Como usar o Firewall Insights

Esta página descreve como usar o Firewall Insights, que fornece acesso a insights, recomendações e métricas sobre suas regras de firewall. É possível ver essas informações na página Firewall Insights no Console do Google Cloud e em vários outros lugares no Console do Cloud. Também é possível receber dados usando a API Recommender ou a ferramenta de linha de comando gcloud.

Para uma visão geral dos insights disponíveis, consulte a Visão geral do Firewall Insights.

Para uma lista das métricas de uso do firewall, consulte Como visualizar métricas.

Antes de começar

Antes de usar o Firewall Insights, é necessário selecionar um projeto e concluir as tarefas de configuração necessárias. Os pré-requisitos de alguns recursos são diferentes dos outros. Veja mais detalhes na tabela a seguir:

Tarefa Todas as métricas Insights de regras ofuscadas Insights de regra excessivamente permissivos (visualização) Negar regras com ocorrências
Ativar a API Firewall Insights
Ativar a geração de registros de regras de firewall
Ative a API Recommender
Ativar esse tipo de insight
Configurar um período de observação

As seções a seguir descrevem cada uma dessas tarefas.

Selecionar um projeto

Antes de concluir todos os pré-requisitos ou executar outras ações com o Firewall Insights, recomendamos criar ou selecionar um projeto do Google Cloud. siga estas etapas:

  1. No Console do Google Cloud, acesse a página do seletor de projetos.

    Acessar o Seletor de projetos

  2. Selecione ou crie um projeto do Google Cloud.

  3. Verifique se o faturamento está ativado para seu projeto em nuvem.

Como habilitar a Firewall Insights API

Antes de executar qualquer tarefa usando o Firewall Insights, você deve ativar a Firewall Insights API. siga estas etapas: Outra opção é usar a biblioteca de API Console do Cloud, conforme descrito em Como ativar APIs.

Console

  1. No Console do Google Cloud, acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. Em Firewall Insights API, clique em Ativar.

Como ativar a geração de registros de regras de firewall

Se você quiser ver qualquer um dos itens a seguir, ative a geração de registros de regras de firewall:

  • Métricas sobre regras de firewall
  • Insights sobre regras excessivamente permissivas ou regras deny; Esses insights são conhecidos coletivamente como insights com base em registros.

As regras excessivamente permissivas estão atualmente em visualização.

O Firewall Insights produz métricas e insights baseados em registros apenas para as regras que têm a geração de registros ativada. Para mais informações, consulte a Visão geral do Registro de regras de firewall.

Ativar insights de regras ocultas e/ou muito permissivas

O Firewall Insights não gera regras ocultas ou insights de regras excessivamente permissivos, a menos que você ative ativamente esses recursos na página Firewall Insights. No momento, insights de regra excessivamente permissivos estão em visualização.

Depois de ativar qualquer um dos recursos, talvez seja necessário aguardar até 24 horas para ver os insights gerados. Talvez seja necessário aguardar uma semana para ver as previsões de machine learning.

Console

  1. No Console do Google Cloud, acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. Clique em Configuração.

  3. Clique em Ativação.

  4. Conforme apropriado, mova o controle deslizante para Enabled ou Disabled em um dos itens a seguir (ou ambos):

    • Insights de regras ofuscadas

    • Insights de regras excessivamente permissivos

Como ativar a API Recommender

Ative a API Recommender se quiser fazer uma das seguintes ações:

  • Usar insights de regra sombreada
  • Use insights de regra excessivamente permissivos (visualização)
  • Recuperar dados fazendo chamadas de API ou usando a ferramenta de linha de comando gcloud

Console

  1. No Console do Cloud, acesse a página Ativar acesso à API.

    Ativar o acesso à API

  2. Verifique se o projeto correto está selecionado e clique em Next.

  3. Clique em Enable.

gcloud

Execute este comando:

gcloud services enable recommender.googleapis.com

Como configurar períodos de observação

Para alguns insights, é possível configurar o período de observação, ou seja, o período de tempo coberto pelo insight. É possível fazer isso para insights de regras excessivamente permissivos e deny de regras. As regras excessivamente permissivas estão disponíveis na visualização.

