Utiliser Firewall Insights

Cette page explique comment afficher des insights ou des métriques d'utilisation pour Firewall Insights, qui permet d'accéder à ces informations depuis les consoles, pages et outils suivants :

  • La console Network Intelligence Center
  • Hub de recommandations
  • Page des détails des règles de pare-feu pour le cloud privé virtuel (VPC)
  • Page des détails de l'interface réseau pour une instance de machine virtuelle (VM) Compute Engine
  • Les commandes de l'outil de recommandation gcloud ou l'API

Pour obtenir une présentation de Firewall Insights et de ses états, consultez la présentation de Firewall Insights.

Pour obtenir la liste des métriques d'utilisation du pare-feu, consultez Afficher les métriques.

Avant de commencer

Configurez les éléments suivants dans Google Cloud avant d'utiliser Firewall Insights :

  1. Dans Google Cloud Console, accédez à la page Sélecteur de projet.

    Accéder à la page de sélection du projet

  2. Sélectionnez ou créez un projet Google Cloud.

  3. Assurez-vous que la facturation est activée pour votre projet Cloud.

  4. Activez l'API Firewall Insights comme décrit dans la section suivante.

Activer l'API Firewall Insights

Pour utiliser Firewall Insights, vous devez activer l'API Firewall Insights.

Lorsque vous utilisez les règles de pare-feu dans Cloud Console, Cloud Console vous invite à activer l'API si elle ne détecte aucun insight. Vous pouvez également activer l'API à partir de la bibliothèque d'API en procédant comme suit.

Console

  1. Dans Google Cloud Console, accédez à la bibliothèque d'API.

    Accéder à la bibliothèque d'API

  2. Dans la barre de Recherche, saisissez Firewall Insights, puis cliquez sur le nom de l'API.

  3. Sur la page de l'API Firewall Insights, cliquez sur Activer.

Pour plus d'informations sur l'API, consultez la page Insights dans la documentation de l'outil de recommandation.

Activer la journalisation des règles de pare-feu

Pour afficher les insights et les métriques d'utilisation des règles de pare-feu, vous devez activer la journalisation des règles de pare-feu pour une ou plusieurs règles de pare-feu. Pour en savoir plus, consultez la page Présentation de la journalisation des règles de pare-feu.

Gérer les autorisations

Pour obtenir la liste des rôles et des autorisations nécessaires pour afficher et gérer les insights et les données d'utilisation, consultez la page Contrôle des accès.

Utiliser le Network Intelligence Center

La page de destination de Network Intelligence Center dans Cloud Console pour Firewall Insights présente trois types de cartes d'insights :

  • Règles de pare-feu bloquées
  • Règles de pare-feu Allow non utilisées au cours des six dernières semaines
  • Règles de pare-feu Deny utilisées au cours des dernières 24 heures

Chaque fiche inclut un exemple d'instantané de résumé. Une barre de recherche de filtre au-dessus des fiches vous permet de filtrer les insights d'un réseau VPC spécifique.

Dans les sections suivantes, nous allons voir comment afficher ces insights.

Afficher des règles de pare-feu bloquées

Pour en savoir plus sur les règles de pare-feu bloquées, consultez la Présentation de Firewall Insights.

Console

  1. Dans Cloud Console, accédez à la page Firewall Insights.

    Accéder à la page Firewall Insights

  2. Sur la fiche nommée Règles bloquées, cliquez sur Afficher la liste complète.

  3. Une page Détails comportant toutes les règles bloquées s'ouvre.

  4. Dans la colonne Insight de chaque règle, cliquez sur chaque règle bloquée pour afficher les détails d'insight. Ce détail montre la règle bloquée et une ou plusieurs règles bloquantes, afin que vous puissiez comprendre pourquoi la règle bloquée est redondante. Pour plus d'informations, consultez l'exemple de règle bloquée dans la présentation de Firewall Insights. Pour marquer des insights, consultez les sections suivantes.

