Utiliser Firewall Insights

Cette page explique comment utiliser Firewall Insights, qui fournit un accès aux insights, recommandations et métriques sur les règles de pare-feu. Vous pouvez consulter ces informations sur la page Firewall Insights de la console Google Cloud et à plusieurs autres endroits de la console Google Cloud. Vous pouvez également obtenir des données à l'aide de l'API Recommender ou de Google Cloud CLI.

Pour obtenir un aperçu des insights disponibles, consultez la présentation de Firewall Insights.

Pour obtenir la liste des métriques d'utilisation du pare-feu, consultez la section Métriques Firewall Insights.

Avant de commencer

Avant de pouvoir utiliser Firewall Insights, vous devez sélectionner un projet, puis effectuer les tâches de configuration requises. Pour certaines fonctionnalités, les conditions préalables diffèrent de celles des autres. Pour en savoir plus, consultez le tableau suivant.

Tâche Toutes les métriques Insights sur les règles bloquées Insights sur les règles trop permissives Règles "deny" ayant fait l'objet d'appels
Activer l'API Firewall Insights
Activer la journalisation des règles de pare-feu
Activer l'API Recommender
Activer ce type d'insight
Configurer une période d'observation

Les sections suivantes décrivent chacune de ces tâches.

Sélectionner un projet

Avant de remplir les conditions préalables ou d'effectuer d'autres actions avec Firewall Insights, nous vous recommandons de créer ou de sélectionner un projet Google Cloud. Procédez comme suit :

  1. Dans Google Cloud Console, accédez à la page Sélecteur de projet.

    Accéder au sélecteur de projet

  2. Sélectionnez ou créez un projet Google Cloud.

  3. Assurez-vous que la facturation est activée pour votre projet Cloud.

Activer l'API Firewall Insights

Avant de pouvoir effectuer des tâches à l'aide de Firewall Insights, vous devez activer l'API Firewall Insights. Procédez comme suit : Vous pouvez également utiliser la bibliothèque d'API de la console Google Cloud, comme décrit dans la section Activer des API.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sous API Firewall Insights, cliquez sur Activer.

gcloud

Exécutez la commande suivante :

gcloud services enable firewallinsights.googleapis.com

Activer la journalisation des règles de pare-feu

Si vous souhaitez afficher l'un des éléments suivants, vous devez activer la journalisation des règles de pare-feu :

  • Métriques sur les règles de pare-feu
  • Insights sur les règles trop permissives ou les règles deny. Ces insights sont collectivement appelés insights basés sur les journaux.

Firewall Insights ne génère des métriques et des insights basés sur les journaux que pour les règles pour lesquelles la journalisation est activée. Pour en savoir plus, consultez la page Présentation de la journalisation des règles de pare-feu.

Activez l'API Recommender.

Vous devez activer l'API Recommender si vous souhaitez effectuer l'une des opérations suivantes :

  • Utiliser des insights sur les règles bloquées
  • Utiliser des insights sur les règles trop permissives

  • Récupérez toutes les données en effectuant des appels d'API ou en utilisant Google Cloud CLI.

Console

  1. Dans la console Google Cloud, accédez à la page Activer l'accès aux API.

    Activer l'accès à l'API

  2. Assurez-vous que le bon projet est sélectionné, puis cliquez sur Suivant.

  3. Cliquez sur Activer.

gcloud

Exécutez la commande suivante :

gcloud services enable recommender.googleapis.com

Activer les règles bloquées ou les règles trop permissives

Firewall Insights ne génère pas de règles bloquées ou des insights sur des règles trop permissives, sauf si vous activez ces fonctionnalités sur la page "Firewall Insights".

Après avoir activé l'une de ces fonctionnalités, vous devrez peut-être attendre jusqu'à 48 heures avant de pouvoir consulter les insights générés.

