ファイアウォール インサイトの使用

このページでは、以下のコンソール、ページ、またはツールからこの情報へのアクセスをサポートするファイアウォールのインサイトの分析情報または使用状況の指標を表示する方法について説明します。

  • Network Intelligence Center のコンソール
  • おすすめハブ
  • Virtual Private Cloud(VPC)のファイアウォール ルールの詳細ページ
  • Compute Engine 仮想マシン(VM)インスタンスのネットワーク インターフェースの詳細ページ
  • gcloud Recommender コマンドまたは API

ファイアウォール インサイトとその状態の概要については、ファイアウォール インサイトの概要をご覧ください。

ファイアウォールの使用状況の指標の一覧については、指標の表示をご覧ください。

始める前に

ファイアウォールのインサイトを使用する前に、Google Cloud で次の項目を設定してください。

  1. Google Cloud Console で [プロジェクトの選択] ページに移動します。

    [プロジェクトの選択] ページに移動

  2. Google Cloud プロジェクトを選択または作成します。

  3. Cloud プロジェクトに対して課金が有効になっていることを確認します。

  4. 次のセクションで説明するように、Firewall Insights API を有効にします。

シャドウルールの検出機能を有効にする

シャドウルールの検出機能を使用するには、Firewall Insights API を有効にする必要があります。

Cloud Console でファイアウォール インサイトを使用すると、分析情報が検出されない場合、Cloud Console は API を有効にするよう通知します。

シャドウルールの分析は 1 日に 1 回行われるため、結果が表示されるまでに最大 24 時間ほどかかることがあります。

Console

  1. Google Cloud Console で、[ファイアウォール インサイト] に移動します。

    ファイアウォール インサイトに移動

  2. [構成] をクリックします。

  3. [有効化] をクリックします。

  4. [有効] と表示されるようにセレクタをクリックします。

  5. [完了] をクリックします。

ファイアウォール ルール ロギングを有効にする

ファイアウォール ルールの分析情報と使用状況の指標を表示するには、1 つ以上のファイアウォール ルールに対してファイアウォール ルールロギングを有効にする必要があります。詳細については、ファイアウォール ルールロギングの概要をご覧ください。

権限の管理

分析情報と使用状況データの表示と管理に必要なロールと権限のリストについては、アクセス制御をご覧ください。

Network Intelligence Center の使用

ファイアウォールのインサイトの Cloud Console の Network Intelligence Center ランディング ページには、3 種類のインサイト カードが表示されます。

  • シャドウ ファイアウォール ルール
  • 指定されたモニタリング期間にヒットがない Allow ファイアウォール ルール(デフォルトは過去 6 週間)
  • 指定されたモニタリング期間にヒット数がある Deny のファイアウォール ルール(デフォルトでは過去 24 時間)

各カードには、概要のスナップショットのサンプルが含まれています。カードの上にあるフィルタ検索バーを使用すると、特定の VPC ネットワークの分析情報をフィルタできます。

次のセクションでは、これらの分析情報を表示する方法について説明します。

シャドウ ファイアウォール ルールの表示

シャドウ ファイアウォール ルールの詳細については、ファイアウォール インサイトの概要をご覧ください。

Console

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] ページに移動

  2. [シャドウルール] というカードで、[全リストを表示] をクリックします。

  3. すべてのシャドウルールを含む詳細ページが開きます。

  4. 各ルールの [分析情報] 列で、各シャドウルールをクリックして、分析情報の詳細を表示します。この詳細には、対象のシャドウルールと複数のシャドウルールが表示されるため、シャドウルールが冗長である理由を理解できます。詳細については、ファイアウォールのインサイトの概要にある、シャドウルールのをご覧ください。分析情報をマークするには、次のセクションをご覧ください。

分析情報を「閉じる」としてマーク

Console

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] ページに移動

  2. [シャドウルール] というカードで、[全リストを表示] をクリックします。

  3. すべてのシャドウルールを含む詳細ページが開きます。

  4. シャドウルールが意味をなさない場合は、ページの上部にある [閉じる] ボタンをクリックして、シャドウルールを閉じることができます。

  5. 分析情報を閉じると、復元しない限り、Cloud Console はその分析情報を表示しなくなります。分析情報を復元するには、次のセクションをご覧ください。

閉じた分析情報の復元

後で関連があると思われる分析情報を閉じた場合、次の手順で復元して Cloud Console に表示できます。

Console

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] ページに移動

  2. [シャドウルール] というカードで、[全リストを表示] をクリックします。

  3. すべてのシャドウルールを含む詳細ページが開きます。

  4. 閉じた分析情報を復元するには、ページの上部にある [閉じた分析情報] をクリックします。このアクションにより、[閉じた分析情報] ページが表示されます。

  5. [閉じた分析情報] ページで分析情報を復元するには、分析情報のチェックボックスを 1 つ以上選択してから、ページの上部にある [復元] をクリックします。

モニタリング対象期間中にヒットのない allow ルールの表示

モニタリング期間全体にわたるデータを正確に収集する方法については、ファイアウォール インサイトの概要をご覧ください。

Console

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] ページに移動

  2. [ヒットのない許可ルール] というカードで、[全リストを表示] をクリックします。

  3. 詳細ページが開き、過去 6 週間に使用されていないすべての allow ルールが表示されます。

  4. ファイアウォール ルールごとに、[ログ] 列の右側にある [View audit logs] をクリックして、ファイアウォール ロギングがファイアウォール ルールごとに有効または無効にされたかどうかを確認します。