Marquer un insight comme DISMISSED

Console

  1. Dans Cloud Console, accédez à la page Firewall Insights.

    Accéder à la page Firewall Insights

  2. Sur la fiche nommée Règles bloquées, cliquez sur Afficher la liste complète.

  3. Une page Détails comportant toutes les règles bloquées s'ouvre.

  4. Si une règle bloquée n'est pas significative, vous pouvez l'ignorer en cliquant sur Ignorer en haut de la page.

  5. Après avoir ignoré un insight, Cloud Console n'affiche plus cet insight, que ce soit pour vous ou pour n'importe quel utilisateur, sauf si vous le restaurez. Pour restaurer un insight, consultez la section suivante.

Restaurer un insight ignoré

Si vous avez ignoré un insight que vous trouvez par la suite pertinent, vous ou un utilisateur pouvez le restaurer et le rendre visible dans Cloud Console en procédant comme suit.

Console

  1. Dans Cloud Console, accédez à la page Firewall Insights.

    Accéder à la page Firewall Insights

  2. Sur la fiche nommée Règles bloquées, cliquez sur Afficher la liste complète.

  3. Une page Détails comportant toutes les règles bloquées s'ouvre.

  4. Pour restaurer les insights ignorés, cliquez sur Ignorer l'historique en haut de la page. Cette action vous mène à la page Insights ignorés.

  5. Sur la page Insights ignorés, pour restaurer un insight, cochez la case correspondant à un ou plusieurs insights, puis cliquez sur Restaurer en haut de la page.

Afficher les règles allow non utilisées au cours des six dernières semaines

Pour savoir comment collecter avec précision les données des six dernières semaines, consultez la Présentation de Firewall Insights.

Console

  1. Dans Cloud Console, accédez à la page Firewall Insights.

    Accéder à la page Firewall Insights

  2. Sur la carte nommée Autoriser les règles inutilisées, cliquez sur Afficher la liste complète.

  3. Une page de détails comprenant toutes les règles allow qui n'ont pas été utilisées au cours des six dernières semaines s'ouvre.

  4. Pour chaque règle de pare-feu, à droite de la colonne Journaux, cliquez sur Afficher les journaux d'audit pour voir quand la journalisation du pare-feu a été activée ou désactivée.

  5. Pour afficher les détails de configuration et d'utilisation d'une règle de pare-feu, cliquez sur son nom.

Afficher les règles deny utilisées au cours des dernières 24 heures

Pour savoir comment collecter avec précision les données des dernières 24 heures, consultez la Présentation de Firewall Insights.

Console

  1. Dans Cloud Console, accédez à la page Firewall Insights.

    Accéder à la page Firewall Insights

  2. Sur la fiche intitulée Refuser les règles utilisées, cliquez sur Afficher la liste complète.

  3. Une page de détails s'ouvre et inclut toutes les règles deny de pare-feu utilisées au cours des dernières 24 heures.

  4. Pour consulter les paquets supprimés par un pare-feu, cliquez sur Nombre d'appels pour accéder à une page Cloud Logging affichant des détails.

Utiliser le hub de recommandations

Le hub de recommandations est une fonctionnalité l'outil de recommandation qui fournit des recommandations d'utilisation pour les produits et services Google Cloud. Pour en savoir plus, consultez la documentation sur le hub de recommandations.

La console Cloud pour le hub de recommandations affiche les insights suivants sur les règles de pare-feu :

  • Règles de pare-feu bloquées
  • Règles de pare-feu inutilisées au cours des six dernières semaines

Le hub de recommandations affiche ces recommandations ainsi que des recommandations pour d'autres produits, tels que Identity and Access Management (IAM) et VM Rightsizing.

Afficher des règles de pare-feu bloquées

Pour en savoir plus sur les règles de pare-feu bloquées, consultez la Présentation de Firewall Insights.

Console

  1. Dans Cloud Console, accédez au hub de recommandations.

    Accédez au hub de recommandations.

  2. Sur la fiche intitulée Problèmes de configuration des règles de pare-feu, cliquez sur Tout afficher.

  3. Une page répertoriant toutes les règles bloquées s'affiche.

  4. Vous pouvez cliquer sur l'insight pour comprendre pourquoi il a été généré. Le détail d'insight affiche le pare-feu bloqué et une ou plusieurs règles de pare-feu bloquantes pour que vous puissiez comprendre pourquoi la règle bloquée est redondante. Pour plus d'informations, consultez l'exemple de règle bloquée dans la présentation de Firewall Insights.