Lors de la création ou de la mise à jour d'une règle de pare-feu, vous devrez peut-être attendre jusqu'à dix jours avant de voir des prédictions de machine learning pour des insights trop permissifs. En attendant, vous pouvez afficher les insights basés sur les données collectées à partir de la journalisation des règles de pare-feu.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Cliquez sur Configuration

  3. Cliquez sur Activation.

  4. Le cas échéant, déplacez le curseur sur Activé ou Désactivé pour l'une des options suivantes, ou les deux :

    • Insights sur les règles bloquées

    • Insights sur les règles trop permissives

API

Vous pouvez utiliser l'outil de recommandation d'API pour activer ou désactiver les insights sur les règles bloquées et/ou les insights sur les règles trop permissives. Vous pouvez également utiliser l'API pour définir la période d'observation des insights sur les règles trop permissives et récupérer les détails de la configuration.

Activer les insights et définir la période d'observation

Vous pouvez activer les insights sur les règles bloquées et/ou les insights sur les règles trop permissives à l'aide de la méthode updateConfig.

Pour utiliser la méthode updateConfig, vous devez définir des valeurs pour tous ses paramètres. Cela signifie qu'en même temps, vous activez ou désactivez les insights, et vous devez également configurer la période d'observation pour que les insights soient trop permissifs.

Pour effectuer ce type de mise à jour, utilisez la requête suivante.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

Remplacez les valeurs suivantes :

  • PROJECT_ID : ID de votre projet
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE : durée, en secondes, de la période d'observation pour les insights sur les règles trop permissives
  • ENABLEMENT_SHADOWED : valeur booléenne indiquant si les insights sur les règles bloquées sont activés
  • ENABLEMENT_OVERLY_PERMISSIVE : valeur booléenne indiquant si les insights sur les règles trop permissives sont activés
  • ETAG : valeur de l'eTag de la stratégie IAM. Pour récupérer la valeur eTag, utilisez la méthode getConfig, comme décrit dans la section suivante.

Exemple

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

Récupérer les détails de la configuration

Pour savoir comment Firewall Insights est configuré, utilisez la méthode getConfig comme illustré dans l'exemple suivant. 

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

Configurer des périodes d'observation

Pour certains insights, vous pouvez configurer la période d'observation, c'est-à-dire la période couverte par l'insight. Vous pouvez effectuer cette opération pour les informations sur les règles trop permissives et les règles deny.

Par exemple, supposons que vous définissiez la période d'observation des insights sur les règles deny sur deux mois. Dans ce cas, lorsque vous examinez la liste des règles deny utilisées, Firewall Insights n'affiche que les règles appelées au cours des deux derniers mois. Supposons que vous modifiez la période d'observation sur un mois. Dans ce cas, un nombre différent de règles peut être identifié, car Firewall Insights analysera une période plus courte.

Lorsque vous examinez des insights et configurez des périodes d'observation, tenez compte des points suivants :

  • Lorsque vous configurez la période d'observation des règles deny avec des appels, Firewall Insights met immédiatement à jour les résultats des insights.

  • Lorsque vous mettez à jour la période d'observation pour des insights sur des règles trop permissives, la mise à jour des résultats existants par Firewall Insights peut prendre jusqu'à 48 heures. En attendant, la période d'observation des résultats existants correspond à la période d'observation précédemment configurée.

  • Pour les insights trop permissifs, si aucune règle de pare-feu n'a été identifiée par l'insight, Firewall Insights n'affiche pas la période d'observation utilisée.

  • Les insights sur les règles bloquées ne présentent pas de période d'observation, car ils n'évaluent pas les données de l'historique. L'analyse des règles bloquées évalue la configuration de vos règles de pare-feu existantes toutes les 24 heures.

  • Les données des journaux de trafic des dernières 24 heures peuvent ne pas être incluses lors de la génération des insights.

Console

Pour configurer une période d'observation :

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Cliquez sur Configuration

  3. Cliquez sur Période d'observation.

  4. Le cas échéant, définissez la liste déroulante Période d'observation sur l'heure appropriée pour chacun des éléments suivants :

    • Insights sur les règles trop permissives

    • Insights sur les règles de refus

API

Pour définir la période d'observation des règles deny avec des appels, vous devez utiliser la console Google Cloud. Cependant, vous pouvez utiliser l'API Recommender pour définir la période d'observation des insights de règles trop permissives. Vous pouvez également utiliser l'API pour activer les insights et récupérer les détails de la configuration.

