Utilizza Firewall Insights

In questa pagina viene descritto come utilizzare Firewall Insights, che fornisce l'accesso ad approfondimenti, suggerimenti e metriche sulle regole firewall. Puoi visualizzare queste informazioni nella pagina Firewall Insights in Google Cloud Console e in diversi altri punti della console. Puoi ottenere i dati anche utilizzando l'API motore per suggerimenti o l'interfaccia a riga di comando di Google Cloud.

Per una panoramica degli insight disponibili, consulta la Panoramica degli firewall.

Per un elenco delle metriche di utilizzo del firewall, consulta le metriche di Firewall Insights.

Prima di iniziare

Prima di poter utilizzare Firewall Insights, devi selezionare un progetto e quindi completare le attività di configurazione richieste. I prerequisiti per alcune funzionalità sono diversi da quelli di altre. Per maggiori dettagli, consulta la tabella seguente.

Attività Tutte le metriche Insight sulle regole con shadowing Insight sulle regole eccessivamente permissive Regole di negazione con attributi attivati
Abilita l'API Firewall Insights
Abilita il logging delle regole firewall
Attivare l'API motore per suggerimenti
Abilita questo tipo di statistica
Configurare un periodo di osservazione

Le seguenti sezioni descrivono ciascuna di queste attività.

Seleziona un progetto

Prima di completare qualsiasi prerequisito o eseguire altre azioni con Firewall Insights, ti consigliamo di creare o selezionare un progetto Google Cloud. Segui questa procedura:

  1. In Google Cloud Console, vai alla pagina Selettore progetto.

    Vai al selettore progetti

  2. Seleziona o crea un progetto Google Cloud.

  3. Assicurati che la fatturazione sia abilitata per il progetto Cloud.

Abilita l'API Firewall Insights

Prima di eseguire qualsiasi attività utilizzando Firewall Insights, devi abilitare l'API Firewall Insights. Segui questa procedura. In alternativa, puoi utilizzare la libreria API della console, come descritto in Abilitare le API.

console

  1. In Google Cloud Console, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. In API Firewall Insights, fai clic su Abilita.

gcloud

Esegui questo comando:

gcloud services enable firewallinsights.googleapis.com

Abilita logging regole firewall

Se vuoi visualizzare uno dei seguenti elementi, devi attivare il logging delle regole firewall:

  • Metriche sulle regole firewall
  • Informazioni su regole eccessivamente permissive o regole deny; queste informazioni sono note collettivamente come informazioni basate su log

Firewall Insights produce metriche e insight basati su log solo per le regole che hanno abilitato il logging. Per ulteriori informazioni, consulta la Panoramica del logging delle regole firewall.

Abilita l'API motore per suggerimenti

Devi abilitare l'API motore per suggerimenti se vuoi eseguire una delle seguenti operazioni:

  • Utilizza gli insight sulle regole con shadowing
  • Utilizza insight sulle regole eccessivamente permissive
  • Recupera eventuali dati effettuando chiamate API o utilizzando l'interfaccia a riga di comando di Google Cloud

console

  1. Nella console, vai alla pagina Abilita l'accesso all'API.

    Abilita l'accesso all'API

  2. Assicurati di aver selezionato il progetto corretto, quindi fai clic su Avanti.

  3. Fai clic su Abilita.

gcloud

Esegui questo comando:

gcloud services enable recommender.googleapis.com

Abilita regole con shadowing o insight sulle regole eccessivamente permissive

Firewall Insights non genera regole con shadowing o insight sulle regole eccessivamente permissive a meno che non abiliti attivamente queste funzionalità nella pagina Firewall Insights.

Dopo aver attivato una delle funzionalità, potrebbe essere necessario attendere fino a 48 ore per visualizzare gli insight generati.

