ファイアウォール インサイトの使用

このページでは、ファイアウォール インサイトの使用方法について説明します。ファイアウォール インサイトは、ファイアウォール ルールに関する分析情報、推奨事項、指標へのアクセスを提供します。この情報は、Google Cloud Console の [ファイアウォールのインサイト] ページ、および Cloud Console のいくつかの場所で確認できます。Recommender API または gcloud コマンドライン ツールを使用してデータを取得することもできます。

利用可能なインサイトの概要については、ファイアウォール インサイトの概要をご覧ください。

ファイアウォールの使用状況の指標の一覧については、指標の表示をご覧ください。

始める前に

ファイアウォール インサイトを使用する前に、プロジェクトを選択し、必要な設定タスクを完了する必要があります。一部の機能の前提条件は、他の機能の前提条件とは異なります。詳しくは、次の表をご覧ください。

タスク すべての指標 シャドウルールの分析情報 制限が緩すぎるルールの分析情報(プレビュー ヒットが含まれる拒否ルール
Firewall Insights API を有効にする
ファイアウォール ルールロギングを有効にする
Recommender API を有効にする
このタイプのインサイトを有効にする
モニタリング期間を構成する

以降のセクションで、これらの各要素について説明します。

プロジェクトの選択

ファイアウォール インサイトを使用して前提条件またはその他のアクションを実行する前に、Google Cloud プロジェクトを作成または選択することをおすすめします。次の操作を行います。

  1. Google Cloud Console でプロジェクト セレクタ ページに移動します。

    プロジェクト セレクタに移動

  2. Google Cloud プロジェクトを選択または作成します。

  3. Cloud プロジェクトに対して課金が有効になっていることを確認します。

Firewall Insights API を有効にする

ファイアウォール インサイトを使用してタスクを実行する前に、Firewall Insights API を有効にする必要があります。次の操作を行います。 または、API を有効にするで説明されているように、Cloud Console API ライブラリを使用することもできます。

Console

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [Firewall Insights API] で [有効にする] をクリックします。

ファイアウォール ルールロギングを有効にする

次のいずれかを表示するには、ファイアウォール ルール ロギングを有効にする必要があります。

  • ファイアウォール ルールに関する指標
  • 制限が緩すぎるルールまたは deny ルールに関する分析情報これらの分析情報は、まとめてログベースの指標と呼ばれます。

制限の緩すぎるルールは現在プレビュー中です。

ファイアウォール インサイトは、ロギングが有効になっているルールに対してのみ、指標とログベースの分析情報を生成します。詳細については、ファイアウォール ルールロギングの概要をご覧ください。

シャドウルールや制限が緩すぎるルールの分析情報を有効にする

ファイアウォール インサイトは、ファイアウォール インサイトのページでこれらの機能を明示的に有効にしない限り、シャドウルールや過度に緩いルールのインサイトを生成しません。制限の緩すぎるルールの分析情報は現在プレビュー中です。

いずれかの機能を有効にすると、生成された分析情報が表示されるまでに最大 24 時間ほどかかることがあります。機械学習の予測が表示されるまでに 1 週間かかる場合があります。

Console

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [構成] をクリックします。

  3. [有効化] をクリックします。

  4. 必要に応じて、次のいずれかまたは両方のスライダーを [有効] または [無効] に移動します。

    • シャドウルールの分析情報

    • 制限が緩すぎるルールの分析情報

Recommender API の有効化

次のいずれかを行う場合は、Recommender API を有効にする必要があります。

  • シャドウルールの分析情報を使用する
  • 制限が緩すぎるルールの分析情報を使用する(プレビュー
  • データを取得するには、API 呼び出しを実行するか、gcloud コマンドライン ツールを使用します

Console

  1. Cloud Console で、[API へのアクセスを有効にする] ページに移動します。

    API へのアクセスを有効にする

  2. 正しいプロジェクトが選択されていることを確認してから、[次へ] をクリックします。

  3. [有効にする] をクリックします。

gcloud

次のコマンドを実行します。

gcloud services enable recommender.googleapis.com

モニタリング期間の構成

一部の分析情報では、観察期間(分析情報がカバーする期間)を構成できます。これは、制限の緩すぎるルールと deny ルールのインサイトに対して行うことができます。制限が緩すぎるルールは、現在プレビュー中です。