Définir la période d'observation et activer les insights

Vous pouvez définir la période d'observation des insights sur les règles trop permissives à l'aide de la méthode updateConfig.

Pour utiliser la méthode updateConfig, vous devez définir des valeurs pour tous ses paramètres. Cela signifie que vous devez également spécifier si les insights sur les règles bloquées et les règles trop permissives sont activés ou désactivés.

Pour effectuer ce type de mise à jour, utilisez la requête suivante.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

Remplacez les valeurs suivantes :

  • PROJECT_ID : ID de votre projet
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE : durée, en secondes, de la période d'observation pour les insights sur les règles trop permissives
  • ENABLEMENT_SHADOWED : valeur booléenne indiquant si les insights sur les règles bloquées sont activés
  • ENABLEMENT_OVERLY_PERMISSIVE : valeur booléenne indiquant si les insights sur les règles trop permissives sont activés
  • ETAG : valeur de l'eTag de la stratégie IAM. Pour récupérer la valeur eTag, utilisez la méthode getConfig, comme décrit dans la section suivante.

Exemple

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

Récupérer les détails de la configuration

Pour savoir comment Firewall Insights est configuré, utilisez la méthode getConfig comme illustré dans l'exemple suivant. 

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

Planifier un cycle d'actualisation personnalisé

Configurez un cycle d'actualisation afin de générer des insights sur les règles bloquées pour votre projet.

Vous pouvez planifier le cycle d'actualisation pour qu'il commence à une date spécifiée et personnaliser sa fréquence. La fréquence par défaut du cycle est d'un jour (24 heures).

Console

Configurez un cycle d'actualisation personnalisé pour les insights :

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Cliquez sur Configuration

  3. Cliquez sur Activation.

  4. Pour activer les insights sur les règles bloquées, cliquez sur la bascule d'activation.

  5. Dans le champ Démarrer le, saisissez la date à partir de laquelle le cycle d'actualisation personnalisé doit démarrer.

  6. Dans le champ Répéter chaque, sélectionnez la fréquence du cycle d'actualisation à partir de la date de début du cycle :

    • jour : toutes les 24 heures
    • semaine : toutes les semaines, les jours que vous choisissez
    • mois : tous les mois
    • trimestre : tous les trimestres

    Le nouveau calendrier de génération d'insights prend effet 24 heures après l'enregistrement des modifications apportées à la planification.

Utiliser la page de destination de Firewall Insights

La page de destination de Firewall Insights dans la console Google Cloud fournit des fiches pour tous les insights, y compris les suivants :

  • Règles de pare-feu bloquées
  • Règles trop permissives, y compris chacune des règles suivantes :
    • Règles Allow non utilisées
    • Règles Allow avec des attributs non utilisés
    • Règles Allow avec des plages d'adresses IP ou de ports trop permissives
  • Règles Deny non utilisées

Chaque fiche inclut la liste de toutes les règles de votre projet qui correspondent aux critères de l'insight. Si vous souhaitez limiter les résultats à un seul réseau VPC, utilisez la barre de filtre située en haut de la page pour sélectionner un réseau.

Dans les sections suivantes, nous allons voir comment afficher chaque insight.

Afficher les règles de pare-feu bloquées

Pour en savoir plus sur cet insight, consultez la section Règles bloquées dans la présentation de Firewall Insights.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la fiche nommée Règles bloquées, cliquez sur Afficher la liste complète. En réponse, la console Google Cloud affiche la page Règles bloquées, qui répertorie toutes les règles identifiées comme bloquées. La colonne Insight de chaque règle fournit un résumé de l'identification de la règle en tant que règle bloquée.

