Firewall Insights ti aiuta a comprendere i pattern di utilizzo del tuo le regole del firewall. Puoi utilizzare queste informazioni per supportare le decisioni sulla rimozione o sulla modifica delle regole firewall al fine di semplificare e proteggere la configurazione del firewall.
Puoi visualizzare i seguenti approfondimenti nella pagina Approfondimenti sul firewall della console Google Cloud e in diversi altri punti della console:
- Regole firewall con shadowing: ti aiutano a identificare le regole firewall che si sovrappongono alle regole esistenti.
- Regole eccessivamente permissive: consentono di identificare le regole
allowsenza hit. inutilizzati oppure intervalli di porte o indirizzi IP eccessivamente permissivi. - Regole di rifiuto: forniscono dettagli sulle
denyregole che hanno avuto corrispondenze durante il periodo di osservazione configurato.
Gli insight per le regole eccessivamente permissive e per le regole di rifiuto vengono generati in base ai dati raccolti per il periodo di tempo in cui è abilitato il logging delle regole firewall.
In Firewall Insights nella console Google Cloud, ogni scheda che mostra gli insight include un elenco di tutte le regole del progetto che soddisfano i criteri di insight.
Se vuoi limitare i risultati a una rete VPC, utilizza la barra dei filtri nella parte superiore della pagina per selezionare una rete.
Per ulteriori informazioni, consulta Dove puoi visualizzare metriche e approfondimenti.
Le sezioni seguenti descrivono come visualizzare ogni informazione.
Ruoli e autorizzazioni richiesti
Per ottenere l'autorizzazione necessaria per visualizzare gli insight, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin) -
Visualizzatore motore per suggerimenti firewall (
roles/recommender.firewallViewer)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene
recommender.computeFirewallInsights.list
autorizzazione,
che è obbligatorio
visualizza insight.
Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.
Visualizza le regole firewall con shadowing
Per saperne di più su questo insight, consulta Con shadowing .
Console
Nella console Google Cloud, vai alla pagina Approfondimenti sul firewall.
Nella scheda Regole oscurate, fai clic su Visualizza elenco completo. La La console Google Cloud mostra le regole oscurate in cui sono elencate tutte le reti VPC.
Per ogni rete VPC nel progetto, puoi vedere insight per criteri firewall gerarchici, firewall di rete globale di sicurezza e le regole firewall VPC, oltre al la priorità della regola. La colonna Insight per ogni fornisce un riepilogo del motivo per cui la regola è stata identificata come regola oscurata.
(Facoltativo) Utilizza i filtri per restringere i risultati nell'elenco in base al nome della regola, alla priorità e al nome della norma.
Per visualizzare ulteriori dettagli sulla regola oscurata e sulle regole su cui è presente shadowing fai clic sull'approfondimento.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud fornisce suggerimenti sull'utilizzo di prodotti e servizi Google Cloud.
Visualizza allow regole senza hit
Per saperne di più su questo insight, consulta Regole di autorizzazione senza hit.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti sul firewall.
Nella scheda Regole di autorizzazione con attributi senza corrispondenze, fai clic su Visualizza elenco completo. La console Google Cloud mostra la pagina Regole consentite senza colpi. Questa pagina elenca tutte le reti VPC aveva regole senza hit durante il periodo di osservazione.
La colonna Insight per ogni regola indica se le La regola firewall non ha avuto hit durante il periodo di osservazione. La La colonna Previsione hit futuri mostra una previsione dell'utilizzo futuro, sulle regole firewall nella stessa organizzazione.
(Facoltativo) Utilizza i filtri per restringere i risultati nell'elenco in base al nome della regola, alla priorità e al nome del criterio.
Per qualsiasi regola nell'elenco, esegui una delle seguenti operazioni, a seconda dei casi:
- Per visualizzare la pagina Dettagli regola firewall relativa alla regola, fai clic sull'icona il nome della regola.
- Per visualizzare il logging per la regola, fai clic su Visualizza log di controllo.
- Per visualizzare i dettagli della previsione, fai clic sul link nella colonna Approfondimento. Viene visualizzato il riquadro Dettagli informazioni. Il riquadro descrive gli attributi principali della regola. Inoltre, descrive altre regole del progetto con attributi simili.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce consigli per l'utilizzo di prodotti e servizi Google Cloud.
