ファイアウォール インサイトを表示して理解する

ファイアウォール インサイトは、ファイアウォール ルールの使用パターンを理解するのに役立ちます。これらの分析情報は、ファイアウォール構成を簡素化して保護するために、ファイアウォール ルールの削除または変更を行う際の判断に役立ちます。

次の分析情報は、Google Cloud コンソールの [ファイアウォール インサイト] ページだけでなく、Google Cloud コンソールの他の場所でも確認できます。

  • シャドウ ファイアウォール ルール: 既存のルールと重複しているファイアウォール ルールを特定できます。
  • 制限が過度に緩いルール: ヒットがない、未使用属性がある、または制限が過度に緩い IP アドレスまたはポート範囲を含む allow ルールを特定できます。
  • 拒否ルール: 構成した観察期間にヒットした deny ルールの詳細を確認できます。

制限が過度に緩いルールと拒否ルールの分析情報は、ファイアウォール ルールのロギングが有効になっているときに収集されたデータに基づいて生成されます。

Google Cloud コンソールの [ファイアウォール インサイト] ページで、分析情報を表示する各カードには、分析情報の条件を満たすプロジェクトのすべてのルールが一覧表示されます。

結果を 1 つの VPC ネットワークに限定する場合は、ページの上部にあるフィルタバーでネットワークを選択します。

詳細については、指標と分析情報が表示される場所をご覧ください。

以下のセクションでは、各分析情報の表示方法について説明します。

必要なロールと権限

分析情報の表示に必要な権限を取得するには、プロジェクトに関する次の IAM ロールを付与してもらうよう管理者に依頼してください。

ロールの付与の詳細については、アクセスの管理をご覧ください。

この事前定義ロールには、分析情報を表示するために必要な recommender.computeFirewallInsights.list 権限が含まれています。

カスタムロールや他の事前定義ロールを使用して、この権限を取得することもできます。

シャドウ ファイアウォール ルールを表示する

この分析情報については、シャドウルールをご覧ください。

コンソール

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [シャドウルール] というカードで、[全リストを表示] をクリックします。Google Cloud コンソールに [シャドウルール] ページが表示されます。このページには VPC ネットワークが一覧表示されます。

    プロジェクト内の VPC ネットワークごとに、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、VPC ファイアウォール ルールの分析情報をルールの優先度とともに確認できます。各ルールの [分析情報] 列には、ルールがシャドウルールとして識別された理由の概要が表示されます。

  3. 省略可: フィルタリングを使用し、ルール名、優先度、ポリシー名でリスト内の結果を絞り込みます。

  4. シャドウルールとシャドウルールの詳細を表示するには、分析情報をクリックします。

gcloud と API

ファイアウォール インサイトは Recommender のコマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

ヒットのない allow ルールを表示する

この分析情報については、ヒットのない許可ルールをご覧ください。

コンソール

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [ヒットのない許可ルール] というカードで、[全リストを表示] をクリックします。Google Cloud コンソールに [ヒットのない許可ルール] ページが表示されます。このページでは、観察期間中にヒットのないすべての VPC ネットワークの一覧が表示されます。

    各ルールの [分析情報] 列には、観察期間中にファイアウォール ルールがヒットしなかったかどうかが表示されます。[今後のヒットの予測] 列には、同じ組織内のファイアウォール ルールに基づいた将来の使用状況の予測が表示されます。

  3. 省略可: フィルタリングを使用し、ルール名、優先度、ポリシー名でリスト内の結果を絞り込みます。

  4. リスト内のルールに対して、必要に応じて次のいずれかを行います。

    • ルールの [ファイアウォール ルールの詳細] ページを表示するには、ルールの名前をクリックします。
    • ルールのロギングを表示するには、[監査ログを表示] をクリックします。
    • 予測の詳細を表示するには、[分析情報] 列のリンクをクリックします。[分析情報の詳細] ペインが表示されます。このペインには、ルールの主な属性が表示されます。また、プロジェクト内で類似の属性を含む他のルールについても表示されます。

gcloud と API

ファイアウォール インサイトは Recommender のコマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

適応型分析に基づいて廃止された allow ルールを表示する

使用パターンと適応型分析に基づいて、アクティブになる可能性が低い allow ルールを表示できます。

この分析情報については、適応型分析に基づいて廃止された許可ルールをご覧ください。

コンソール

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [ヒットのない許可ルール(適応分析)] というカードで、[全リストを表示] をクリックします。[ヒットのない許可ルール(適応分析)] ページが開きます。このページには、使用されなくなった可能性の高いルールがあるすべての VPC ネットワークが一覧表示されます。

    各ルールの [分析情報] 列には、ルールヒット数の履歴の適応型分析に基づいて、ファイアウォール ルールがアクティブでなくなったかどうかが表示されます。

  3. 省略可: フィルタリングを使用し、ルール名、優先度、ポリシー名でリスト内の結果を絞り込みます。

  4. リスト内のルールに対して、必要に応じて次のいずれかを行います。

    • ルールの [ファイアウォール ルールの詳細] ページを表示するには、ルールの名前をクリックします。
    • ルールのロギングを表示するには、[監査ログを表示] をクリックします。
    • 予測の詳細を表示するには、[分析情報] 列のリンクをクリックします。

    [分析情報の詳細] ページには、ルールの主な属性が表示されます。[適応分析] セクションでは、ルールが最後にヒットした日付と、ルールがアクティブでなくなるまでの 1 日の平均ヒット数を確認できます。

  5. [分析情報の詳細] ページを閉じるには、[キャンセル] をクリックします。

gcloud と API

ファイアウォール インサイトは Recommender のコマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

