O Firewall Insights ajuda você a entender os padrões de uso das regras de firewall. Use esses insights para embasar as decisões sobre como remover ou modificar regras de firewall para simplificar e proteger a configuração do firewall.
É possível conferir os seguintes insights na página Firewall Insights do console do Google Cloud e em vários outros lugares do console.
- Regras de firewall sombreadas: ajudam a identificar regras de firewall que se sobrepõem às existentes.
- Regras excessivamente permissivas: ajudam a identificar regras
allow
sem hits, atributos não utilizados ou intervalos de portas ou endereços IP excessivamente permissivos. - Regras de negação: fornecem detalhes sobre as regras
deny
que tiveram hits durante o período de observação configurado.
Os insights para regras excessivamente permissivas e regras de negação são gerados com base nos dados coletados enquanto a geração de registros das regras de firewall permanece ativada.
Na página Firewall Insights no console do Google Cloud, cada card que mostra os insights inclui uma lista de todas as regras no seu projeto que atendem aos critérios dos insights.
Se você quiser limitar os resultados a uma única rede VPC, use a barra de filtro na parte de cima da página para selecionar uma rede.
Para mais informações, consulte Onde é possível conferir métricas e insights.
As seções a seguir descrevem como visualizar cada insight.
Papéis e permissões necessárias
Para receber a permissão necessária a fim de visualizar insights, peça que o administrador conceda a você os seguintes papéis do IAM no projeto:
-
Administrador de recomendador de firewall (
roles/recommender.firewallAdmin
) -
Leitor de recomendador de firewall (
roles/recommender.firewallViewer
)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esse papel predefinido contém a
permissão recommender.computeFirewallInsights.list
,
que é necessária para
conferir insights.
Também é possível conseguir essa permissão com papéis personalizados ou outros papéis predefinidos.
Ver regras de firewall ocultas
Para saber mais sobre esse insight, consulte Regras sombreadas.
Console
No console do Google Cloud, acesse a página Firewall Insights.
No card Regras ocultas, clique em Ver lista completa. O console do Google Cloud exibe a página Regras sombreadas, que lista todas as redes VPC.
Para cada rede VPC do projeto, é possível ver os insights de políticas hierárquicas de firewall, políticas de firewall de rede global e regras de firewall da VPC, além da prioridade da regra. A coluna Insight para cada regra fornece um resumo do motivo pelo qual a regra foi identificada como uma regra sombreada.
Opcional: use o filtro para restringir os resultados na lista com base no nome da regra, na prioridade e no nome da política.
Para ver mais detalhes sobre a regra sombreada e as regras que a sombreiam, clique no insight.
gcloud e API
O Firewall Insights usa os comandos do Recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud.
Ver regras sem ocorrências allow
Para saber mais sobre esse insight, consulte Permitir regras sem hits.
Console
No console do Google Cloud, acesse a página Firewall Insights.
No cartão chamado Permitir regras sem ocorrência, clique em Ver lista completa. O console do Google Cloud exibe a página Permitir regras sem ocorrências. Nesta página, listamos todas as redes VPC que tiveram regras sem hits durante o período de observação.
A coluna Insight de cada regra mostra se a regra de firewall não teve hits durante o período de observação. A coluna Previsão de hits futuros mostra uma previsão de uso futuro com base em regras de firewall da mesma organização.
Opcional: use o filtro para restringir os resultados na lista com base no nome da regra, na prioridade e no nome da política.
Para qualquer regra na lista, siga um destes procedimentos:
- Para visualizar a página Detalhes da regra de firewall, clique no nome da regra.
- Para visualizar a geração de registros da regra, clique em Ver registro de auditoria.
- Para mais detalhes sobre a previsão, clique no link da coluna Insight. O painel Detalhes do insight é exibido. Ele descreve os principais atributos da regra. Além disso, descreve outras regras do projeto com atributos semelhantes.
gcloud e API
O Firewall Insights usa os comandos do Recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud.
Ver regras allow
obsoletas com base na análise adaptativa
Você pode ver regras allow
que têm menor chance de estarem ativas com base em padrões de
uso e na análise adaptativa.
Para saber mais sobre esse insight, consulte Permitir regras obsoletas com base na análise adaptativa.
Console
No console do Google Cloud, acesse a página Firewall Insights.
No cartão Permitir regras sem hits (análise adaptativa), clique em Ver lista completa. A página Permitir regras sem hits (análise adaptativa) é aberta. A página lista todas as redes VPC que tiveram regras que provavelmente não são mais usadas.
A coluna Insight de cada regra mostra se a regra de firewall não está mais ativa com base na análise adaptativa do histórico de contagem de hits da regra.
Opcional: use o filtro para restringir os resultados na lista com base no nome da regra, na prioridade e no nome da política.
Para qualquer regra na lista, siga um destes procedimentos:
- Para visualizar a página Detalhes da regra de firewall, clique no nome da regra.
- Para visualizar a geração de registros da regra, clique em Ver registro de auditoria.
- Para mais detalhes sobre a previsão, clique no link da coluna Insight.
A página Detalhes do insight descreve os principais atributos da regra. Na seção Análise adaptativa, você pode ver a data do último hit da regra e a contagem média diária de hits antes que a regra não esteja mais ativa.
Para fechar a página Detalhes do Insight, clique em Cancelar.
gcloud e API
O Firewall Insights usa os comandos do Recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud.
Ver as regras allow
com atributos não utilizados
Para saber mais sobre esse insight, consulte Permitir regras com atributos não utilizados.
