Firewall Insights verwenden

Auf dieser Seite wird beschrieben, wie Sie Statistiken oder Nutzungsmesswerte für Firewall Insights aufrufen. Der Zugriff auf diese Informationen kann über die folgenden Konsolen, Seiten oder Tools erfolgen:

  • Die Network Intelligence Center Console
  • Den Recommendation Hub
  • Die Seite "Firewallregeln" für Virtual Private Cloud (VPC)
  • Die Seite "Netzwerkschnittstellendetails" für eine VM-Instanz von Compute Engine
  • Die gcloud-Recommender-Befehle oder die API

Eine Übersicht über Firewall Insights und ihren Status finden Sie unter Firewall Insights – Übersicht.

Eine Liste der Messwerte zur Firewallnutzung finden Sie unter Messwerte ansehen.

Vorbereitung

Richten Sie die folgenden Elemente in Google Cloud ein, bevor Sie Firewall Insights nutzen:

  1. Rufen Sie in der Google Cloud Console die Seite für die Projektauswahl auf.

    Zur Projektauswahl

  2. Wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines.

  3. Die Abrechnung für das Cloud-Projekt muss aktiviert sein.

  4. Aktivieren Sie die Firewall Insights API wie im nächsten Abschnitt beschrieben.

Erkennung von verdeckten Regeln aktivieren

Sie müssen die Firewall Insights API aktivieren, um die Erkennung von verdeckten Regeln nutzen zu können.

Wenn Sie Firewall Insights in der Cloud Console verwenden, erhalten Sie von der Cloud Console eine Erinnerung, die API zu aktivieren, falls keine Statistiken erkannt werden.

Die Analyse verdeckter Regeln wird einmal täglich ausgeführt. Es kann also bis zu 24 Stunden dauern, bis Ergebnisse angezeigt werden.

Console

  1. Rufen Sie in der Google Cloud Console Firewall Insights auf.

    Zu „Firewall Insights“

  2. Klicken Sie auf Konfiguration.

  3. Klicken Sie auf Aktivierung.

  4. Klicken Sie auf den Selektor, damit Aktiviert angezeigt wird.

  5. Klicken Sie auf Fertig.

Firewallregel-Logging aktivieren

Wenn Sie Statistiken und Nutzungsmesswerte für Firewallregeln sehen möchten, müssen Sie das Logging von Firewallregeln für eine oder mehrere Firewallregeln aktivieren. Weitere Informationen finden Sie unter Logging von Firewallregeln – Übersicht.

Berechtigungen verwalten

Eine Liste der Rollen und Berechtigungen, die zum Anzeigen und Verwalten von Statistiken und Nutzungsdaten erforderlich sind, finden Sie unter Zugriffssteuerung.

Network Intelligence Center verwenden

In der Cloud Console werden auf der Landingpage des Network Intelligence Center für Firewall Insights drei Arten von Statistikkarten angezeigt:

  • Verdeckte Firewallregeln
  • Allow-Firewallregeln ohne Treffer im angegebenen Beobachtungszeitraum. Dieser umfasst standardmäßig die letzten sechs Wochen.
  • Deny-Firewallregeln mit Treffern im angegebenen Beobachtungszeitraum. Dieser umfasst standardmäßig die letzten 24 Stunden.

Jede Karte enthält ein zusammenfassendes Snapshot-Beispiel. Mit einer Filtersuchleiste über den Karten können Sie Statistiken zu einem bestimmten VPC-Netzwerk filtern.

In den folgenden Abschnitten wird beschrieben, wie Sie diese Statistiken aufrufen.

Verdeckte Firewallregeln ansehen

Informationen zu verdeckten Firewallregeln finden Sie unter Firewall Insights – Übersicht.

Console

  1. Rufen Sie in der Cloud Console die Seite Firewall Insights auf.

    Zur Seite „Firewall Insights“

  2. Klicken Sie auf der Karte Verdeckte Regeln auf Vollständige Liste anzeigen.

  3. Eine Seite mit Details wird geöffnet, die alle verdeckten Regeln enthält.

  4. Klicken Sie in der Spalte Statistik für jede Regel auf die jeweils verdeckte Regel, um sich Statistikdetails anzeigen zu lassen. Diese Details zeigen die verdeckte Regel sowie eine oder mehrere Verdeckungsregeln, damit Sie nachvollziehen können, warum die verdeckte Regel redundant ist. Weitere Informationen finden Sie im Beispiel zu verdeckten Regeln unter "Firewall Insights – Übersicht". Informationen zum Markieren von Statistiken finden Sie in den folgenden Abschnitten.