  3. Pour afficher plus de détails sur la règle bloquée et les règles qui la bloquent, cliquez sur insight.

Afficher les règles allow non utilisées

Pour en savoir plus sur cet insight, consultez la section Autoriser les règles non utilisées dans la présentation de Firewall Insights.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la carte nommée Autoriser les règles inutilisées, cliquez sur Afficher la liste complète. En réponse, la console Google Cloud affiche la page Autoriser les règles non utilisées, qui répertorie toutes les règles n'ayant pas été appelées au cours de la période d'observation. La colonne Insight de chaque règle indique si la règle de pare-feu n'a pas été déclenchée pendant la période d'observation. La colonne Prédiction d'appels indique une prédiction d'utilisation future en fonction de règles de pare-feu dans la même organisation.

  3. Pour définir une règle dans la liste, procédez de l'une des façons suivantes :

    • Pour afficher la page Détails des règles de pare-feu de la règle, cliquez sur son nom.
    • Pour afficher la journalisation de la règle, cliquez sur le lien Afficher les journaux d'audit.
    • Pour en savoir plus sur la prédiction, cliquez sur le lien correspondant. En réponse, le panneau Détails de l'insight s'affiche. Ce panneau décrit les principaux attributs de la règle. Il décrit également les attributs d'autres règles similaires du projet, ainsi que leur nombre d'appels.

Afficher les règles allow comportant des attributs non utilisés

Pour en savoir plus sur cet insight, consultez la section Autoriser les règles avec des attributs non utilisés dans la présentation de Firewall Insights.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la fiche nommée Autoriser les règles avec des attributs non utilisés, cliquez sur Afficher la liste complète. En réponse, la console Google Cloud affiche la page Autoriser les règles avec des attributs non utilisés. Cette page répertorie toutes les règles identifiées qui ont utilisé des attributs non utilisés pendant la période d'observation. La colonne Insight de chaque règle indique le nombre d'attributs inutilisés pendant la période d'observation.

  3. Pour définir une règle dans la liste, procédez de l'une des façons suivantes :

    • Pour afficher la page Détails des règles de pare-feu de la règle, cliquez sur son nom.
    • Pour afficher la journalisation de la règle, cliquez sur le lien Afficher les journaux d'audit.
    • Pour en savoir plus sur la prédiction, cliquez sur le lien correspondant. En réponse, le panneau Détails de l'insight s'affiche. Ce panneau décrit les principaux attributs de la règle. Il décrit également d'autres règles du projet qui présentent des attributs similaires.

Afficher les règles allow avec des plages d'adresses IP ou de ports trop permissives

Pour en savoir plus sur cet insight, consultez la section Autoriser les règles avec des plages d'adresses IP ou de ports trop permissives dans la présentation de Firewall Insights.

Sachez que votre projet peut disposer de règles de pare-feu autorisant l'accès à partir de certains blocs d'adresses IP pour les vérifications d'état de l'équilibreur de charge ou pour d'autres fonctionnalités de Google Cloud. Ces adresses IP risquent de ne pas être appelées, mais elles ne doivent pas être supprimées de vos règles de pare-feu. Pour plus d'informations sur ces plages, consultez la documentation sur Compute Engine.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la fiche nommée Autoriser les règles associées à des adresses IP ou des plages de ports trop permissives, cliquez sur Afficher la liste complète. En conséquence, la console Google Cloud affiche la liste de toutes les règles dont les plages sont trop permissives pendant la période d'observation.

  3. Pour définir une règle dans la liste, procédez de l'une des façons suivantes :

    • Pour afficher la page Détails des règles de pare-feu de la règle, cliquez sur son nom.
    • Pour afficher la journalisation de la règle, cliquez sur le lien Afficher les journaux d'audit.
    • Pour afficher des suggestions sur la façon d'affiner la plage, cliquez sur le lien dans la colonne Insight. En réponse, le panneau Détails de l'insight s'affiche. Ce panneau décrit les principaux attributs de la règle. Il suggère des adresses IP ou des plages de ports plus précises que vous pouvez utiliser.