Visualizza allow regole obsolete in base all'analisi adattiva
Puoi visualizzare le regole allow meno propense ad essere attive in base ai pattern di utilizzo e all'analisi adattiva.
Per saperne di più su questo insight, consulta Consenti regole obsolete in base all'analisi adattiva.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti sul firewall.
Nella scheda Consenti regole senza hit (analisi adattiva): Fai clic su Visualizza elenco completo. Viene visualizzata la pagina Regole di autorizzazione senza hit (analisi adattiva). La pagina elenca tutte le reti VPC con regole che probabilmente non vengono più utilizzate.
La colonna Approfondimento per ogni regola indica se la regola firewall non è più attiva in base all'analisi adattiva della cronologia del conteggio dei hit delle regole.
(Facoltativo) Utilizza i filtri per restringere i risultati nell'elenco in base alla regola il nome, la priorità e il nome del criterio.
Per qualsiasi regola nell'elenco, esegui una delle seguenti operazioni, a seconda dei casi:
- Per visualizzare la pagina Dettagli regola firewall relativa alla regola, fai clic sull'icona il nome della regola.
- Per visualizzare il logging per la regola, fai clic su Visualizza log di controllo.
- Per visualizzare i dettagli della previsione, fai clic sul link nella colonna Approfondimento.
La pagina Dettagli informazioni descrive gli attributi principali della regola. Nella sezione Analisi adattiva puoi vedere la data di applicazione l'ultimo hit e il numero medio di hit giornalieri prima che la regola diventasse attivo.
Per chiudere la pagina Dettagli di approfondimento, fai clic su Annulla.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti sull'utilizzo di prodotti e servizi Google Cloud.
Visualizza le regole allow con attributi inutilizzati
Per saperne di più su questo insight, consulta Regole di autorizzazione con attributi inutilizzati.
Console
Nella console Google Cloud, vai alla pagina Firewall Insights.
Nella scheda Regole di autorizzazione con attributi inutilizzati, fai clic su Visualizza elenco completo. In risposta, la console Google Cloud mostra Pagina Consenti regole con attributi inutilizzati. In questa pagina sono elencate tutte le reti VPC con regole che avevano attributi non utilizzati durante il periodo di osservazione.
La colonna Approfondimento per ogni regola mostra il numero di attributi inutilizzati durante il periodo di osservazione.
(Facoltativo) Utilizza i filtri per restringere i risultati nell'elenco in base alla regola il nome, la priorità e il nome del criterio.
Per qualsiasi rete VPC nell'elenco, esegui una delle seguenti operazioni, come appropriato:
- Per visualizzare la pagina Dettagli regola firewall della regola, fai clic sul nome della regola.
- Per visualizzare i log per la regola, fai clic su Visualizza log di controllo.
- Per visualizzare i dettagli della previsione, fai clic sul link della previsione. Viene visualizzato il riquadro Dettagli di approfondimento. Il riquadro descrive gli attributi principali della regola. Descrive inoltre altre regole nel progetto che hanno attributi simili.
gcloud e API
Firewall Insights utilizza Motore per suggerimenti. Il motore per suggerimenti è un servizio Google Cloud che fornisce consigli per l'utilizzo di prodotti e servizi Google Cloud.
Visualizzare le regole allow con intervalli di porte o indirizzi IP eccessivamente permissivi
Per saperne di più su questo insight, consulta Consenti regole con indirizzi IP eccessivamente permissivi o intervalli di porte.
Tieni presente che il tuo progetto potrebbe avere regole firewall che consentono l'accesso da determinati blocchi di indirizzi IP per i controlli di integrità del bilanciatore del carico o per altre funzionalità di Google Cloud. Questi indirizzi IP potrebbero non essere raggiunti, ma non devono essere rimossi dalle regole del firewall. Per ulteriori informazioni su questi gli intervalli di tempo, consulta Documentazione di Compute Engine.
Console
Nella console Google Cloud, vai alla pagina Firewall Insights.
Sulla scheda denominata Consenti regole con indirizzi IP eccessivamente permissivi o intervalli di porte, fai clic su Visualizza l'elenco completo. La Nella console Google Cloud viene visualizzato un elenco di tutte le regole che sono state intervalli permissivi durante il periodo di osservazione.