Afficher les règles allow non utilisées au cours des six dernières semaines

Console

  1. Dans Cloud Console, accédez au hub de recommandations.

    Accéder au hub de recommandations

  2. Sur la fiche intitulée Règles de pare-feu permissives, cliquez sur Tout afficher.

  3. Une page de détails comprenant toutes les règles allow qui n'ont pas été utilisées au cours des six dernières semaines s'ouvre.

  4. Pour chaque règle de pare-feu, à droite de la colonne Journaux, vous pouvez cliquer sur Afficher les journaux d'audit. Cela vous permet de voir à quel moment la journalisation du pare-feu a été activée ou désactivée pour chaque règle de pare-feu.

  5. Cliquez sur le Nom d'une règle de pare-feu.

  6. Une page de détails s'ouvre pour la règle de pare-feu où vous pouvez inspecter la configuration de pare-feu et les détails d'utilisation. Pour marquer des insights, consultez les sections suivantes.

Marquer un insight comme DISMISSED

Console

  1. Dans Cloud Console, accédez au hub de recommandations.

    Accéder au hub de recommandations

  2. Sur la fiche nommée Règles bloquées, cliquez sur Afficher la liste complète.

  3. Une page Détails comportant toutes les règles bloquées s'ouvre.

  4. Si une ou plusieurs règles bloquées ne sont pas significatives, vous pouvez les ignorer en cochant la case située à leur gauche. Une fois que vous avez sélectionné toutes les règles que vous souhaitez ignorer, cliquez sur Ignorer au centre de la page.

  5. Une fois que vous avez ignoré des insights, Cloud Console n'affiche plus ces insights pour vous ni les utilisateurs, sauf si vous les restaurez. Pour restaurer un insight, consultez la section suivante.

Restaurer un insight ignoré

Si vous avez ignoré un insight que vous trouvez par la suite pertinent, vous ou un utilisateur pouvez le restaurer et le rendre visible dans Cloud Console en procédant comme suit.

Console

  1. Dans Cloud Console, accédez au hub de recommandations.

    Accéder au hub de recommandations

  2. Sur la fiche nommée Règles bloquées, cliquez sur Afficher la liste complète.

  3. Une page Détails comportant toutes les règles bloquées s'ouvre.

  4. Pour restaurer des insights ignorés, cliquez sur Historique en haut de la page. Cette action vous mène à la page Insights ignorés.

  5. Sur la page Insights ignorés, pour restaurer un insight, cochez la case correspondant à un ou plusieurs insights, puis cliquez sur Restaurer en haut de la page.

Utiliser la page des détails sur les règles de pare-feu

Pour plus d'informations sur cette page, consultez la section Répertorier les règles de pare-feu pour un réseau VPC.

Répertorier les insights pour un projet

Console

  1. Dans Cloud Console, accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Pour chaque règle de pare-feu, affichez le nom des insights disponibles dans la colonne Insights.

  3. Vous pouvez cliquer sur le nom d'un insight pour afficher les détails de cet insight. Les sections suivantes décrivent comment afficher et interpréter les détails de chaque type d'insight.

Afficher les règles allow non utilisées au cours des six dernières semaines

Console

  1. Dans Cloud Console, accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans la colonne Dernier appel, passez en revue la dernière utilisation d'une règle de pare-feu donnée au cours des six dernières semaines.

Afficher le graphique de l'historique d'utilisation d'une règle

Console

  1. Dans Cloud Console, accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Cochez la case correspondant à un nom de pare-feu.

  3. Affichez le graphique obtenu qui indique le nombre d'appels de pare-feu pour une période donnée. Vous pouvez sélectionner des onglets pour différentes périodes au-dessus du graphique.

Afficher les règles deny avec des appels au cours des six dernières semaines

Console

  1. Dans Cloud Console, accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans la colonne Nombre d'appels, observez le nombre de connexions uniques utilisées pour une règle de pare-feu donnée au cours des six dernières semaines (valeur par défaut).

Utiliser la page des détails de l'interface réseau de VM

Affichez l'utilisation du pare-feu sur la page Informations sur l'interface réseau d'une VM.