Quando crei o aggiorni una regola firewall, potrebbe essere necessario attendere fino a dieci giorni per visualizzare le previsioni di machine learning per gli insight sulle regole eccessivamente permissive. Nel frattempo, puoi visualizzare gli approfondimenti in base ai dati raccolti dal logging delle regole firewall.

console

  1. In Google Cloud Console, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Fai clic su Configurazione.

  3. Fai clic su Abilitazione.

  4. A seconda del caso, sposta il dispositivo di scorrimento su Attivata o Disattivata per una o entrambe le seguenti opzioni:

    • Informazioni sulle regole con shadowing

    • Insight sulle regole eccessivamente permissive

Server

Puoi utilizzare l'API motore per suggerimenti per abilitare o disabilitare gli insight sulle regole con shadowing e/o gli insight sulle regole eccessivamente permissive. Puoi anche utilizzare l'API per impostare il periodo di osservazione per gli insight sulle regole eccessivamente permissive e recuperare i dettagli della configurazione.

Abilita gli approfondimenti e imposta il periodo di osservazione

Puoi attivare insight sulle regole con shadowing e/o insight sulle regole eccessivamente permissive utilizzando il metodo updateConfig.

Per utilizzare il metodo updateConfig, devi impostare i valori per tutti i parametri. Ciò significa che, allo stesso tempo in cui attivi o disattivi gli insight, devi anche configurare il periodo di osservazione per gli insight eccessivamente permissivi.

Per effettuare questo tipo di aggiornamento, utilizza la richiesta seguente.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

Sostituisci i seguenti valori:

  • PROJECT_ID: l'ID del tuo progetto
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE: il tempo, in secondi, del periodo di osservazione per gli insight sulle regole eccessivamente permissive
  • ENABLEMENT_SHADOWED: un valore booleano che rappresenta se gli insight sulle regole con shadowing sono abilitati
  • ENABLEMENT_OVERLY_PERMISSIVE: un valore booleano che rappresenta se gli insight sulle regole eccessivamente permissive sono abilitati
  • ETAG: il valore dell'etag del criterio IAM; per recuperare il valore etag, utilizza il metodo getConfig, come descritto nella sezione seguente

Esempio

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

Recuperare i dettagli di configurazione

Per recuperare i dettagli della configurazione di Firewall Insights, utilizza il metodo getConfig, come mostrato nell'esempio seguente.

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

Configura periodi di osservazione

Per alcuni approfondimenti puoi configurare un periodo di osservazione, ovvero il periodo di tempo relativo all'analisi. Puoi farlo per le regole eccessivamente permissive e gli insight sulle regole deny.

Ad esempio, supponiamo che tu abbia impostato un periodo di osservazione per gli insight sulle regole deny su due mesi In questo caso, quando rivedi l'elenco delle regole deny con hit, Firewall Insights mostra solo quelle regole che hanno avuto corrispondenze in un determinato momento negli ultimi due mesi. Supponi di modificare in seguito il periodo di osservazione in un mese. In questo caso potrebbe essere identificato un numero diverso di regole, perché Firewall Insights analizzerebbe un periodo di tempo più breve.

Quando esamini gli approfondimenti e configuri i periodi di osservazione, tieni presente quanto segue:

  • Quando configuri il periodo di osservazione per le regole deny con hit, Firewall Insights aggiorna immediatamente i risultati degli insight.

  • Quando aggiorni il periodo di osservazione per gli insight sulle regole eccessivamente permissive, gli insight sui firewall possono richiedere fino a 48 ore per aggiornare i risultati esistenti. Nel frattempo, il periodo di osservazione per i risultati esistenti corrisponde al periodo di osservazione configurato in precedenza.

  • Per gli insight eccessivamente permissivi, se non sono state identificate regole firewall, l'Insight sul firewall non mostra il periodo di osservazione utilizzato.

  • Gli insight sulle regole con shadowing non hanno un periodo di osservazione perché non valutano i dati storici. L'analisi delle regole con shadowing valuta la configurazione della regola firewall esistente ogni 24 ore.

  • I dati dei log sul traffico delle ultime 24 ore potrebbero non essere inclusi durante la generazione di insight.

console

Per configurare un periodo di osservazione:

  1. In Google Cloud Console, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Fai clic su Configurazione.

  3. Fai clic su Periodo di osservazione.

  4. A seconda dei casi, imposta l'elenco a discesa Periodo di osservazione sull'ora appropriata per ognuno dei seguenti elementi:

    • Insight sulle regole eccessivamente permissive

    • Informazioni sulle regole di negazione

Server

Per impostare il periodo di osservazione per le regole deny con hit, devi utilizzare la console. Tuttavia, puoi utilizzare l'API motore per suggerimenti per impostare il periodo di osservazione per gli insight sulle regole eccessivamente permissive. Puoi anche utilizzare l'API per abilitare gli insight e recuperare i dettagli di configurazione.

