight per ogni regola mostra se la regola firewall non ha avuto corrispondenze durante il periodo di osservazione. La colonna Previsione di corrispondenze future mostra una previsione dell'utilizzo futuro in base alle regole firewall nella stessa organizzazione.
(Facoltativo) Utilizza i filtri per restringere i risultati nell'elenco in base al nome della regola, alla priorità e al nome del criterio.
Per qualsiasi regola nell'elenco, procedi in uno dei seguenti modi:
- Per visualizzare la pagina Dettagli regola firewall per la regola, fai clic sul nome della regola.
- Per visualizzare il logging per la regola, fai clic su Visualizza log di controllo.
- Per visualizzare i dettagli della previsione, fai clic sul link nella colonna Insight. Viene visualizzato il riquadro Dettagli di Insight. Il riquadro descrive gli attributi principali della regola. Descrive inoltre altre regole del progetto che hanno attributi simili.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud.
Visualizza allow regole obsolete che sono obsolete in base all'analisi adattiva
In base a pattern di utilizzo e analisi adattiva, puoi visualizzare allow regole che hanno meno probabilità di essere attive.
Per ulteriori informazioni su questo insight, consulta Consentire regole obsolete basate sull'analisi adattiva.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti firewall.
Nella scheda Consenti regole senza hit (analisi adattiva), fai clic su Visualizza elenco completo. Si apre la pagina Consenti regole senza hit (analisi adattiva). La pagina elenca tutte le reti VPC con regole che probabilmente non vengono più utilizzate.
La colonna Insight per ogni regola mostra se la regola firewall non è più attiva in base all'analisi adattiva della cronologia del numero di hit delle regole.
(Facoltativo) Utilizza i filtri per restringere i risultati nell'elenco in base al nome della regola, alla priorità e al nome del criterio.
Per qualsiasi regola nell'elenco, procedi in uno dei seguenti modi:
- Per visualizzare la pagina Dettagli regola firewall per la regola, fai clic sul nome della regola.
- Per visualizzare il logging per la regola, fai clic su Visualizza log di controllo.
- Per visualizzare i dettagli della previsione, fai clic sul link nella colonna Insight.
La pagina Dettagli di Insight descrive gli attributi principali della regola. Nella sezione Analisi adattiva puoi vedere la data dell'ultimo hit della regola e il numero medio di hit giornalieri prima che la regola diventasse più attiva.
Per chiudere la pagina Dettagli di Insight, fai clic su Annulla.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud.
Visualizza allow regole con attributi inutilizzati
Per scoprire di più su questo insight, consulta Consentire regole con attributi inutilizzati.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti firewall.
Nella scheda Consenti regole con attributi inutilizzati, fai clic su Visualizza elenco completo. In risposta, la console Google Cloud mostra la pagina Consenti regole con attributi inutilizzati. Questa pagina elenca tutte le reti VPC con regole con attributi inutilizzati durante il periodo di osservazione.
La colonna Approfondimento di ogni regola mostra il numero di attributi inutilizzati durante il periodo di osservazione.
(Facoltativo) Utilizza i filtri per restringere i risultati nell'elenco in base al nome della regola, alla priorità e al nome del criterio.
Per qualsiasi rete VPC nell'elenco, esegui una delle seguenti operazioni, come opportuno:
- Per visualizzare la pagina Dettagli regola firewall per la regola, fai clic sul nome della regola.
- Per visualizzare il logging per la regola, fai clic su Visualizza log di controllo.
- Per visualizzare i dettagli della previsione, fai clic sul relativo link. Viene visualizzato il riquadro Dettagli di Insight. Nel riquadro vengono descritti gli attributi principali della regola. Descrive anche altre regole del progetto che hanno attributi simili.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud.
Visualizza allow regole con intervalli di indirizzi IP o porte eccessivamente permissivi
Per saperne di più su questo insight, consulta Consenti regole con intervalli di indirizzi IP o porte eccessivamente permissivi.