Console
No console do Google Cloud, acesse a página Firewall Insights.
No card Permitir regras com atributos não utilizados, clique em Ver lista completa. Em resposta, o console do Google Cloud exibe a página Permitir regras com atributos não utilizados. Nesta página, listamos todas as redes VPC com regras que tiveram atributos não utilizados durante o período de observação.
A coluna Insight de cada regra mostra o número de atributos não utilizados durante o período de observação.
Opcional: use o filtro para restringir os resultados na lista com base no nome da regra, na prioridade e no nome da política.
Para qualquer rede VPC na lista, siga um destes procedimentos conforme apropriado:
- Para visualizar a página Detalhes da regra de firewall, clique no nome da regra.
- Para visualizar a geração de registros da regra, clique em Ver registro de auditoria.
- Para mais detalhes sobre a previsão, clique no link dela. O painel Detalhes do insight é exibido. Ele descreve os principais atributos da regra. Ele também descreve outras regras do projeto com atributos semelhantes.
gcloud e API
O Firewall Insights usa os comandos do Recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud.
Ver as regras allow
com intervalos de portas ou endereços IP excessivamente permissivos
Para saber mais sobre esse insight, consulte Regras de permissão com intervalos de portas ou endereços IP excessivamente permissivos.
Tenha em mente que o projeto pode ter regras de firewall que permitem o acesso de determinados blocos de endereços IP para verificações de integridade do balanceador de carga ou para outra funcionalidade do Google Cloud. Esses endereços IP podem não ocorrer, mas não podem ser removidos das suas regras de firewall. Para mais informações sobre esses intervalos, consulte a documentação do Compute Engine.
Console
No console do Google Cloud, acesse a página Firewall Insights.
No cartão chamado Permitir regras com endereços IP ou intervalos de portas excessivamente permissivos, clique em Ver lista completa. O console do Google Cloud exibirá uma lista com todas as regras que tinham intervalos muito permissivos durante o período de observação.
Para qualquer regra na lista, siga um destes procedimentos:
- Para visualizar a página Detalhes da regra de firewall, clique no nome de qualquer regra.
- Para visualizar a geração de registros da regra, clique em Ver registro de auditoria.
- Para ver sugestões sobre como restringir o intervalo, clique no link na coluna Insight. O painel Detalhes do insight é exibido. Ele descreve os principais atributos da regra. Ele sugere endereços IP ou intervalos de portas mais definidos que você pode usar.
gcloud e API
O Firewall Insights usa os comandos do Recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud.
Ver regras com hits deny
Para saber mais sobre esse insight, consulte Negar regras com hits.
Console
No console do Google Cloud, acesse a página Firewall Insights.
No card chamado Regras de negação com ocorrências, clique em Ver lista completa. Em resposta, o console do Google Cloud exibe a página Regras de negação com hits. Nesta página, listamos todas as redes VPC que têm regras
deny
com hits durante o período de observação.Para revisar os pacotes descartados por um firewall, clique em Contagem de ocorrências.
gcloud e API
O Firewall Insights usa os comandos do Recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud.
Acessar insights na página de detalhes da interface de rede da VM
Veja o uso do firewall na página Detalhes da interface de rede para uma VM.
Para mais informações, consulte Listar as regras de firewall para a interface de rede de uma instância de VM.
Visualizar regras com ocorrências nos últimos 24 meses
Console
No console do Google Cloud, acesse a página Instâncias de VM do Compute Engine.
Nos resultados da pesquisa de uma interface de VM, selecione uma VM e clique no menu
mais ações.No menu, selecione Exibir detalhes da rede.
Na página Detalhes do firewall e de rotas, clique na guia Regras de firewall.
Na coluna Contagem de ocorrências, veja as contagens de ocorrências para o tráfego
allow
edeny
nos últimos 24 meses de todas as regras de firewall associadas a uma interface de rede específica.
gcloud e API
O Firewall Insights usa os comandos do Recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud.
Acessar insights na página "Firewall"
Para mais informações sobre a página Firewall, consulte Listar as regras de firewall de uma rede VPC.
Listar insights para um projeto
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
Para cada regra de firewall, visualize o nome dos insights disponíveis na coluna Insights.
Clique no nome de um insight para ver os detalhes.
As seções a seguir descrevem como visualizar e interpretar os detalhes de cada tipo de insight.
Conferir as regras allow
sem hits nos últimos 24 meses
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
Na coluna Última ocorrência, revise a última vez que uma regra de firewall específica foi usada nos últimos 24 meses.
gcloud e API
O Firewall Insights usa os comandos do Recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud.
Visualizar o gráfico do histórico de uso de uma regra
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
Clique no nome de uma regra de firewall.
Na seção Monitoramento de contagem de hits da página, veja o gráfico resultante que mostra a contagem de hits do firewall em um determinado período. É possível selecionar um intervalo para o gráfico de monitoramento da contagem de hits.
gcloud e API
O Firewall Insights usa os comandos do Recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud.
Visualizar as regras deny
com ocorrências em um período de observação
Console
No Console do Google Cloud, acesse a página políticas de Firewall.
Na coluna Contagem de hits, veja o número de conexões exclusivas usadas para uma determinada regra de firewall nos últimos 24 meses (padrão).
gcloud e API
O Firewall Insights usa os comandos do Recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud.
A seguir
- Gerenciar e exportar insights
- Analisar e otimizar regras de firewall
- Acessar insights no painel do Hub de recomendações