  5. 構成と使用状況の詳細を表示するには、ファイアウォール ルールの名前をクリックします。

モニタリング対象期間中にヒットがある deny ルールの表示

モニタリング期間全体にわたるデータを正確に収集する方法については、ファイアウォール インサイトの概要をご覧ください。

Console

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] ページに移動

  2. [ヒットが含まれる拒否ルール] というカードで、[全リストを表示] をクリックします。

  3. 詳細ページが開き、指定されたモニタリング期間(デフォルトでは過去 24 時間)にヒットしたファイアウォール deny ルールがすべて表示されます。

  4. ファイアウォールによってドロップされたパケットを確認するには、[ヒットカウント] をクリックして Cloud Logging ページに移動し、詳細を確認します。

おすすめハブの使用

おすすめハブは、Google Cloud プロダクトとサービスを使用するにあたっての推奨事項を提供する、Recommender プロダクトの機能です。詳細については、おすすめハブのドキュメントをご覧ください。

おすすめハブの Cloud Console には、ファイアウォール ルールに関する次の分析情報が表示されます。

  • シャドウ ファイアウォール ルール

おすすめハブは、これらの推奨事項と、Identity and Access Management(IAM)や VM 適正化などの他のプロダクトに関する推奨事項を表示します。

シャドウ ファイアウォール ルールの表示

シャドウ ファイアウォール ルールの詳細については、ファイアウォール インサイトの概要をご覧ください。

Console

  1. Cloud Console で [おすすめハブ] に移動します。

    [おすすめハブ] に移動

  2. [ファイアウォール構成の簡素化] というカードで、[すべて表示] をクリックします。

  3. すべてのシャドウルールの一覧を示すページが表示されます。

  4. 分析情報をクリックすると、生成された理由を確認できます。分析情報の詳細には、対象のシャドウルールと複数のシャドウ ファイアウォール ルールが表示されるため、シャドウルールが冗長である理由を理解できます。詳細については、ファイアウォール インサイトの概要にある、シャドウルールのをご覧ください。

分析情報を「閉じる」としてマーク

Console

  1. Cloud Console で [おすすめハブ] に移動します。

    [おすすめハブ] に移動

    1. [ファイアウォール構成の簡素化] というカードで、[すべて表示] をクリックします。
    2. すべてのシャドウルールを含む詳細ページが開きます。
    3. シャドウルールの分析情報が有用でない場合は、閉じることができます。これを行う場合、分析情報をクリックし、パネルで [分析情報を閉じる] をクリックします。
    4. 分析情報を閉じると、復元しない限り、Cloud Console はその分析情報を表示しなくなります。分析情報を復元するには、次のセクションをご覧ください。

閉じた分析情報の復元

後で関連があると思われる分析情報を閉じた場合、次の手順で復元して Cloud Console に表示できます。

Console

  1. Cloud Console で [おすすめハブ] に移動します。

    [おすすめハブ] に移動

  2. ページの上部にある [履歴] をクリックします。

  3. [閉じる] タブをクリックします。このページには、プロジェクトの閉じられた推奨事項と分析情報が表示されます。

  4. 復元する分析情報の横にあるオプションを選択します。

  5. [復元] をクリックします。

ファイアウォール ルールの詳細ページの使用

このページの詳細については、VPC ネットワークのファイアウォール ルールを一覧表示するをご覧ください。

プロジェクトの分析情報の一覧表示

Console

  1. Cloud Console で、[ファイアウォール ルール] ページに移動します。

    [ファイアウォール ルール] ページに移動

  2. ファイアウォール ルールごとに、利用可能な分析情報の名前を [分析情報] 列に表示します。

  3. 分析情報の名前をクリックすると、その詳細が表示されます。次のセクションでは、各種類の分析情報の詳細を表示および解釈する方法について説明します。

過去 24 か月間にヒットのない allow ルールの表示

Console

  1. Cloud Console で、[ファイアウォール ルール] ページに移動します。

    [ファイアウォール ルール] ページに移動

  2. [前回のヒット] 列で、過去 24 か月に特定のファイアウォール ルールがいつ最後に使用されたか確認します。

ルールの使用状況の履歴グラフの表示

Console

  1. Cloud Console で、[ファイアウォール ルール] ページに移動します。

    [ファイアウォール ルール] ページに移動

  2. ファイアウォール ルール名をクリックします。

  3. そのページの [ヒットカウント モニタリング] セクションで、特定の期間におけるファイアウォール ヒット数を示す結果のグラフを表示します。タブを選択して、グラフ上に表示する期間を変更できます。