Statistik als verworfen markieren

Console

  1. Rufen Sie in der Cloud Console die Seite Firewall Insights auf.

    Zur Seite „Firewall Insights“

  2. Klicken Sie auf der Karte Verdeckte Regeln auf Vollständige Liste anzeigen.

  3. Eine Seite mit Details wird geöffnet, die alle verdeckten Regeln enthält.

  4. Wenn eine verdeckte Regel nicht aussagekräftig ist, können Sie sie verwerfen, indem Sie oben auf der Seite auf Verwerfen klicken.

  5. Nachdem Sie eine Statistik verworfen haben, wird sie Ihnen oder anderen Nutzern in der Cloud Console nicht mehr angezeigt, sofern Sie sie nicht wiederherstellen. Informationen zum Wiederherstellen eine Statistik finden Sie im nächsten Abschnitt.

Verworfene Statistik wiederherstellen

Wenn Sie eine Statistik verworfen haben, die Sie später für relevant halten, können Sie oder ein Nutzer sie wiederherstellen und in der Cloud Console sichtbar machen. Gehen Sie dazu so vor:

Console

  1. Rufen Sie in der Cloud Console die Seite Firewall Insights auf.

    Zur Seite „Firewall Insights“

  2. Klicken Sie auf der Karte Verdeckte Regeln auf Vollständige Liste anzeigen.

  3. Eine Seite mit Details wird geöffnet, die alle verdeckten Regeln enthält.

  4. Wenn Sie verworfene Statistiken wiederherstellen möchten, klicken Sie oben auf der Seite auf Verwurfsverlauf. Dadurch gelangen Sie zur Seite Verworfene Statistiken.

  5. Aktivieren Sie auf der Seite Verworfene Statistiken das Kästchen für eine oder mehrere Statistiken und klicken Sie dann oben auf der Seite auf Wiederherstellen.

allow-Regeln ohne Treffer im Beobachtungszeitraum aufrufen

Informationen zum genauen Erfassen von Daten für den gesamten Beobachtungszeitraum finden Sie unter Firewall Insights – Übersicht.

Console

  1. Rufen Sie in der Cloud Console die Seite Firewall Insights auf.

    Zur Seite „Firewall Insights“

  2. Klicken Sie auf der Karte Regeln ohne Treffer zulassen auf Vollständige Liste ansehen.

  3. Es öffnet sich eine Detailseite mit allen allow-Regeln, die in den letzten sechs Wochen nicht verwendet wurden.

  4. Klicken Sie für jede Firewallregel rechts neben der Spalte Logs auf Audit-Logs abrufen, um zu sehen, wann Firewall-Logging für jede Firewallregel aktiviert oder deaktiviert wurde.

  5. Klicken Sie auf den Namen einer Firewallregel, um die Konfigurations- und Nutzungsdetails aufzurufen.

deny-Regeln mit Treffern im Beobachtungszeitraum aufrufen

Informationen zum genauen Erfassen von Daten für den gesamten Beobachtungszeitraum finden Sie unter Firewall Insights – Übersicht.

Console

  1. Rufen Sie in der Cloud Console die Seite Firewall Insights auf.

    Zur Seite „Firewall Insights“

  2. Klicken Sie auf der Karte mit dem Namen Deny-Regeln mit Treffern auf Vollständige Liste ansehen.

  3. Eine Detailseite wird geöffnet, die alle deny-Firewallregeln mit Treffern im angegebenen Beobachtungszeitraum enthält. Dieser umfasst standardmäßig die letzten 24 Stunden.

  4. Um die von einer Firewall verworfenen Pakete zu prüfen, klicken Sie auf Trefferanzahl. Dann wird die Cloud Logging-Seite mit den Details angezeigt.

Recommendation Hub verwenden

Der Recommendation Hub ist ein Feature des Recommender-Produkts, das Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste bietet. Weitere Informationen finden Sie in der Dokumentation zum Recommendation Hub.

In der Cloud Console für den Recommendation Hub werden folgende Statistiken zu Firewallregeln angezeigt:

  • Verdeckte Firewallregeln

Im Recommendation Hub werden diese Empfehlungen zusammen mit Empfehlungen für andere Produkte wie Identity and Access Management (IAM) und die VM-Größenanpassung angezeigt.

Verdeckte Firewallregeln ansehen

Informationen zu verdeckten Firewallregeln finden Sie unter Firewall Insights – Übersicht.