Imposta il periodo di osservazione e attiva gli insight

Puoi impostare il periodo di osservazione per gli insight sulle regole eccessivamente permissive utilizzando il metodo updateConfig.

Per utilizzare il metodo updateConfig, devi impostare i valori per tutti i parametri. Ciò significa che devi specificare anche se gli insight sulle regole con shadowing e quelli sulle regole eccessivamente permissive sono abilitati o disabilitati.

Per effettuare questo tipo di aggiornamento, utilizza la richiesta seguente.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

Sostituisci i seguenti valori:

  • PROJECT_ID: l'ID del tuo progetto
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE: il tempo, in secondi, del periodo di osservazione per gli insight sulle regole eccessivamente permissive
  • ENABLEMENT_SHADOWED: un valore booleano che rappresenta se gli insight sulle regole con shadowing sono abilitati
  • ENABLEMENT_OVERLY_PERMISSIVE: un valore booleano che rappresenta se gli insight sulle regole eccessivamente permissive sono abilitati
  • ETAG: il valore dell'etag del criterio IAM; per recuperare il valore etag, utilizza il metodo getConfig, come descritto nella sezione seguente

Esempio

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

Recuperare i dettagli di configurazione

Per recuperare i dettagli della configurazione di Firewall Insights, utilizza il metodo getConfig, come mostrato nell'esempio seguente.

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

Pianificare un ciclo di aggiornamento personalizzato

Configura un ciclo di aggiornamento per generare insight sulle regole con shadowing per il progetto.

Puoi pianificare l'inizio del ciclo di aggiornamento in una data specificata e personalizzare la frequenza di ciclo. La frequenza di ciclo predefinita è un giorno (24 ore).

console

Configura un ciclo di aggiornamento personalizzato per gli approfondimenti:

  1. In Google Cloud Console, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Fai clic su Configurazione.

  3. Fai clic su Abilitazione.

  4. Per abilitare gli insight sulle regole con shadowing, fai clic sul pulsante di attivazione/disattivazione.

  5. Nel campo Inizia il giorno, inserisci una data da cui inizia il ciclo di aggiornamento personalizzato.

  6. Nel campo Ripeti ogni, seleziona la frequenza del ciclo di aggiornamento a partire dalla data di inizio del ciclo:

    • day: ogni 24 ore
    • week: ogni settimana nei giorni selezionati
    • month: ogni mese
    • quarto: ogni trimestre

    La nuova pianificazione di generazione degli insight diventa effettiva 24 ore dopo il salvataggio delle modifiche.

Utilizza la pagina di destinazione Firewall Insights

La pagina di destinazione Firewall Insights nella console fornisce schede per tutti gli approfondimenti, tra cui:

  • Regole firewall con shadowing
  • Regole eccessivamente permissive, tra cui:
    • Regole Allow senza corrispondenze
    • Regole Allow con attributi inutilizzati
    • Allow regole con intervalli di porte o indirizzi IP eccessivamente permissivi
  • Regole Deny senza corrispondenze

Ogni scheda include un elenco di tutte le regole nel progetto che soddisfano i criteri degli approfondimenti. Se vuoi limitare i risultati a una sola rete VPC, utilizza la barra dei filtri nella parte superiore della pagina per selezionare una rete.

Le seguenti sezioni descrivono come visualizzare ogni approfondimento.

Visualizza regole firewall con shadowing

Per saperne di più su questo insight, consulta Regole con shadowing nella panoramica di Firewall Insights.

console

  1. Nella console, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Nella scheda Regole con shadowing, fai clic su Visualizza elenco completo. Nella risposta, la console mostra la pagina Regole con shadowing, in cui sono elencate tutte le regole identificate come con shadowing. La colonna Insight per ogni regola fornisce un riepilogo del motivo per cui la regola è stata identificata come regola con shadowing.