たとえば、deny ルールの分析情報の観察期間を 2 か月に設定したとします。この場合、ヒットが含まれる deny ルールのリストを確認すると、ファイアウォール インサイトには、過去 2 か月間のある時点でヒットしたルールのみが表示されます。後で観測期間を 1 か月に変更したとします。この場合、ファイアウォール インサイトでの分析期間が短くなるため、識別されるルールの数が異なります。

シャドウルールにはモニタリング期間はありません。シャドウルールの分析は、1 つの時点で 24 時間ごとに行われます。

Console

モニタリング期間を構成するには:

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [構成] をクリックします。

  3. [モニタリング期間] をクリックします。

  4. 必要に応じて、[観察期間] プルダウン リストを次のそれぞれの時間に設定します。

    • 制限が緩すぎるルールの分析情報

    • 拒否ルールの分析情報

ファイアウォール インサイトのランディング ページを使用する

Cloud Console の [ファイアウォールのインサイト] ランディング ページには、次のようなすべての分析情報のカードが表示されます。

  • シャドウ ファイアウォール ルール
  • 次のものを含む、制限が過度に緩いルール(プレビュー)。
    • ヒットなしの Allow ルール
    • 未使用の属性を含む Allow ルール
    • 制限が過度に緩い IP アドレスまたはポート範囲を含む Allow ルールの許可
  • ヒットなしの Deny ルール

各カードには、分析情報の条件を満たすプロジェクト内のすべてのルールのリストが含まれます。結果を 1 つの VPC ネットワークのみに制限する場合は、ページの上部にあるフィルタバーを使用してネットワークを選択します。

次のセクションでは、各インサイトを表示する方法について説明します。

シャドウ対象のファイアウォール ルールの表示

このインサイトについては、ファイアウォール インサイトの概要のシャドウルールをご覧ください。

Console

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [シャドウルール] というカードで、[全リストを表示] をクリックします。それに応じて、Cloud Console には [シャドウルール] ページが表示され、シャドウされているすべてのルールが一覧表示されます。各ルールの [分析情報] 列には、ルールがシャドウルールとして識別された理由の概要が表示されます。

  3. シャドウルールとシャドウルールの詳細を表示するには、分析情報をクリックします。

ヒットのない allow ルールの表示

この分析情報については、ファイアウォールのインサイトの概要のヒットのない許可ルールをご覧ください。

Console

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [ヒットのない許可ルール] というカードで、[全リストを表示] をクリックします。 これにより、Cloud Console に [ヒットのない許可ルール] ページが表示されます。このページには、モニタリング期間中にヒットしなかったすべてのルールが一覧表示されます。各ルールの [分析情報] 列には、ルールが将来ヒットする可能性があるかどうかの予測が表示されます。

  3. リスト内のルールについて、必要に応じて次のいずれかを行います。

    • ルールの [ファイアウォール ルールの詳細] ページを表示するには、ルールの名前をクリックします。
    • ルールのロギングを表示するには、[監査ログを表示] リンクをクリックします。
    • 予測の詳細を表示するには、予測リンクをクリックします。レスポンスとして [分析情報の詳細] パネルが表示されます。このパネルでは、ルールの主な属性について説明します。また、プロジェクト内の他の類似のルールの属性と、そのヒット数についても説明します。

未使用の属性を含む allow ルールの表示

この分析情報については、ファイアウォールのインサイトの概要の未使用の属性を持つルールを許可するをご覧ください。

Console

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [属性の未使用のルールを許可する] というカードで、[全リストを表示] をクリックします。これに応じて、Cloud Console に [未使用の属性を含むルールを許可する] ページが表示されます。このページには、モニタリング期間中に未使用の属性が指定されたすべてのルールが一覧表示されます。各ルールの [分析情報] 列には、属性が将来使用される可能性が高いかどうかが表示されます。

  3. リスト内のルールについて、必要に応じて次のいずれかを行います。

    • ルールの [ファイアウォール ルールの詳細] ページを表示するには、ルールの名前をクリックします。
    • ルールのロギングを表示するには、[監査ログを表示] リンクをクリックします。
    • 予測の詳細を表示するには、予測リンクをクリックします。レスポンスとして [分析情報の詳細] パネルが表示されます。このパネルでは、ルールの主な属性について説明します。また、プロジェクト内で類似の属性を持つ他のルールについても説明します。