Per qualsiasi regola nell'elenco, esegui una delle seguenti operazioni, se necessario:
- Per visualizzare la pagina Dettagli regola firewall per qualsiasi regola, fai clic sull'icona il nome della regola.
- Per visualizzare il logging per la regola, fai clic su Visualizza log di controllo.
- Per visualizzare suggerimenti su come restringere l'intervallo, fai clic sul link in la colonna Insight. Viene visualizzato il riquadro Dettagli insight. Nel riquadro vengono descritti gli attributi principali della regola. it suggerisce intervalli di indirizzi IP o porte definiti più restrittivi che potrebbe essere utile.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce consigli per l'utilizzo di prodotti e servizi Google Cloud.
Visualizza deny regola con hit
Per saperne di più su questo insight, consulta Regole di negazione con hit.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti sul firewall.
Nella scheda Regole di negazione con hit, fai clic su Visualizza elenco completo. Nella viene visualizzata la risposta Regole di negazione con hit nella console Google Cloud. . Questa pagina elenca tutte le reti VPC con regole
denyche hanno registrato hit durante il periodo di osservazione.Per esaminare i pacchetti eliminati da un firewall, fai clic su Conteggio hit.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce consigli per l'utilizzo di prodotti e servizi Google Cloud.
Visualizzare gli approfondimenti nella pagina dei dettagli dell'interfaccia di rete della VM
Visualizza l'utilizzo del firewall nella pagina Dettagli interfaccia di rete per una VM.
Per ulteriori informazioni, consulta Elenca le regole del firewall per un'interfaccia di rete di un'istanza VM.
Visualizza le regole con hit negli ultimi 24 mesi
Console
Nella console Google Cloud, vai alla pagina Istanze VM Compute Engine.
Nei risultati di ricerca relativi all'interfaccia di una VM, seleziona una VM e fai clic sull'icona altre azioni.
Nel menu, seleziona Visualizza dettagli rete.
Nella pagina Dettagli firewall e route, fai clic sull'icona Scheda Regole firewall.
Nella colonna Numero di hit, visualizza il numero di hit per
allowedenyil traffico negli ultimi 24 mesi per tutte le regole firewall associate a a una specifica interfaccia di rete.
gcloud e API
Firewall Insights utilizza Motore per suggerimenti. Il motore per suggerimenti è un servizio Google Cloud che fornisce consigli per l'utilizzo di prodotti e servizi Google Cloud.
Visualizzare gli approfondimenti nella pagina Firewall
Per ulteriori informazioni sulla pagina Firewall, consulta Elenca le regole firewall VPC per una rete VPC.
Elencare gli approfondimenti per un progetto
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Per ogni regola firewall, visualizza il nome degli insight disponibili nella nella colonna Approfondimenti.
Puoi fare clic sul nome di un'informazione per visualizzarne i dettagli.
Le seguenti sezioni descrivono come visualizzare e interpretare i dettagli di ogni tipo di insight.
Visualizza allow regole senza hit negli ultimi 24 mesi
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nella colonna Ultimo hit, puoi controllare l'ultima volta che un determinato firewall è stata utilizzata negli ultimi 24 mesi.
gcloud e API
Firewall Insights utilizza Motore per suggerimenti. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti sull'utilizzo di prodotti e servizi Google Cloud.
Visualizzare il grafico della cronologia di utilizzo per una regola
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Fai clic sul nome di una regola firewall.
Nella sezione Monitoraggio del numero di hit della pagina, visualizza i risultati che mostra il numero di hit del firewall per un determinato periodo di tempo. Puoi selezionare un intervallo di tempo per il grafico di monitoraggio del conteggio dei hit.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti sull'utilizzo di prodotti e servizi Google Cloud.
Visualizzare le regole deny con corrispondenze per un periodo di osservazione
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nella colonna Numero di riscontri, visualizza il numero di connessioni univoche utilizzate per una determinata regola firewall negli ultimi 24 mesi (impostazione predefinita).
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce consigli per l'utilizzo di prodotti e servizi Google Cloud.
Passaggi successivi
- Gestire ed esportare gli approfondimenti
- Rivedi e ottimizza le regole firewall
- Visualizzare gli approfondimenti nella dashboard dell'hub dei suggerimenti