  3. Per visualizzare ulteriori dettagli sulla regola con shadowing e sulle regole con shadowing, fai clic sull'approfondimento.

Visualizzare allow regole senza corrispondenze

Per saperne di più su questo insight, consulta Consentire regole senza corrispondenze nella panoramica di Firewall Insights.

console

  1. Nella console, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Nella scheda Consenti regole senza corrispondenze, fai clic su Visualizza elenco completo. In risposta, la console mostra la pagina Consenti regole senza corrispondenze, in cui sono elencate tutte le regole che non hanno avuto corrispondenze durante il periodo di osservazione. La colonna Insight per ogni regola mostra se la regola firewall non ha avuto corrispondenze durante il periodo di osservazione. La colonna Previsione di corrispondenze future mostra una previsione di utilizzo futuro in base alle regole firewall nella stessa organizzazione.

  3. Per qualsiasi regola nell'elenco, esegui una delle seguenti operazioni, se necessario:

    • Per visualizzare la pagina Dettagli delle regole firewall per la regola, fai clic sul nome della regola.
    • Per visualizzare il logging della regola, fai clic sul link Visualizza audit log.
    • Per visualizzare i dettagli della previsione, fai clic sul relativo link. In risposta, viene visualizzato il riquadro Dettagli insight. Questo riquadro descrive gli attributi principali della regola. Descrive anche gli attributi di altre regole simili nel progetto, insieme al numero di hit.

Visualizza allow regola con attributi inutilizzati

Per saperne di più su questo insight, consulta Consentire le regole con attributi inutilizzati nella panoramica di Firewall Insights.

console

  1. Nella console, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Nella scheda Consenti regole con attributi inutilizzati, fai clic su Visualizza elenco completo. Di conseguenza, la console mostra la pagina Consenti regole con attributi inutilizzati. Questa pagina elenca tutte le regole identificate che hanno attributi inutilizzati durante il periodo di osservazione. La colonna Approfondimenti per ogni regola mostra il numero di attributi che non sono stati utilizzati durante il periodo di osservazione.

  3. Per qualsiasi regola nell'elenco, esegui una delle seguenti operazioni, se necessario:

    • Per visualizzare la pagina Dettagli delle regole firewall per la regola, fai clic sul nome della regola.
    • Per visualizzare il logging della regola, fai clic sul link Visualizza audit log.
    • Per visualizzare i dettagli della previsione, fai clic sul relativo link. In risposta, viene visualizzato il riquadro Dettagli insight. Questo riquadro descrive gli attributi principali della regola. Descrive anche altre regole del progetto che hanno attributi simili.

Visualizza allow regola con intervalli di porte o indirizzi IP eccessivamente permissivi

Per saperne di più su questo insight, consulta Consenti regole con intervalli di porte o indirizzi IP eccessivamente permissivi nella panoramica di Firewall Insights.

Ricorda che il tuo progetto potrebbe avere regole firewall che consentono l'accesso da determinati blocchi di indirizzi IP per i controlli di integrità del bilanciatore del carico o per altre funzionalità di Google Cloud. Questi indirizzi IP potrebbero non essere interessati, ma non devono essere rimossi dalle regole firewall. Per ulteriori informazioni su questi intervalli, consulta la documentazione di Compute Engine.

console

  1. Nella console, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Nella scheda denominata Consenti regole con indirizzi o intervalli di porte eccessivamente permissivi, fai clic su Visualizza elenco completo. Di conseguenza, la console mostra un elenco di tutte le regole con intervalli eccessivamente permissivi durante il periodo di osservazione.

  3. Per qualsiasi regola nell'elenco, esegui una delle seguenti operazioni, se necessario:

    • Per visualizzare la pagina Dettagli delle regole firewall per una regola qualsiasi, fai clic sul nome della regola.
    • Per visualizzare il logging della regola, fai clic sul link Visualizza audit log.
    • Per visualizzare suggerimenti su come restringere l'intervallo, fai clic sul link nella colonna Approfondimenti. In risposta, viene visualizzato il riquadro Dettagli approfondimento. Questo riquadro descrive gli attributi principali della regola. Suggerisce intervalli di porte o indirizzi IP più definiti che potresti utilizzare.