制限が過度に緩い IP アドレスまたはポート範囲を含む allow ルールの許可

この分析情報については、ファイアウォールのインサイトの概要の IP アドレスまたはポート範囲が過度に許容されるルールを許可するをご覧ください。

プロジェクトに、ロードバランサのヘルスチェックやその他の Google Cloud 機能のために特定の IP アドレス ブロックからのアクセスを許可するファイアウォール ルールが含まれている可能性があるので注意してください。これらの IP アドレスはヒットしない可能性がありますが、ファイアウォール ルールから削除しないでください。これらの範囲の詳細については、Compute Engine のドキュメントをご覧ください。

Console

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [制限が過度に緩い IP アドレスまたはポート範囲を含むルールの許可] というカードで、[全リストを表示] をクリックします。これにより、Cloud Console には、モニタリング期間中に制限が緩すぎる範囲を持つすべてのルールのリストが表示されます。

  3. リスト内のルールについて、必要に応じて次のいずれかを行います。

    • ルールの [ファイアウォール ルールの詳細] ページを表示するには、ルールの名前をクリックします。
    • ルールのロギングを表示するには、[監査ログを表示] リンクをクリックします。
    • 範囲を絞り込む方法についての提案を確認するには、[Insight] 列のリンクをクリックします。レスポンスとして [分析情報の詳細] パネルが表示されます。このパネルでは、ルールの主な属性について説明します。より限定的に定義された IP アドレスまたはポート範囲が提案されます。

ヒットが含まれる deny ルールの表示

この分析情報については、ファイアウォールのインサイトの概要のヒットが含まれる拒否ルールをご覧ください。

Console

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [ヒットが含まれる拒否ルール] というカードで、[全リストを表示] をクリックします。レスポンスとして、Cloud Console に [ヒットが含まれる拒否ルール] ページが表示されます。このページには、モニタリング期間中にヒットしたすべての deny ルールが一覧表示されます。

  3. ファイアウォールによってドロップされたパケットを確認するには、[ヒットカウント] をクリックします。

分析情報を「閉じる」としてマーク

有用でない分析情報や、その他の理由で非表示にした分析情報は、閉じることができます。分析情報を閉じると、復元しない限り、Cloud Console はその分析情報を表示しなくなります。

Console

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. 該当するカードを見つけて、[全リストを表示] をクリックします。

  3. 閉じるルールを選択して、[閉じる] をクリックします。

閉じた分析情報の復元

後で関連があると思われる分析情報を閉じた場合、その分析情報は復元して Cloud Console に表示できます。

Console

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [履歴を閉じる] をクリックします。それに応じて、Cloud Console に [閉じた分析情報] ページが表示されます。

  3. 復元する分析情報を選択し、[復元] をクリックします。

分析情報のエクスポート

必要に応じて、分析情報を JSON 形式でエクスポートできます。

次のいずれかの理由で、インサイトをエクスポートすることをおすすめします。

  • 別のシステムにデータをインポートする必要があります。
  • オフラインでデータにアクセスしたい。
  • ファイアウォール インサイトを無効にするが、以前に生成された分析情報には引き続きアクセスしたい。

Console

  1. Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [名前を付けて保存] をクリックします。

  3. 表示される手順に沿ってインサイトの形式を選択し、ダウンロードします。

おすすめハブの使用

おすすめハブは、Google Cloud プロダクトとサービスを使用するにあたっての推奨事項を提供する、Recommender プロダクトの機能です。

おすすめハブの Cloud Console には、次のファイアウォール ルールの分析情報が表示されます。

  • シャドウ ファイアウォール ルール
  • 次のものを含む、制限が過度に緩いルール(プレビュー)。
    • ヒットなしの Allow ルール
    • 未使用の属性を含む Allow ルール
    • 制限が過度に緩い IP アドレスまたはポート範囲を含む Allow ルールの許可

おすすめハブは、これらの推奨事項と、Identity and Access Management(IAM)や VM 適正化などの他のプロダクトに関する推奨事項を表示します。