Afficher les règles deny utilisées

Pour en savoir plus sur cet insight, consultez la section Refuser les règles appelées dans la présentation de Firewall Insights.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la fiche intitulée Refuser les règles utilisées, cliquez sur Afficher la liste complète. En réponse, la console Google Cloud affiche la page Refuser les règles utilisées qui répertorie toutes les règles deny qui ont été appelées pendant la période d'observation.

  3. Pour examiner les paquets supprimés par un pare-feu, cliquez sur Nombre d'appels.

Marquer un insight comme ignoré

Si un insight n'est pas pertinent ou si vous souhaitez le masquer pour une autre raison, vous pouvez l'ignorer. Une fois un insight ignoré, la console Google Cloud n'affiche plus cet insight, que ce soit pour vous ou pour les autres utilisateurs.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Recherchez la fiche appropriée, puis cliquez sur Afficher la liste complète.

  3. Sélectionnez les règles que vous souhaitez ignorer, puis cliquez sur Ignorer.

Restaurer un insight ignoré

Si vous avez ignoré un insight que vous trouvez par la suite pertinent, vous ou un autre utilisateur pouvez le restaurer et le rendre visible dans la console Google Cloud.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Cliquez sur Ignorer l'historique. En réponse, la console Google Cloud affiche la page Insights ignorés.

  3. Sélectionnez les insights que vous souhaitez restaurer, puis cliquez sur Restaurer.

Exporter les insights

Vous pouvez exporter des insights au format CSV ou JSON à partir de la page Firewall Insights de Google Cloud Console.

Vous pouvez exporter les insights pour l'une des raisons suivantes :

  • Vous devez importer les données dans un autre système.
  • Vous souhaitez accéder aux données lorsque vous êtes hors connexion.

  • Vous avez l'intention de désactiver Firewall Insights, mais vous souhaitez conserver l'accès aux insights générés précédemment.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Cliquez sur Enregistrer sous.

  3. Suivez les instructions pour choisir le format des insights et téléchargez-les.

Vous pouvez également exporter des insights vers BigQuery. Lorsque vous exportez des insights vers BigQuery, vous pouvez consulter des instantanés quotidiens des insights de votre organisation. Pour en savoir plus, consultez Exporter les recommandations vers BigQuery.

Utiliser le centre de recommandations

Le hub de recommandations est une fonctionnalité l'outil de recommandation qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.

La console Google Cloud pour le hub de recommandations affiche les insights suivants sur les règles de pare-feu :

  • Règles de pare-feu bloquées
  • Règles trop permissives, y compris chacune des règles suivantes :
    • Règles Allow non utilisées
    • Règles Allow avec des attributs non utilisés
    • Règles Allow avec des plages d'adresses IP ou de ports trop permissives

Le hub de recommandations affiche ces insights ainsi que des recommandations pour d'autres produits, tels que Identity and Access Management (IAM) et VM Rightsizing.

Pour obtenir des informations générales sur le hub de recommandations, consultez la page Premiers pas avec le hub de recommandations.

Afficher les règles de pare-feu bloquées

Pour en savoir plus sur cet insight, consultez la section Règles bloquées dans la présentation de Firewall Insights.

Console

  1. Dans la console Google Cloud, accédez au hub de recommandations.

    Accéder au hub de recommandations

  2. Sur la fiche intitulée Simplifier la configuration du pare-feu, cliquez sur Tout afficher. Le hub de recommandations affiche une page qui répertorie les règles bloquées. La colonne Insight de chaque règle fournit un résumé de l'identification de la règle en tant que règle bloquée.

  3. Pour afficher plus de détails sur la règle bloquée et les règles qui la bloquent, cliquez sur insight.

Afficher des insights de règles trop permissifs

Pour obtenir des insights sur les règles trop permissives, consultez les sections suivantes dans la présentation de Firewall Insights :

Console

  1. Dans la console Google Cloud, accédez au hub de recommandations.

    Accéder au hub de recommandations

  2. Sur la fiche intitulée Examiner les règles de pare-feu trop permissives, cliquez sur Tout afficher.

  3. Utilisez les onglets en haut de la page pour passer d'un type d'insight à l'autre.

    Vous pouvez cliquer sur l'aperçu d'une règle répertoriée pour comprendre pourquoi la règle a été incluse dans la liste. Le détail d'insight affiche plus d'informations sur le nombre d'appels et les attributs de la règle.