Visualizzare deny regole con hit

Per scoprire di più su questo insight, consulta Nega le regole con hit nella panoramica di Firewall Insights.

console

  1. Nella console, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Nella scheda intitolata Regole di negazione con hit, fai clic su Visualizza elenco completo. Nella risposta, la console mostra la pagina Regole di negazione con hit, in cui sono elencate tutte le regole deny che hanno avuto corrispondenze durante il periodo di osservazione.

  3. Per esaminare i pacchetti inseriti da un firewall, fai clic su Conteggio hit.

Contrassegnare un approfondimento come ignorato

Se un approfondimento non è significativo o se vuoi nasconderlo per qualsiasi altro motivo, puoi ignorarlo. Dopo aver ignorato un approfondimento, la console non mostra più l'approfondimento a te o ad altri utenti, a meno che non lo ripristini.

console

  1. Nella console, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Trova la scheda appropriata e fai clic su Visualizza elenco completo.

  3. Seleziona le regole da ignorare e fai clic su Ignora.

Ripristinare un approfondimento ignorato

Se hai ignorato un insight che ritieni successivo sia pertinente, tu o un altro utente potete ripristinarlo per renderlo visibile nella console.

console

  1. Nella console, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Fai clic su Ignora cronologia. Di conseguenza, la console visualizza la pagina Informazioni ignorate.

  3. Seleziona gli approfondimenti da ripristinare, poi fai clic su Ripristina.

Esporta informazioni

Se necessario, puoi esportare i dati in formato CSV o JSON.

Ti consigliamo di esportare i dati per i seguenti motivi:

  • Devi importare i dati in un altro sistema.
  • Desideri accedere ai dati mentre sei offline.
  • Intendi disabilitare Firewall Insights, ma vuoi mantenere l'accesso agli insight generati in precedenza.

console

  1. Nella console, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Fai clic su Salva con nome.

  3. Segui le istruzioni per scegliere il formato per i tuoi approfondimenti e scaricali.

Utilizzare l'hub dei suggerimenti

L'hub dei suggerimenti è una funzionalità del prodotto motore per suggerimenti che fornisce consigli sull'utilizzo per i prodotti e i servizi Google Cloud.

La console per l'hub dei suggerimenti mostra i seguenti insight sulle regole firewall:

  • Regole firewall con shadowing
  • Regole eccessivamente permissive, tra cui:
    • Regole Allow senza corrispondenze
    • Regole Allow con attributi inutilizzati
    • Allow regole con intervalli di porte o indirizzi IP eccessivamente permissivi

L'hub dei suggerimenti mostra queste informazioni insieme a suggerimenti per altri prodotti, come Identity and Access Management (IAM) e il dimensionamento ottimale delle VM.

Per informazioni generali su Recommendation Hub, consulta la guida introduttiva a Recommendation Hub.

Visualizza regole firewall con shadowing

Per saperne di più su questo insight, consulta Regole con shadowing nella panoramica di Firewall Insights.

console

  1. Nella console, vai all'hub dei consigli.

    Vai all'hub dei suggerimenti

  2. Nella scheda Semplifica configurazione firewall, fai clic su Visualizza tutto. L'hub dei suggerimenti mostra una pagina in cui sono elencate le regole con shadowing. La colonna Insight per ogni regola fornisce un riepilogo del motivo per cui la regola è stata identificata come regola con shadowing.

  3. Per visualizzare ulteriori dettagli sulla regola con shadowing e sulle regole con shadowing, fai clic sull'approfondimento.

Visualizzare gli insight sulle regole eccessivamente permissive

Per informazioni sugli insight sulle regole eccessivamente permissive, consulta le seguenti sezioni nella panoramica di Firewall Insights:

console

  1. Nella console, vai all'hub dei consigli.

    Vai all'hub dei suggerimenti

  2. Nella scheda Esamina le regole firewall eccessivamente permissive, fai clic su Visualizza tutto.

  3. Utilizza le schede nella parte superiore della pagina per spostarti tra i tipi di approfondimenti.

    Puoi fare clic sull'approfondimento per qualsiasi regola elencata per capire perché è stata inclusa nell'elenco. I dettagli dell'approfondimento mostrano ulteriori informazioni sul conteggio degli hit della regola e sugli attributi.