おすすめハブの概要については、おすすめハブのスタートガイドをご覧ください。

シャドウ対象のファイアウォール ルールの表示

このインサイトについては、ファイアウォール インサイトの概要のシャドウルールをご覧ください。

Console

  1. Cloud Console で [おすすめハブ] に移動します。

    推奨事項ハブに移動

  2. [ファイアウォール構成の簡素化] というカードで、[すべて表示] をクリックします。推奨事項ハブは、シャドウルールを一覧表示するページを表示します。各ルールの [分析情報] 列には、ルールがシャドウルールとして識別された理由の概要が表示されます。

  3. シャドウルールとシャドウルールの詳細を表示するには、分析情報をクリックします。

制限が緩すぎるルールの分析情報の表示

制限が過度に緩いルールのインサイトについては、ファイアウォール インサイトの概要で次のセクションをご覧ください。

Console

  1. Cloud Console で [おすすめハブ] に移動します。

    推奨事項ハブに移動

  2. [未使用のファイアウォール ルールの確認] というカードで、[すべて表示] をクリックします。

  3. ページの上部にあるタブを使用して、インサイトの種類を切り替えます。

    ルールの分析情報をクリックすると、そのルールがリストに含まれている理由を確認できます。分析情報の詳細には、ルールのヒット数と属性に関する詳細情報が表示されます。

分析情報を「閉じる」としてマーク

有用でない分析情報や、その他の理由で非表示にした分析情報は、閉じることができます。分析情報を閉じると、復元しない限り、Cloud Console はその分析情報を表示しなくなります。

Console

  1. Cloud Console で [おすすめハブ] に移動します。

    推奨事項ハブに移動

  2. 適切なカードを見つけて [すべて表示] をクリックします。

  3. 制限が過度に緩いルールに関する分析情報を閉じる場合は、ページ上部のタブを使用して適切な分析情報カテゴリに移動します。

  4. 閉じた分析情報を選択して [閉じる] をクリックします。

  5. 確認ダイアログで、[はい、割引します] をクリックします。

閉じた分析情報の復元

後で関連があると思われる分析情報を閉じた場合、次の手順で復元して Cloud Console に表示できます。

Console

  1. Cloud Console で [おすすめハブ] に移動します。

    推奨事項ハブに移動

  2. 適切なカードを見つけて [すべて表示] をクリックします。

  3. 制限が過度に緩いルールに関する分析情報を閉じる場合は、ページ上部のタブを使用して適切な分析情報カテゴリに移動します。

  4. ページの上部にある [履歴] をクリックします。

  5. [閉じる] タブをクリックします。このページには、プロジェクトの閉じられた推奨事項と分析情報が表示されます。

  6. 復元する分析情報を選択します。

  7. [復元] をクリックします。

  8. 確認ダイアログで [復元] をクリックします。

ファイアウォールの詳細ページの使用

このページの詳細については、VPC ネットワークのファイアウォール ルールを一覧表示するをご覧ください。

プロジェクトの分析情報の一覧表示

Console

  1. Cloud Console で、[ファイアウォール] ページに移動します。

    [ファイアウォール] に移動

  2. ファイアウォール ルールごとに、利用可能な分析情報の名前を [分析情報] 列に表示します。

  3. 分析情報の名前をクリックすると、その詳細が表示されます。次のセクションでは、各種類の分析情報の詳細を表示および解釈する方法について説明します。

過去 24 か月間にヒットのない allow ルールの表示

Console

  1. Cloud Console で、[ファイアウォール] ページに移動します。

    [ファイアウォール] に移動

  2. [前回のヒット] 列で、過去 24 か月に特定のファイアウォール ルールがいつ最後に使用されたか確認します。

ルールの使用状況の履歴グラフの表示

Console

  1. Cloud Console で、[ファイアウォール] ページに移動します。

    [ファイアウォール] に移動

  2. ファイアウォール ルール名をクリックします。

  3. そのページの [ヒットカウント モニタリング] セクションで、特定の期間におけるファイアウォール ヒット数を示す結果のグラフを表示します。タブを選択して、グラフ上に表示する期間を変更できます。