Console

  1. Rufen Sie in der Cloud Console den Recommendation Hub auf.

    Zum Recommendation Hub

  2. Klicken Sie unter Firewallkonfiguration vereinfachen auf Alle ansehen.

  3. Es wird eine Seite mit allen verdeckten Regeln angezeigt.

  4. Sie können auf die Statistik klicken, um nachzuvollziehen, warum sie generiert wurde. In den Statistikdetails werden die verdeckte Firewall und eine oder mehrere Firewallverdeckungsregeln angezeigt, damit Sie nachvollziehen können, warum die verdeckte Regel redundant ist. Weitere Informationen finden Sie im Beispiel zu verdeckten Regeln unter "Firewall Insights – Übersicht".

Statistik als verworfen markieren

Console

  1. Rufen Sie in der Cloud Console den Recommendation Hub auf.

    Zum Recommendation Hub

    1. Klicken Sie auf der Karte Firewallkonfiguration vereinfachen auf Alle ansehen.
    2. Eine Seite mit Details wird geöffnet, die alle verdeckten Regeln enthält.
    3. Wenn eine Statistik für verdeckte Regeln nicht aussagekräftig ist, können Sie sie verwerfen: Klicken Sie auf die Statistik und dann im Steuerfeld auf Statistik schließen.
    4. Nachdem Sie Statistiken verworfen haben, werden sie Ihnen oder anderen Nutzern in der Cloud Console nicht mehr angezeigt, sofern Sie sie nicht wiederherstellen. Informationen zum Wiederherstellen eine Statistik finden Sie im nächsten Abschnitt.

Verworfene Statistik wiederherstellen

Wenn Sie eine Statistik verworfen haben, die Sie später für relevant halten, können Sie oder ein Nutzer sie wiederherstellen und in der Cloud Console sichtbar machen. Gehen Sie dazu so vor:

Console

  1. Rufen Sie in der Cloud Console den Recommendation Hub auf.

    Zum Recommendation Hub

  2. Klicken Sie oben auf der Seite auf Verlauf.

  3. Klicken Sie auf den Tab Verworfen, um verworfene Empfehlungen und Statistiken für das Projekt zu sehen.

  4. Wählen Sie die Option neben der Statistik aus, die Sie wiederherstellen möchten.

  5. Klicken Sie auf Wiederherstellen.

Detailseite der Firewallregeln verwenden

Weitere Informationen zu dieser Seite finden Sie unter Firewallregeln für ein VPC-Netzwerk auflisten.

Statistiken für ein Projekt auflisten

Console

  1. Rufen Sie in der Cloud Console die Seite Firewallregeln auf.

    Zur Seite „Firewallregeln“

  2. Sehen Sie sich für jede Firewallregel den Namen der verfügbaren Statistiken in der Spalte Statistiken an.

  3. Sie können auf den Namen einer Statistik klicken, um die Details aufzurufen. In den folgenden Abschnitten wird beschrieben, wie Sie die Details für jede Art von Statistik aufrufen und deuten.

allow-Regeln ohne Treffer in den letzten 24 Monaten ansehen

Console

  1. Rufen Sie in der Cloud Console die Seite Firewallregeln auf.

    Zur Seite „Firewallregeln“

  2. Sehen Sie in der Spalte Letzter Treffer nach, wann eine bestimmte Firewallregel in den letzten 24 Monaten das letzte Mal verwendet wurde.

Diagramm zum Nutzungsverlauf einer Regel aufrufen

Console

  1. Rufen Sie in der Cloud Console die Seite Firewallregeln auf.

    Zur Seite „Firewallregeln“

  2. Klicken Sie auf den Namen einer Firewallregel.

  3. Rufen Sie im Abschnitt Trefferzahl-Überwachung der Seite das resultierende Diagramm mit der Anzahl der Firewall-Treffer für einen bestimmten Zeitraum auf. Sie können über dem Diagramm Tabs für verschiedene Zeiträume auswählen.

deny-Regeln mit Treffern für einen Beobachtungszeitraum aufrufen

Console

  1. Rufen Sie in der Cloud Console die Seite Firewallregeln auf.

    Zur Seite „Firewallregeln“

  2. In der Spalte Trefferzahl sehen Sie die Anzahl der einzelnen Verbindungen, die in den letzten 24 Monaten (Standardeinstellung) für eine bestimmte Firewallregel verwendet wurden.

Detailseite zur VM-Netzwerkschnittstelle verwenden

Rufen Sie auf der Seite Details zur Netzwerkschnittstelle die Firewallnutzung für eine VM auf.

Weitere Informationen zu dieser Seite finden Sie unter Firewallregeln für eine Netzwerkschnittstelle einer VM-Instanz auflisten.