Contrassegnare un approfondimento come ignorato

Se un approfondimento non è significativo o se vuoi nasconderlo per qualsiasi altro motivo, puoi ignorarlo. Dopo aver ignorato un approfondimento, la console non mostra più l'approfondimento a te o ad altri utenti, a meno che non lo ripristini.

console

  1. Nella console, vai all'hub dei consigli.

    Vai all'hub dei suggerimenti

  2. Trova la carta appropriata e fai clic su Visualizza tutto.

  3. Per ignorare un approfondimento relativo a una regola eccessivamente permissiva, utilizza le schede nella parte superiore della pagina per accedere alla categoria di approfondimento appropriata.

  4. Seleziona gli approfondimenti che vuoi ignorare, quindi fai clic su Ignora.

  5. Nella finestra di dialogo di conferma, fai clic su Sì, contrassegna.

Ripristinare un approfondimento ignorato

Se hai ignorato un insight che ritieni successivo sia pertinente, tu o un utente potete ripristinarlo e renderlo visibile nella console seguendo questi passaggi.

console

  1. Nella console, vai all'hub dei consigli.

    Vai all'hub dei suggerimenti

  2. Trova la carta appropriata e fai clic su Visualizza tutto.

  3. Per ignorare un approfondimento relativo a una regola eccessivamente permissiva, utilizza le schede nella parte superiore della pagina per accedere alla categoria di approfondimento appropriata.

  4. Nella parte superiore della pagina, fai clic su Cronologia.

  5. Fai clic sulla scheda Eliminato, che mostra i suggerimenti e gli approfondimenti ignorati per il progetto.

  6. Seleziona gli approfondimenti che vuoi ripristinare.

  7. Fai clic su Ripristina.

  8. Nella finestra di dialogo di conferma, fai clic su Ripristina.

Usa la pagina dei dettagli del firewall

Per ulteriori informazioni su questa pagina, consulta la sezione Elenco delle regole firewall per una rete VPC.

Elenco di insight per un progetto

console

  1. Nella console, vai alla pagina Firewall.

    Vai a Firewall

  2. Per ogni regola firewall, visualizza il nome degli insight disponibili nella colonna Approfondimenti.

  3. Puoi fare clic sul nome di un approfondimento per visualizzarne i dettagli. Le seguenti sezioni descrivono come visualizzare e interpretare i dettagli per ogni tipo di insight.

Visualizza le regole allow senza corrispondenze negli ultimi 24 mesi

console

  1. Nella console, vai alla pagina Firewall.

    Vai a Firewall

  2. Nella colonna Ultimo hit, controlla l'ultima volta che è stata utilizzata una determinata regola firewall negli ultimi 24 mesi.

Visualizzare il grafico della cronologia di utilizzo per una regola

console

  1. Nella console, vai alla pagina Firewall.

    Vai a Firewall

  2. Fai clic sul nome di una regola firewall.

  3. Nella sezione Monitoraggio conteggio hit della pagina, visualizza il grafico risultante che mostra il conteggio degli hit del firewall per un determinato periodo di tempo. Puoi selezionare schede relative a periodi di tempo diversi sopra il grafico.

Visualizzare deny regole con hit per un periodo di osservazione

console

  1. Nella console, vai alla pagina Firewall.

    Vai a Firewall

  2. Nella colonna Conteggio hit, visualizza il numero di connessioni univoche utilizzate per una determinata regola firewall negli ultimi 24 mesi (impostazione predefinita).

Utilizza la pagina dei dettagli dell'interfaccia di rete delle VM

Visualizza l'utilizzo del firewall nella pagina Dettagli interfaccia di rete per una VM.

Per ulteriori informazioni su questa pagina, consulta la sezione Elencare le regole del firewall per un'interfaccia di rete di un'istanza VM.