Pour plus d'informations sur cette page, consultez la section Répertorier les règles de pare-feu pour l'interface réseau d'une instance de VM.

Afficher les règles avec des appels au cours des six dernières semaines

Console

  1. Dans Cloud Console, accédez à la page Instances de VM de Compute Engine.

    Accéder à la page Instances de VM de Compute Engine

  2. Choisissez une VM et, à l'extrémité droite de la page, cliquez sur le menu Autres actions .

  3. Dans le menu, cliquez sur Afficher les détails du réseau.

  4. Sur la page Détails de l'interface réseau, observez le nombre d'appels pour le trafic allow et deny au cours des six dernières semaines pour toutes les règles de pare-feu associées à une interface réseau spécifique.

Utiliser les insights à l'aide des commandes gcloud ou de l'API

Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.

Répertorier les insights

gcloud

  • Pour répertorier les insights d'un projet, entrez la commande suivante :

    gcloud beta recommender insights list --project=project-id \
    --location=global --insight-type=google.compute.firewall.Insight \
    --filter=expression --limit=limit \
    --page-size=page-size --sort-by=sort-by \
    --format=json
    

    Remplacez project-id par l'ID du projet pour lequel vous souhaitez répertorier des insights.

    location utilise toujours l'emplacement nommé global. insight-type utilise toujours le type d'insight nommé google.compute.firewall.Insight. Sauf si vous utilisez le format JSON, le résultat de la commande est tabulaire.

    Les champs suivants sont facultatifs :

    • expression. Appliquez ce filtre booléen à chaque ressource que vous souhaitez répertorier. Si l'expression renvoie la valeur True, cet élément est répertorié. Pour plus de détails et d'exemples d'expressions de filtre, exécutez $ gcloud topic filters ou consultez la documentation concernant gcloud.
    • limit. Permet de spécifier le nombre maximal de ressources à répertorier. Par défaut, le nombre de ressources répertoriées est illimité.
    • page-size. Permet de spécifier le nombre maximal de ressources à répertorier par page. La taille de page par défaut est déterminée par le service ; dans le cas contraire, il n'y a pas de pagination. La pagination peut être appliqué avant ou après filter et limit.
    • sort-by. Permet de spécifier une liste de noms de clés de champ séparés par des virgules à trier en fonction d'une ressource. L'ordre par défaut est croissant. Pour spécifier un ordre décroissant, ajoutez un préfixe ~ (un tilde) à un champ.

API

Pour obtenir tous les insights d'un projet Google Cloud, envoyez une requête GET à la méthode projects.locations.insightTypes.insights.

GET https://recommender.googleapis.com/beta/{parent=projects/*/locations/global/insightTypes/*}/insights

L'exemple suivant illustre un exemple de réponse pour cette commande.

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by   projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

Décrire les insights

Utilisez cette commande pour répertorier les détails d'un insights.

gcloud

gcloud beta recommender insights describe insight-name \
  --project=project-name --location=global \
  --insight-type=google.compute.firewall.Insight

Remplacez les éléments suivants par des valeurs pour votre réseau :

  • insight-name : nom de l'insight à décrire
  • project-name : nom du projet pour lequel vous souhaitez répertorier des insights

location utilise toujours l'emplacement nommé global. insight-type utilise toujours le type d'insight nommé google.compute.firewall.Insight.

API

Pour obtenir des informations détaillées, envoyez une requête GET à la méthode projects.locations.insightTypes.insights.

GET
https://recommender.googleapis.com/v1beta1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/project-id/locations/location/insightTypes/insight-type-id/insights/insight-id,
{

Remplacez les éléments suivants par des valeurs pour votre réseau :

  • project-id : ID du projet
  • location : Utilisez toujours l'emplacement nommé global.
  • insight-type-id : utilisez toujours la valeur google.compute.firewall.Insight.
  • insight-id : ID de l'insight

Étape suivante

  • Pour examiner l'utilisation de l'environnement d'exécution du pare-feu VPC, nettoyer et optimiser les configurations de vos règles de pare-feu et renforcer les limites de sécurité, consultez la section Utiliser des cas d'utilisation courants.