Firewall Insights vous aide à comprendre les schémas d'utilisation de vos règles de pare-feu. Vous pouvez vous appuyer sur ces insights pour supprimer ou modifier les règles de pare-feu afin de simplifier et de sécuriser sa configuration.
Vous pouvez consulter les insights suivants sur la page Firewall Insights de la console Google Cloud et à plusieurs autres endroits dans la console Google Cloud:
- Règles de pare-feu bloquées:elles vous aident à identifier les règles de pare-feu qui chevauchent les règles existantes.
- Règles trop permissives:elles vous permettent d'identifier les règles
allowqui n'ont pas d'appels, d'attributs inutilisés, ou de plages d'adresses IP ou de ports trop permissives. - Deny rules (Règles de refus) : informations sur les règles
denyayant fait l'objet d'appels au cours de la période d'observation configurée.
Les insights sur les règles trop permissives et de refus sont générés en fonction des données collectées pendant la durée pendant laquelle la journalisation des règles de pare-feu est activée.
Sur la page "Firewall Insights" de la console Google Cloud, chaque fiche qui affiche les insights inclut la liste de toutes les règles de votre projet qui répondent aux critères des insights.
Si vous souhaitez limiter les résultats à un seul réseau VPC, sélectionnez un réseau dans la barre de filtre en haut de la page.
Pour en savoir plus, consultez la section Où afficher les métriques et les insights.
Dans les sections suivantes, nous allons voir comment afficher chaque insight.
Rôles et autorisations requis
Pour obtenir l'autorisation nécessaire pour afficher les insights, demandez à votre administrateur de vous attribuer les rôles IAM suivants sur votre projet:
-
Administrateur de l'outil de recommandation de pare-feu (
roles/recommender.firewallAdmin) -
Lecteur de l'outil de recommandation de pare-feu (
roles/recommender.firewallViewer)
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Ce rôle prédéfini contient l'autorisation recommender.computeFirewallInsights.list, nécessaire pour afficher les insights.
Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.
Afficher les règles de pare-feu bloquées
Pour en savoir plus sur cet insight, consultez la section Règles bloquées.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la fiche nommée Règles bloquées, cliquez sur Afficher la liste complète. La console Google Cloud affiche la page Règles bloquées, qui répertorie tous les réseaux VPC.
Pour chaque réseau VPC de votre projet, vous pouvez consulter les insights sur les stratégies de pare-feu hiérarchiques, les stratégies de pare-feu réseau globales et les règles de pare-feu VPC, ainsi que sur la priorité de la règle. La colonne Insight de chaque règle indique les raisons pour lesquelles la règle a été identifiée comme étant bloquée.
Facultatif: Utilisez le filtrage pour affiner les résultats de la liste en fonction du nom, de la priorité et du nom de la règle.
Pour afficher plus de détails sur la règle bloquée et les règles qui la bloquent, cliquez sur l'insight.
gcloud et API
Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles allow non utilisées
Pour en savoir plus sur cet insight, consultez Règles d'autorisation non utilisées.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la carte nommée Autoriser les règles inutilisées, cliquez sur Afficher la liste complète. La console Google Cloud affiche la page Autoriser les règles non utilisées. Cette page liste tous les réseaux VPC ayant comporté des règles n'ayant fait l'objet d'aucun appel pendant la période d'observation.
La colonne Insight de chaque règle indique si la règle de pare-feu n'a fait l'objet d'aucun appel pendant la période d'observation. La colonne Prédiction des appels futurs indique une prédiction de l'utilisation future en fonction des règles de pare-feu de la même organisation.
Facultatif: Utilisez le filtrage pour affiner les résultats de la liste en fonction du nom, de la priorité et du nom de la règle.
Pour définir une règle dans la liste, procédez de l'une des façons suivantes :
- Pour afficher la page Détails de la règle de pare-feu correspondante, cliquez sur son nom.
- Pour afficher la journalisation de la règle, cliquez sur Afficher le journal d'audit.
- Pour en savoir plus sur la prédiction, cliquez sur le lien dans la colonne Insight. Le volet Détails de l'insight s'affiche. Le volet décrit les principaux attributs de la règle. Il décrit également d'autres règles du projet ayant des attributs similaires.
gcloud et API
Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher allow règles obsolètes selon l'analyse adaptative
Vous pouvez afficher les règles allow qui sont moins susceptibles d'être actives en fonction des modèles d'utilisation et de l'analyse adaptative.
Pour en savoir plus sur cet insight, consultez Règles d'autorisation obsolètes basées sur l'analyse adaptative.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la fiche intitulée Autoriser les règles non utilisées (analyse adaptative), cliquez sur Afficher la liste complète. La page Autoriser les règles non utilisées (analyse adaptative) s'ouvre. La page répertorie tous les réseaux VPC comportant des règles susceptibles de ne plus être utilisées.
La colonne Insight de chaque règle indique si la règle de pare-feu n'est plus active, en fonction de l'analyse adaptative de l'historique du nombre d'appels de la règle.
Facultatif: Utilisez le filtrage pour affiner les résultats de la liste en fonction du nom, de la priorité et du nom de la règle.
Pour définir une règle dans la liste, procédez de l'une des façons suivantes :
- Pour afficher la page Détails de la règle de pare-feu correspondante, cliquez sur son nom.
- Pour afficher la journalisation de la règle, cliquez sur Afficher le journal d'audit.
- Pour en savoir plus sur la prédiction, cliquez sur le lien dans la colonne Insight.
La page Détails des insights décrit les principaux attributs de la règle. Dans la section Analyse adaptative, vous pouvez voir la date du dernier appel de la règle et le nombre moyen d'appels quotidiens avant que la règle ne devienne plus active.