Visualizza le regole con corrispondenze negli ultimi 24 mesi

console

  1. Nella console, vai alla pagina Istanze VM di Compute Engine.

    Vai alle istanze VM di Compute Engine

  2. Scegli una VM e fai clic sul menu Altre azioni all'estrema destra della pagina.

  3. Nel menu, seleziona Visualizza dettagli rete.

  4. Nella sezione Firewall e dettagli percorsi, fai clic sulla scheda Regole firewall.

  5. Nella colonna Conteggio hit, visualizza il numero di hit per il traffico allow e deny negli ultimi 24 mesi per tutte le regole firewall associate a un'interfaccia di rete specifica.

Utilizzare gli insight usando i comandi gcloud o l'API

Firewall Insights utilizza i comandi Consigliatore. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti sull'utilizzo di prodotti e servizi Google Cloud.

Elenco insight

gcloud

Per elencare gli insight per un progetto, esegui il comando seguente:

gcloud beta recommender insights list \
    --project=PROJECT_ID \
    --location=global \
    --insight-type=google.compute.firewall.Insight \
    --filter=EXPRESSION \
    --limit=LIMIT \
    --page-size=PAGE_SIZE \
    --sort-by=SORT_BY \
    --format=json

Sostituisci PROJECT_ID con l'ID progetto per il quale vuoi elencare gli insight.

Il flag location utilizza sempre la posizione denominata global. Il flag insight-type utilizza sempre il tipo di approfondimento denominato google.compute.firewall.Insight. A meno che non formatti l'output in formato JSON, l'output del comando è tabulare.

I seguenti campi sono facoltativi:

  • EXPRESSION: applica questo filtro booleano a ogni risorsa che vuoi elencare

    Se l'espressione valuta True, l'elemento viene elencato. Per ulteriori dettagli ed esempi di espressioni di filtro, esegui $ gcloud topic filters o consulta la documentazione di gcloud topic filters.

  • LIMIT: il numero massimo di risorse da elencare; il numero predefinito di risorse elencato è illimitato

  • PAGE_SIZE: il numero massimo di risorse da elencare per pagina

    La dimensione predefinita della pagina è determinata dal servizio, altrimenti non si verifica il paging. La pagina può essere applicata prima o dopo le ore FILTER e LIMIT.

  • SORT_BY: elenco di nomi di chiavi di campi separati da virgole da ordinare in base a una risorsa

    L'ordine predefinito è crescente. Per specificare un ordine decrescente, aggiungi un prefisso a un campo con ~ (una tilde).

Server

Per ottenere tutte le informazioni per un progetto Google Cloud, effettua una richiesta GET al metodo projects.locations.insightTypes.insights:

GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights

L'esempio seguente mostra una risposta di esempio per questo comando:

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by   projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

Descrivi gli approfondimenti

gcloud

Per elencare i dettagli relativi a un determinato firewall, esegui questo comando:

gcloud beta recommender insights describe INSIGHT_ID \
    --project=PROJECT_NAME \
    --location=global \
    --insight-type=google.compute.firewall.Insight

Sostituisci i valori seguenti con i valori della tua rete:

  • INSIGHT_ID: l'ID dell'approfondimento da descrivere
  • PROJECT_NAME: il nome del progetto per il quale vuoi elencare gli insight

Il flag location utilizza sempre la posizione denominata global. Il flag insight-type utilizza sempre il tipo di approfondimento denominato google.compute.firewall.Insight.

Server

Per ottenere dettagli per un approfondimento, effettua una richiesta GET al metodo projects.locations.insightTypes.insights:

GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
{

Sostituisci i valori seguenti con i valori della tua rete:

  • PROJECT_ID: l'ID progetto
  • LOCATION: utilizza sempre la località denominata global
  • INSIGHT_TYPE_ID: utilizza sempre il valore google.compute.firewall.Insight
  • INSIGHT_ID: l'ID approfondimento per l'approfondimento

Passaggi successivi

  • Per esaminare l'utilizzo del runtime firewall VPC, eseguire la pulizia e ottimizzare le configurazioni delle regole firewall e rafforzare i limiti di sicurezza, consulta i casi d'uso comuni.