未使用の属性を含む allow ルールを表示する

この分析情報については、未使用の属性を含む許可ルールをご覧ください。

コンソール

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [未使用の属性を含む許可ルール] というカードで、[全リストを表示] をクリックします。これにより、Google Cloud コンソールに [未使用の属性を含む許可ルール] ページが表示されます。このページでは、観察期間中に属性が使用されていなかったルールの VPC ネットワークがすべて表示されます。

    各ルールの [分析情報] 列には、観察期間中に使用されていなかった属性の数が表示されます。

  3. 省略可: フィルタリングを使用し、ルール名、優先度、ポリシー名でリスト内の結果を絞り込みます。

  4. リスト内の VPC ネットワークに対して、必要に応じて次のいずれかを行います。

    • ルールの [ファイアウォール ルールの詳細] ページを表示するには、ルールの名前をクリックします。
    • ルールのロギングを表示するには、[監査ログを表示] をクリックします。
    • 予測の詳細を表示するには、予測リンクをクリックします。[分析情報の詳細] ペインが表示されます。このペインには、ルールの主な属性が表示されます。また、プロジェクト内で類似の属性を含む他のルールについても表示されます。

gcloud と API

ファイアウォール インサイトは Recommender のコマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

制限が過度に緩い IP アドレスまたはポート範囲を含む allow ルールを表示する

この分析情報については、制限が過度に緩い IP アドレスまたはポート範囲を含む許可ルールをご覧ください。

プロジェクトに、ロードバランサのヘルスチェックや他の Google Cloud 機能のために特定の IP アドレス ブロックへのアクセスを許可するファイアウォール ルールが存在する場合があります。これらの IP アドレスはヒットしない可能性がありますが、ファイアウォール ルールから削除しないでください。これらの範囲の詳細については、Compute Engine のドキュメントをご覧ください。

コンソール

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [制限が過度に緩い IP アドレスまたはポート範囲を含む許可ルール] というカードで、[全リストを表示] をクリックします。観測期間中に確認された、制限が過度に緩い範囲を含むすべてのルールが Google Cloud コンソールに一覧表示されます。

  3. リスト内のルールに対して、必要に応じて次のいずれかを行います。

    • ルールの [ファイアウォール ルールの詳細] ページを表示するには、ルールの名前をクリックします。
    • ルールのロギングを表示するには、[監査ログを表示] をクリックします。
    • 範囲を絞り込む方法のヒントを表示するには、[分析情報] 列のリンクをクリックします。[分析情報の詳細] ペインが表示されます。このペインには、ルールの主な属性が表示されます。IP アドレスまたはポート範囲をより狭い範囲で定義することが提案されます。

gcloud と API

ファイアウォール インサイトは Recommender のコマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

ヒットが含まれる deny ルールを表示する

この分析情報については、ヒットが含まれる拒否ルールをご覧ください。

コンソール

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [ヒットが含まれる拒否ルール] というカードで、[全リストを表示] をクリックします。これにより、Google Cloud コンソールに [ヒットが含まれる拒否ルール] ページが表示されます。このページでは、観察期間中にヒットした deny ルールを持つ VPC ネットワークの一覧が表示されます。

  3. ファイアウォールによってドロップされたパケットを確認するには、[ヒットカウント] をクリックします。

gcloud と API

ファイアウォール インサイトは Recommender のコマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

VM ネットワーク インターフェースの詳細ページで分析情報を表示する

VM の [ネットワーク インターフェースの詳細] ページで、ファイアウォールの使用状況を表示します。

詳細については、VM インスタンスのネットワーク インターフェースのファイアウォール ルールを一覧表示するをご覧ください。

過去 24 時間にヒットしたルールを表示する

コンソール

  1. Google Cloud コンソールで、Compute Engine の [VM インスタンス] ページに移動します。

    Compute Engine の [VM インスタンス] に移動

  2. VM インターフェースの検索結果で VM を選択し、 [その他の操作] メニューをクリックします。

  3. メニューで、[ネットワークの詳細を表示] を選択します。

  4. [ファイアウォールとルートの詳細] ページで、[ファイアウォール ルール] タブをクリックします。

  5. [ヒットカウント] 列で、特定のネットワーク インターフェースに関連付けられたすべてのファイアウォール ルールに対する、過去 24 か月間の allowdeny のトラフィックのヒット数を表示します。

gcloud と API

ファイアウォール インサイトは Recommender のコマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

[ファイアウォール] ページで分析情報を表示する

[ファイアウォール] ページの詳細については、VPC ネットワークの VPC ファイアウォール ルールを一覧表示するをご覧ください。

プロジェクトの分析情報を一覧表示する

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. ファイアウォール ルールごとに、利用可能な分析情報の名前を [分析情報] 列に表示します。

  3. 分析情報の名前をクリックすると、その詳細が表示されます。

次のセクションでは、各種類の分析情報の詳細を表示および解釈する方法について説明します。

過去 24 か月間にヒットのない allow ルールを表示する

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. [前回のヒット] 列で、過去 24 か月に特定のファイアウォール ルールがいつ最後に使用されたか確認します。

gcloud と API

ファイアウォール インサイトは Recommender のコマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

ルールの使用状況の履歴グラフを表示する

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. ファイアウォール ルール名をクリックします。

  3. そのページの [ヒットカウント モニタリング] セクションで、特定の期間におけるファイアウォール ヒット数を示すグラフを表示します。ヒットカウントのモニタリング グラフの期間を選択できます。

gcloud と API

ファイアウォール インサイトは Recommender のコマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

観察期間にヒットした deny ルールを表示する

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. [ヒットカウント] 列で、過去 24 か月間(デフォルト)に特定のファイアウォール ルールで使用された一意の接続数を表示します。

gcloud と API

ファイアウォール インサイトは Recommender のコマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

次のステップ