Marquer un insight comme ignoré

Si un insight n'est pas pertinent ou si vous souhaitez le masquer pour une autre raison, vous pouvez l'ignorer. Une fois un insight ignoré, la console Google Cloud n'affiche plus cet insight, que ce soit pour vous ou pour les autres utilisateurs.

Console

  1. Dans la console Google Cloud, accédez au hub de recommandations.

    Accéder au hub de recommandations

  2. Recherchez la fiche appropriée, puis cliquez sur Tout afficher.

  3. Si vous souhaitez ignorer un insight d'une règle trop permissive, utilisez les onglets en haut de la page pour accéder à la catégorie d'insight appropriée.

  4. Sélectionnez les insights que vous souhaitez ignorer, puis cliquez sur Ignorer.

  5. Dans la boîte de dialogue de confirmation, cliquez sur Oui, ignorer.

Restaurer un insight ignoré

Si vous avez ignoré un insight que vous trouvez par la suite pertinent, vous ou un utilisateur pouvez le restaurer et le rendre visible dans la console Google Cloud en procédant comme suit.

Console

  1. Dans la console Google Cloud, accédez au hub de recommandations.

    Accéder au hub de recommandations

  2. Recherchez la fiche appropriée, puis cliquez sur Tout afficher.

  3. Si vous souhaitez ignorer un insight d'une règle trop permissive, utilisez les onglets en haut de la page pour accéder à la catégorie d'insight appropriée.

  4. En haut de la page, cliquez sur Historique.

  5. Cliquez sur l'onglet Ignorés, qui contient les recommandations et insights ignorés pour le projet.

  6. Sélectionnez les insights que vous souhaitez restaurer.

  7. Cliquez sur Restaurer.

  8. Dans la boîte de dialogue de confirmation, cliquez sur Restaurer.

Utiliser la page des détails sur Firewall

Pour plus d'informations sur cette page, consultez la section Répertorier les règles de pare-feu pour un réseau VPC.

Répertorier les insights d'un projet

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page "Pare-feu"

  2. Pour chaque règle de pare-feu, affichez le nom des insights disponibles dans la colonne Insights.

  3. Vous pouvez cliquer sur le nom d'un insight pour afficher les informations détaillées de cet insight. Les sections suivantes décrivent comment afficher et interpréter les détails de chaque type d'insight.

Afficher les règles d'autorisation (allow) n'ayant fait l'objet d'aucun appel au cours des 24 derniers mois

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page "Pare-feu"

  2. Dans la colonne Dernier appel, passez en revue la dernière utilisation d'une règle de pare-feu donnée au cours des 24 derniers mois.

Afficher le graphique de l'historique d'utilisation d'une règle

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page "Pare-feu"

  2. Cliquez sur le nom d'une règle de pare-feu.

  3. Dans la section Surveillance du nombre d'appels de la page, affichez le graphique qui indique le nombre d'appels de pare-feu pour une période donnée. Vous pouvez sélectionner des onglets pour différentes périodes au-dessus du graphique.

Afficher les règles deny utilisées au cours d'une période d'observation

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page "Pare-feu"

  2. Dans la colonne Nombre d'appels, affichez le nombre de connexions uniques utilisées pour une règle de pare-feu donnée au cours des 24 derniers mois (valeur par défaut).

Utiliser la page des détails de l'interface réseau de VM

Affichez l'utilisation du pare-feu sur la page Informations sur l'interface réseau d'une VM.

Pour plus d'informations sur cette page, consultez la section Répertorier les règles de pare-feu pour l'interface réseau d'une instance de VM.