モニタリング期間にヒットした deny ルールの表示

Console

  1. Cloud Console で、[ファイアウォール ルール] ページに移動します。

    [ファイアウォール ルール] ページに移動

  2. [ヒットカウント] 列で、過去 24 か月間(デフォルト)に特定のファイアウォール ルールで使用された一意の接続数を表示します。

VM ネットワーク インターフェースの詳細ページの使用

VM の [ネットワーク インターフェースの詳細] ページでファイアウォールの使用状況を表示します。

このページの詳細については、VM インスタンスのネットワーク インターフェースのファイアウォール ルールを一覧表示するをご覧ください。

過去 24 時間にヒットしたルールの表示

Console

  1. Cloud Console で、Compute Engine VM インスタンスのページに移動します。

    Compute Engine VM インスタンスのページに移動

  2. VM を選択し、ページの右端にあるその他の操作メニュー をクリックします。

  3. メニューで、[ネットワークの詳細を表示] を選択します。

  4. [ファイアウォールとルートの詳細] セクションで、[ファイアウォール ルール] タブをクリックします。

  5. [ヒットカウント] 列で、特定のネットワーク インターフェースに関連付けられたすべてのファイアウォール ルールに対する、過去 24 か月間の allowdeny のトラフィックのヒット数を表示します。

gcloud コマンドまたは API を使用して分析情報を操作する

ファイアウォール インサイトは Recommender コマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

分析情報の一覧表示

gcloud

  • プロジェクトの分析情報を一覧表示するには、次のコマンドを入力します。

    gcloud beta recommender insights list --project=PROJECT_ID \
    --location=global --insight-type=google.compute.firewall.Insight \
    --filter=EXPRESSION --limit=LIMIT \
    --page-size=PAGE_SIZE --sort-by=SORT_BY \
    --format=json
    

    PROJECT_ID は、分析情報をリストするプロジェクト ID に置き換えます。

    location は常に global というロケーションを使用します。insight-type は常に google.compute.firewall.Insight という分析情報タイプを使用します。出力を JSON でフォーマットしない限り、コマンド出力は表形式です。

    次のフィールドは省略可能です。

    • EXPRESSION。リストする各リソースに、このブール値フィルタを適用します。式が True と評価された場合、そのアイテムがリストされます。フィルタ式の詳細と例については、$ gcloud topic filters を実行するか、gcloud トピックのドキュメントをご覧ください。
    • LIMIT。リストするリソースの最大数を指定します。リストするデフォルトのリソース数は無制限です。
    • PAGE_SIZE。ページごとにリストするリソースの最大数を指定するために使用します。デフォルトのページサイズがサービスによって決まっています。それ以外には、ページ設定は行われません。ページ設定は、FILTERLIMIT の前または後に適用されます。
    • SORT_BY。リソースで並べ替えるカンマ区切りのフィールドキー名のリストを指定するために使用します。デフォルトの順序は昇順です。降順を指定するには、フィールドの先頭に ~(チルダ)を付けます。

API

Google Cloud プロジェクトのすべての分析情報を取得するには、projects.locations.insightTypes.insights メソッドに GET リクエストを行います。

GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights

次の例は、このコマンドのレスポンス例を示しています。

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by   projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

分析情報の説明

このコマンドを使用して、分析情報の詳細をリストします。

gcloud

gcloud beta recommender insights describe INSIGHT_NAME \
  --project=PROJECT_NAME --location=global \
  --insight-type=google.compute.firewall.Insight

次の変数をネットワークの値に置き換えます。

  • INSIGHT_NAME: 説明する分析情報の名前
  • PROJECT_NAME: 分析情報をリストするプロジェクトの名前

location は常に global というロケーションを使用します。insight-type は常に google.compute.firewall.Insight という分析情報タイプを使用します。

API

分析情報の詳細を取得するには、projects.locations.insightTypes.insights メソッドに GET リクエストを行います。

GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
{

次の変数をネットワークの値に置き換えます。

  • PROJECT_ID: プロジェクト ID
  • LOCATION: 常に global というロケーションを使用
  • INSIGHT_TYPE_ID: 常に google.compute.firewall.Insight の値を使用
  • INSIGHT_ID: 分析情報の分析情報 ID

次のステップ

  • VPC ファイアウォール ランタイムの使用量を確認し、ファイアウォール ルールの構成をクリーンアップして最適化し、セキュリティ境界を強化するには、一般的なユースケースでの操作をご覧ください。