Tieni presente che il tuo progetto potrebbe avere regole firewall che consentono l'accesso da determinati blocchi di indirizzi IP per i controlli di integrità del bilanciatore del carico o per altre funzionalità di Google Cloud. Questi indirizzi IP potrebbero non avere corrispondenze, ma non devono essere rimossi dalle regole firewall. Per ulteriori informazioni su questi intervalli, consulta la documentazione di Compute Engine.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti firewall.
Nella scheda denominata Consenti regole con intervalli di indirizzi IP o porte eccessivamente permissivi, fai clic su Visualizza elenco completo. La console Google Cloud mostra un elenco di tutte le regole che avevano intervalli eccessivamente permissivi durante il periodo di osservazione.
Per qualsiasi regola nell'elenco, procedi in uno dei seguenti modi:
- Per visualizzare la pagina Dettagli regola firewall di una regola, fai clic sul nome della regola.
- Per visualizzare il logging per la regola, fai clic su Visualizza log di controllo.
- Per visualizzare suggerimenti su come restringere l'intervallo, fai clic sul link nella colonna Insight. Viene visualizzato il riquadro Dettagli di Insight. Il riquadro descrive gli attributi principali della regola. Suggerisce intervalli di porte o indirizzi IP più ristretti che potresti utilizzare.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud.
Visualizza deny regola con hit
Per scoprire di più su questo insight, consulta Regole di negazione con hit.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti firewall.
Nella scheda denominata Regole di negazione con hit, fai clic su Visualizza elenco completo. In risposta, la console Google Cloud visualizza la pagina Regole di negazione con hit. Questa pagina elenca tutte le reti VPC con regole
denyche hanno avuto corrispondenze durante il periodo di osservazione.Per esaminare i pacchetti scartati da un firewall, fai clic su Conteggio hit.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud.
Visualizza insight nella pagina dei dettagli dell'interfaccia di rete VM
Visualizza l'utilizzo del firewall nella pagina Dettagli interfaccia di rete per una VM.
Per maggiori informazioni, consulta Elencare le regole firewall per un'interfaccia di rete di un'istanza VM.
Visualizza le regole con corrispondenze negli ultimi 24 mesi
Console
Nella console Google Cloud, vai alla pagina Istanze VM di Compute Engine.
Nei risultati di ricerca per un'interfaccia VM, seleziona una VM e fai clic sul menu Altre azioni.
Nel menu, seleziona Visualizza dettagli rete.
Nella pagina Dettagli firewall e route, fai clic sulla scheda Regole firewall.
Nella colonna Conteggio hit, visualizza il numero di hit per il traffico
allowedenynegli ultimi 24 mesi per tutte le regole firewall associate a una specifica interfaccia di rete.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud.
Visualizza insight nella pagina Firewall
Per ulteriori informazioni sulla pagina Firewall, consulta Elencare le regole firewall VPC per una rete VPC.
Elenco insight per un progetto
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Per ogni regola firewall, visualizza il nome degli insight disponibili nella colonna Approfondimenti.
Puoi fare clic sul nome di un approfondimento per visualizzarne i dettagli.
Le seguenti sezioni descrivono come visualizzare e interpretare i dettagli per ciascun tipo di insight.
Visualizza allow regole senza corrispondenze negli ultimi 24 mesi
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nella colonna Ultimo hit, esamina l'ultima volta che una determinata regola firewall è stata utilizzata negli ultimi 24 mesi.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud.
Visualizzare il grafico della cronologia di utilizzo per una regola
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Fai clic sul nome di una regola firewall.
Nella sezione Monitoraggio del conteggio degli hit della pagina, visualizza il grafico risultante che mostra il numero di hit del firewall per un determinato periodo di tempo. Puoi selezionare un intervallo di tempo per il grafico di monitoraggio del numero di hit.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud.
Visualizza deny regole con corrispondenze per un periodo di osservazione
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nella colonna Conteggio hit, visualizza il numero di connessioni univoche utilizzate per una determinata regola firewall negli ultimi 24 mesi (impostazione predefinita).
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud.
Passaggi successivi
- Gestire ed esportare gli approfondimenti
- Esamina e ottimizza le regole firewall
- Visualizza gli approfondimenti nella dashboard dell'hub dei suggerimenti