Afficher les règles ayant été appelées au cours des 24 derniers mois

Console

  1. Dans la console Google Cloud, accédez à la page Instances de VM de Compute Engine.

    Accéder à la page "Instances de VM" de Compute Engine

  2. Choisissez une VM et, à l'extrémité droite de la page, cliquez sur le menu Autres actions .

  3. Dans le menu, sélectionnez Afficher les détails du réseau.

  4. Dans la section Détails des pare-feu et des routes, cliquez sur l'onglet Règles de pare-feu.

  5. Dans la colonne Nombre d'appels, affichez le nombre d'appels pour le trafic allow (autorisé) et deny (refusé) au cours des 24 derniers mois pour toutes les règles de pare-feu associées à une interface réseau spécifique.

Utiliser les insights à l'aide des commandes gcloud ou de l'API

Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.

Répertorier les insights

gcloud

Pour répertorier les insights d'un projet, exécutez la commande suivante :

gcloud beta recommender insights list \
    --project=PROJECT_ID \
    --location=global \
    --insight-type=google.compute.firewall.Insight \
    --filter=EXPRESSION \
    --limit=LIMIT \
    --page-size=PAGE_SIZE \
    --sort-by=SORT_BY \
    --format=json

Remplacez PROJECT_ID par l'ID du projet pour lequel vous souhaitez répertorier des insights.

L'option location utilise toujours l'emplacement nommé global. L'option insight-type utilise toujours le type d'insight nommé google.compute.firewall.Insight. Le résultat de la commande est tabulaire, sauf si vous utilisez le format JSON.

Les champs suivants sont facultatifs :

  • EXPRESSION : appliquez ce filtre booléen à chaque ressource que vous souhaitez répertorier.

    Si l'expression renvoie la valeur True, cet élément est répertorié. Pour plus de détails et d'exemples d'expressions de filtre, exécutez $ gcloud topic filters ou consultez la documentation gcloud topic filters.

  • LIMIT : nombre maximal de ressources à répertorier. Le nombre par défaut de ressources répertoriées est illimité.

  • PAGE_SIZE : nombre maximal de ressources à répertorier par page.

    La taille de page par défaut est déterminée par le service ; dans le cas contraire, il n'y a pas de pagination. La pagination peut être appliqué avant ou après FILTER et LIMIT.

  • SORT_BY : liste de noms de clés de champ séparés par une virgule en fonction desquels trier pour une ressource.

    L'ordre par défaut est croissant. Pour spécifier un ordre décroissant, ajoutez un préfixe ~ (un tilde) à un champ.

API

Pour obtenir tous les insights d'un projet Google Cloud, envoyez une requête GET à la méthode projects.locations.insightTypes.insights :

GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights

L'exemple suivant illustre un exemple de réponse pour cette commande :

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by   projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

Décrire les insights

gcloud

Pour répertorier les détails d'un insight d'une règle de pare-feu particulière, exécutez la commande suivante :

gcloud beta recommender insights describe INSIGHT_ID \
    --project=PROJECT_NAME \
    --location=global \
    --insight-type=google.compute.firewall.Insight

Remplacez les éléments suivants par des valeurs pour votre réseau :

  • INSIGHT_ID : ID de l'insight à décrire.
  • PROJECT_NAME : nom du projet pour lequel vous souhaitez répertorier des insights.

L'option location utilise toujours l'emplacement nommé global. L'option insight-type utilise toujours le type d'insight nommé google.compute.firewall.Insight.

API

Pour obtenir des informations détaillées, envoyez une requête GET à la méthode projects.locations.insightTypes.insights :

GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
{

Remplacez les éléments suivants par des valeurs pour votre réseau :

  • PROJECT_ID : ID du projet
  • LOCATION : utilisez toujours l'emplacement nommé global.
  • INSIGHT_TYPE_ID : utilisez toujours la valeur google.compute.firewall.Insight.
  • INSIGHT_ID : ID de l'insight

Étapes suivantes

  • Pour examiner l'utilisation de l'environnement d'exécution du pare-feu VPC, nettoyer et optimiser les configurations de vos règles de pare-feu et renforcer les limites de sécurité, consultez la section Cas d'utilisation courants.