モニタリング期間にヒットした deny ルールの表示

Console

  1. Cloud Console で、[ファイアウォール] ページに移動します。

    [ファイアウォール] に移動

  2. [ヒットカウント] 列で、過去 24 か月間(デフォルト)に特定のファイアウォール ルールで使用された一意の接続数を表示します。

VM ネットワーク インターフェースの詳細ページの使用

VM の [ネットワーク インターフェースの詳細] ページでファイアウォールの使用状況を表示します。

このページの詳細については、VM インスタンスのネットワーク インターフェースのファイアウォール ルールを一覧表示するをご覧ください。

過去 24 時間にヒットしたルールの表示

Console

  1. Cloud Console で、Compute Engine VM インスタンスのページに移動します。

    Compute Engine VM インスタンスに移動

  2. VM を選択し、ページの右端にあるその他の操作メニュー をクリックします。

  3. メニューで、[ネットワークの詳細を表示] を選択します。

  4. [ファイアウォールとルートの詳細] セクションで、[ファイアウォール ルール] タブをクリックします。

  5. [ヒットカウント] 列で、特定のネットワーク インターフェースに関連付けられたすべてのファイアウォール ルールに対する、過去 24 か月間の allowdeny のトラフィックのヒット数を表示します。

gcloud コマンドまたは API を使用して分析情報を操作する

ファイアウォール インサイトは Recommender コマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

分析情報の一覧表示

gcloud

プロジェクトの分析情報を一覧表示するには、次のコマンドを実行します。

gcloud beta recommender insights list \
    --project=PROJECT_ID \
    --location=global \
    --insight-type=google.compute.firewall.Insight \
    --filter=EXPRESSION \
    --limit=LIMIT \
    --page-size=PAGE_SIZE \
    --sort-by=SORT_BY \
    --format=json

PROJECT_ID は、分析情報をリストするプロジェクト ID に置き換えます。

location フラグは、常に global というロケーションを使用します。insight-type フラグは、常に google.compute.firewall.Insight という分析情報タイプを使用します。出力を JSON でフォーマットしない限り、コマンド出力は表形式です。

次のフィールドは省略可能です。

  • EXPRESSION: リストする各リソースに、このブール値フィルタを適用します。

    式が True と評価された場合、そのアイテムがリストされます。フィルタ式の詳細と例については、$ gcloud topic filters を実行するか、gcloud topic filters のドキュメントをご覧ください。

  • LIMIT: 一覧表示するリソースの最大数。一覧表示するリソースのデフォルト数は無制限です。

  • PAGE_SIZE: ページごとに一覧表示するリソースの最大数。

    デフォルトのページサイズがサービスによって決まっています。それ以外には、ページ設定は行われません。ページ設定は、FILTERLIMIT の前または後に適用されます。

  • SORT_BY: リソースで並べ替えるカンマ区切りのフィールドキー名のリスト。

    デフォルトの順序は昇順です。降順を指定するには、フィールドの先頭に ~(チルダ)を付けます。

API

Google Cloud プロジェクトのすべての分析情報を取得するには、projects.locations.insightTypes.insights メソッドに GET リクエストを行います。

GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights

次の例は、このコマンドのレスポンス例を示しています。

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by   projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

分析情報の説明

gcloud

特定のファイアウォール ルールに関する分析情報の詳細を一覧表示するには、次のコマンドを実行します。

gcloud beta recommender insights describe INSIGHT_ID \
    --project=PROJECT_NAME \
    --location=global \
    --insight-type=google.compute.firewall.Insight

次の変数をネットワークの値に置き換えます。

  • INSIGHT_ID: 説明する分析情報の名前
  • PROJECT_NAME: 分析情報をリストするプロジェクトの名前

location フラグは、常に global というロケーションを使用します。insight-type フラグは、常に google.compute.firewall.Insight という分析情報タイプを使用します。

API

分析情報の詳細を取得するには、projects.locations.insightTypes.insights メソッドに GET リクエストを行います。

GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
{

次の変数をネットワークの値に置き換えます。

  • PROJECT_ID: プロジェクト ID
  • LOCATION: 常に global というロケーションを使用
  • INSIGHT_TYPE_ID: 常に google.compute.firewall.Insight の値を使用
  • INSIGHT_ID: 分析情報の分析情報 ID

次のステップ

  • VPC ファイアウォール ランタイムの使用量を確認し、ファイアウォール ルールの構成をクリーンアップして最適化し、セキュリティ境界を強化するには、一般的なユースケースでの操作をご覧ください。