Por exemplo, suponha que você defina o período de observação para insights de regra deny como dois meses. Nesse caso, quando você analisar a lista de regras deny com ocorrências, o Firewall Insights mostrará apenas as regras que tiveram ocorrências em algum momento dos últimos dois meses. Suponha que você mude o período de observação para um mês. Nesse caso, um número diferente de regras pode ser identificado, porque o Firewall Insights estaria analisando um período menor.

As regras sombreadas não têm um período de observação. A análise de regra oculta ocorre em um único momento a cada 24 horas.

Console

Para configurar um período de observação:

  1. No Console do Google Cloud, acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. Clique em Configuração.

  3. Clique em Período de observação.

  4. Se for o caso, defina a lista suspensa Período de observação para o momento adequado para cada um dos seguintes itens:

    • Insights de regras excessivamente permissivos

    • Insights de regras de negação

Como usar a página de destino do Firewall Insights

A página de destino do Firewall Insights no Console do Cloud fornece cartões para todos os insights, incluindo:

  • Regras de firewall ocultas
  • Regras excessivamente permissivas (visualização), incluindo cada uma das seguintes opções:
    • Regras Allow sem ocorrências
    • Regras Allow com atributos não utilizados
    • Allow regras com intervalos de portas ou endereços IP excessivamente permissivos
  • Regras Deny sem ocorrências

Cada cartão inclui uma lista de todas as regras no seu projeto que atendem aos critérios de insight. Se você quiser limitar os resultados a uma rede VPC apenas, use a barra de filtro na parte superior da página para selecionar uma rede.

As seções a seguir descrevem como visualizar cada insight.

Como visualizar regras de firewall ocultas

Para saber mais sobre esse insight, consulte Regras sombreadas na visão geral do Firewall Insights.

Console

  1. No Console do Cloud, acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. No card Regras ocultas, clique em Ver lista completa. Em resposta, o Console do Cloud exibe a página Regras sombreadas, que lista todas as regras identificadas como sombreadas. A coluna Insight para cada regra fornece um resumo do motivo pelo qual a regra foi identificada como uma regra oculta.

  3. Para ver mais detalhes sobre a regra oculta e as regras que a ocultam, clique no insight.

Como ver regras allow sem ocorrências

Para saber mais sobre esse insight, consulte Permitir regras sem ocorrências na visão geral do Firewall Insights.

Console

  1. No Console do Cloud, acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. No cartão chamado Permitir regras sem ocorrência, clique em Ver lista completa. Em resposta, o Console do Cloud exibe a página Permitir regras sem ocorrências, que lista todas as regras que não tiveram ocorrências durante o período de observação. A coluna Insight de cada regra mostra uma previsão da probabilidade de uma regra ser atingida no futuro.

  3. Para qualquer regra na lista, siga um destes procedimentos:

    • Para visualizar a página Detalhes das regras de firewall da regra, clique no nome dela.
    • Para ver os registros da regra, clique no link Ver registros de auditoria.
    • Para ver detalhes sobre a previsão, clique no link dela. Em resposta, o painel Detalhes do Insight é exibido. Neste painel, há uma descrição dos principais atributos da regra. Também descreve os atributos de outras regras semelhantes no projeto, juntamente com as contagens de hits.

Como visualizar regras allow com atributos não utilizados

Para saber mais sobre esse insight, consulte Permitir regras com atributos não utilizados na Visão geral do Firewall Insights.

Console

  1. No Console do Cloud, acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. No card Permitir regras com atributos não utilizados, clique em Ver lista completa. Em resposta, o Console do Cloud exibe a página Permitir regras com atributos não utilizados. Esta página lista todas as regras identificadas que tinham atributos não utilizados durante o período de observação. A coluna Insight de cada regra mostra uma previsão da probabilidade de o atributo ser usado no futuro.

  3. Para qualquer regra na lista, siga um destes procedimentos:

    • Para visualizar a página Detalhes das regras de firewall da regra, clique no nome dela.
    • Para ver os registros da regra, clique no link Ver registros de auditoria.
    • Para ver detalhes sobre a previsão, clique no link dela. Em resposta, o painel Detalhes do Insight é exibido. Neste painel, há uma descrição dos principais atributos da regra. Ele também descreve outras regras do projeto com atributos semelhantes.

Ver regras allow com intervalos de portas ou endereços IP excessivamente permissivos

Para saber mais sobre esse insight, consulte Permitir regras com intervalos de portas ou endereços IP excessivamente permissivos na visão geral do Firewall Insights.