Regeln mit Treffern in den letzten 24 Stunden ansehen

Console

  1. Öffnen Sie in der Cloud Console die Seite Compute Engine-VM-Instanzen:

    Zur Seite "Compute Engine-VM-Instanzen"

  2. Wählen Sie ganz rechts eine VM aus und klicken Sie auf das -Menü Weitere Aktionen.

  3. Wählen Sie im Menü Netzwerkdetails anzeigen aus.

  4. Klicken Sie im Abschnitt Firewall- und Routendetails auf den Tab Firewallregeln.

  5. In der Spalte Trefferzahl wird die Trefferzahl für allow- und deny-Traffic in den letzten 24 Monaten für alle Firewallregeln angezeigt, die einer bestimmten Netzwerkschnittstelle zugeordnet sind.

Mithilfe von gcloud-Befehlen oder der API mit Statistiken arbeiten

Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.

Statistiken auflisten

gcloud

  • Geben Sie den folgenden Befehl ein, um Statistiken für ein Projekt aufzulisten:

    gcloud beta recommender insights list --project=PROJECT_ID \
    --location=global --insight-type=google.compute.firewall.Insight \
    --filter=EXPRESSION --limit=LIMIT \
    --page-size=PAGE_SIZE --sort-by=SORT_BY \
    --format=json
    

    Ersetzen Sie PROJECT_ID durch die Projekt-ID, für die Sie Statistiken auflisten möchten.

    location verwendet immer den Standort mit dem Namen global. insight-type verwendet immer den Statistiktyp mit dem Namen google.compute.firewall.Insight. Sofern Sie die Ausgabe nicht im JSON-Format formatieren, ist die Befehlsausgabe tabellarisch.

    Die folgenden Felder sind optional:

    • EXPRESSION: Wenden Sie diesen booleschen Filter auf jede Ressource an, die Sie auflisten möchten. Wenn der Ausdruck als True ausgewertet wird, wird dieses Element aufgelistet. Für weitere Informationen und Beispiele zu Filterausdrücken führen Sie $ gcloud topic filters aus oder sehen Sie sich die Dokumentation zu gcloud-Themen an.
    • LIMIT: Dient zum Angeben der maximalen Anzahl von Ressourcen, die aufgelistet werden sollen. Die Standardanzahl der aufgelisteten Ressourcen ist unbegrenzt.
    • PAGE_SIZE: Dient zum Angeben der maximalen Anzahl von Ressourcen, die pro Seite aufgelistet werden sollen. Die Standardseitengröße wird vom Dienst bestimmt, ansonsten gibt es keine Seitenwechsel. Seitenwechsel können vor oder nach FILTER und LIMIT eingefügt werden.
    • SORT_BY: Dient zum Angeben einer Liste von kommagetrennten Feldschlüsselnamen, nach denen für eine Ressource sortiert wird. Die Standardreihenfolge ist aufsteigend. Wenn Sie eine absteigende Reihenfolge angeben möchten, stellen Sie dem Feld ~ (eine Tilde) voran.

API

Wenn Sie alle Statistiken für ein Google Cloud-Projekt abrufen möchten, senden Sie eine GET-Anfrage an die Methode projects.locations.insightTypes.insights.

GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights

Das folgende Beispiel zeigt eine Beispielantwort für diesen Befehl.

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by   projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

Statistiken beschreiben

Verwenden Sie diesen Befehl, um Details zu einer Statistik aufzulisten.

gcloud

gcloud beta recommender insights describe INSIGHT_NAME \
  --project=PROJECT_NAME --location=global \
  --insight-type=google.compute.firewall.Insight

Ersetzen Sie folgende Werte durch Werte für Ihr Netzwerk:

  • INSIGHT_NAME: Der Name der zu beschreibenden Statistik
  • PROJECT_NAME: Der Name des Projekts, für das Sie Statistiken auflisten möchten

location verwendet immer den Standort mit dem Namen global. insight-type verwendet immer den Statistiktyp mit dem Namen google.compute.firewall.Insight.

API

Zum Abrufen von Details zu einer Statistik stellen Sie eine GET-Anfrage an die Methode projects.locations.insightTypes.insights.

GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
{

Ersetzen Sie folgende Werte durch Werte für Ihr Netzwerk:

  • PROJECT_ID: die Projekt-ID
  • LOCATION: immer den Standort global verwenden
  • INSIGHT_TYPE_ID: immer den Wert google.compute.firewall.Insight verwenden
  • INSIGHT_ID: Statistik-ID für die Statistik

Nächste Schritte

  • Informationen zum Prüfen der Laufzeitnutzung einer VPC-Firewall, zum Bereinigen und Optimieren der Konfigurationen von Firewallregeln und zum Verschärfen der Sicherheitsgrenzen finden Sie unter Mit gängigen Anwendungsfällen arbeiten.