Pour fermer la page Détails de l'insight, cliquez sur Annuler.
gcloud et API
Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles allow comportant des attributs non utilisés
Pour en savoir plus sur cet insight, consultez Règles d'autorisation avec des attributs inutilisés.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la fiche nommée Autoriser les règles avec des attributs non utilisés, cliquez sur Afficher la liste complète. En réponse, la console Google Cloud affiche la page Autoriser les règles avec des attributs non utilisés. Cette page liste tous les réseaux VPC comportant des règles qui possédaient des attributs inutilisés au cours de la période d'observation.
La colonne Insight de chaque règle indique le nombre d'attributs inutilisés au cours de la période d'observation.
Facultatif: Utilisez le filtrage pour affiner les résultats de la liste en fonction du nom, de la priorité et du nom de la règle.
Pour chaque réseau VPC de la liste, effectuez l'une des opérations suivantes, selon le cas:
- Pour afficher la page Détails de la règle de pare-feu correspondante, cliquez sur son nom.
- Pour afficher la journalisation de la règle, cliquez sur Afficher le journal d'audit.
- Pour en savoir plus sur la prédiction, cliquez sur le lien correspondant. Le volet Détails de l'insight s'affiche. Le volet décrit les principaux attributs de la règle. Il décrit également d'autres règles du projet qui présentent des attributs similaires.
gcloud et API
Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles allow avec des plages d'adresses IP ou de ports trop permissives
Pour en savoir plus sur cet insight, consultez Autoriser les règles comportant des plages d'adresses IP ou de ports trop permissives.
Sachez que votre projet peut disposer de règles de pare-feu autorisant l'accès à partir de certains blocs d'adresses IP pour les vérifications d'état de l'équilibreur de charge ou pour d'autres fonctionnalités de Google Cloud. Ces adresses IP risquent de ne pas être appelées, mais elles ne doivent pas être supprimées de vos règles de pare-feu. Pour plus d'informations sur ces plages, consultez la documentation sur Compute Engine.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la fiche nommée Autoriser les règles associées à des adresses IP ou des plages de ports trop permissives, cliquez sur Afficher la liste complète. La console Google Cloud affiche la liste de toutes les règles dont les plages étaient trop permissives au cours de la période d'observation.
Pour définir une règle dans la liste, procédez de l'une des façons suivantes :
- Pour afficher la page Détails de la règle de pare-feu d'une règle, cliquez sur son nom.
- Pour afficher la journalisation de la règle, cliquez sur Afficher le journal d'audit.
- Pour obtenir des suggestions sur la manière de réduire la plage, cliquez sur le lien dans la colonne Insight. Le volet Détails de l'insight s'affiche. Le volet décrit les principaux attributs de la règle. Il suggère des adresses IP ou des plages de ports plus précises que vous pouvez utiliser.
gcloud et API
Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles deny utilisées
Pour en savoir plus sur cet insight, consultez la section Règles de refus avec appels.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la fiche intitulée Refuser les règles utilisées, cliquez sur Afficher la liste complète. En réponse, la console Google Cloud affiche la page Règles de refus avec appels. Cette page liste tous les réseaux VPC comportant des règles
denyqui ont eu des appels au cours de la période d'observation.Pour examiner les paquets supprimés par un pare-feu, cliquez sur Nombre d'appels.
gcloud et API
Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les insights sur la page "Détails de l'interface réseau de la VM"
Affichez l'utilisation du pare-feu sur la page Informations sur l'interface réseau d'une VM.
Pour en savoir plus, consultez la section Répertorier les règles de pare-feu pour l'interface réseau d'une instance de VM.
Afficher les règles ayant été appelées au cours des 24 derniers mois
Console
Dans la console Google Cloud, accédez à la page Instances de VM Compute Engine.
Dans les résultats de recherche d'une interface de VM, sélectionnez une VM, puis cliquez sur le menu Autres actions.
Dans le menu, sélectionnez Afficher les détails du réseau.
Sur la page Firewall and routes details (Détails du pare-feu et des routes), cliquez sur l'onglet Firewall Rules (Règles de pare-feu).
Dans la colonne Nombre d'appels, affichez le nombre d'appels pour le trafic
allow(autorisé) etdeny(refusé) au cours des 24 derniers mois pour toutes les règles de pare-feu associées à une interface réseau spécifique.
gcloud et API
Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les insights sur la page "Pare-feu"
Pour en savoir plus sur la page Pare-feu, consultez la section Répertorier les règles de pare-feu VPC pour un réseau VPC.
Répertorier les insights d'un projet
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Pour chaque règle de pare-feu, affichez le nom des insights disponibles dans la colonne Insights.
Vous pouvez cliquer sur le nom d'un insight pour afficher ses détails.
Les sections suivantes décrivent comment afficher et interpréter les détails de chaque type d'insight.
Afficher allow règles non utilisées au cours des 24 derniers mois
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans la colonne Dernier appel, passez en revue la dernière utilisation d'une règle de pare-feu donnée au cours des 24 derniers mois.
gcloud et API
Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher le graphique de l'historique d'utilisation d'une règle
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Cliquez sur le nom d'une règle de pare-feu.
Dans la section Surveillance du nombre d'appels de la page, affichez le graphique obtenu, qui indique le nombre d'appels de pare-feu pour une période donnée. Vous pouvez sélectionner un intervalle de temps pour le graphique de surveillance du nombre d'appels.
gcloud et API
Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles deny utilisées au cours d'une période d'observation
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans la colonne Nombre d'appels, affichez le nombre de connexions uniques utilisées pour une règle de pare-feu donnée au cours des 24 derniers mois (par défaut).
gcloud et API
Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Étapes suivantes
- Gérer et exporter des insights
- Examiner et optimiser les règles de pare-feu
- Afficher les insights dans le tableau de bord du centre de recommandations