Tenha em mente que o projeto pode ter regras de firewall que permitem o acesso de determinados blocos de endereços IP para verificações de integridade do balanceador de carga ou para outra funcionalidade do Google Cloud. Esses endereços IP podem não ocorrer, mas não podem ser removidos das suas regras de firewall. Para mais informações sobre esses intervalos, consulte a documentação do Compute Engine.

Console

  1. No Console do Cloud, acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. No cartão chamado Permitir regras com endereços IP ou intervalos de portas excessivamente permissivos, clique em Ver lista completa. Em resposta, o Console do Cloud exibe uma lista de todas as regras que tinham intervalos muito permissivos durante o período de observação.

  3. Para qualquer regra na lista, siga um destes procedimentos:

    • Para visualizar a página Detalhes das regras de firewall de qualquer regra, clique no nome dela.
    • Para ver os registros da regra, clique no link Ver registros de auditoria.
    • Para ver sugestões sobre como restringir o intervalo, clique no link na coluna Insight. Em resposta, o painel Detalhes do Insight é exibido. Este painel descreve os principais atributos da regra. Ele sugere endereços IP ou intervalos de portas mais definidos que você pode usar.

Como visualizar regras deny com hits

Para saber mais sobre esse insight, consulte Negar regras com hits na visão geral do Firewall Insights.

Console

  1. No Console do Cloud, acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. No card chamado Regras de negação com ocorrências, clique em Ver lista completa. Em resposta, o Console do Cloud exibe a página Regras de negação com ocorrências, que lista todas as regras de deny que tiveram ocorrências durante o período de observação.

  3. Para revisar os pacotes descartados por um firewall, clique em Contagem de ocorrências.

Como marcar um insight como descartado

Se algum insight não for significativo ou se você quiser ocultá-lo por qualquer outro motivo, poderá descartá-lo. Depois que você descartar um insight, o Console do Cloud não o exibirá para você ou outros usuários, a menos que você o restaure.

Console

  1. No Console do Cloud, acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. Encontre o card apropriado e clique em Ver lista completa.

  3. Selecione as regras que você quer dispensar e clique em Dispensar.

Como restaurar um insight descartado

Se você descartou um insight que mais tarde considera relevante, você ou outro usuário pode restaurá-lo e torná-lo visível no Console do Cloud.

Console

  1. No Console do Cloud, acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. Clique em Ignorar histórico. Em resposta, o Console do Cloud exibe a página Insights descartados.

  3. Selecione os insights que você quer restaurar e clique em Restaurar.

Como exportar insights

Se necessário, é possível exportar insights no formato JSON.

Convém exportar insights por um dos seguintes motivos:

  • Você precisa importar os dados para outro sistema.
  • Você quer acessar os dados enquanto estiver off-line.
  • Você pretende desativar o Firewall Insights, mas quer manter o acesso aos insights gerados anteriormente.

Console

  1. No Console do Cloud, acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. Clique em Salvar como.

  3. Siga as instruções para escolher um formato para seus insights e fazer o download deles.

Como usar o Hub de recomendações

O Hub de recomendações é um recurso do produto Recomendador que fornece recomendações de uso para produtos e serviços do Google Cloud.

O Console do Cloud para o Hub de recomendações mostra os seguintes insights de regras de firewall:

  • Regras de firewall ocultas
  • Regras excessivamente permissivas (visualização), incluindo cada uma das seguintes opções:
    • Regras Allow sem ocorrências
    • Regras Allow com atributos não utilizados
    • Allow regras com intervalos de portas ou endereços IP excessivamente permissivos

O Hub de recomendações mostra essas insights com recomendações para outros produtos, como o Identity and Access Management (IAM) e VM Rightsizing.

Para informações gerais sobre o Hub de recomendações, consulte Primeiros passos com o Hub de recomendações.

Como visualizar regras de firewall ocultas

Para saber mais sobre esse insight, consulte Regras sombreadas na visão geral do Firewall Insights.

Console

  1. No Console do Cloud, acesse o Hub de recomendações.

    Acesse o Hub de recomendações

  2. No cartão Simplificar configuração do firewall, clique em Visualizar tudo. O Hub de recomendações exibe uma página que lista as regras ocultas. A coluna Insight para cada regra fornece um resumo do motivo pelo qual a regra foi identificada como uma regra oculta.

  3. Para ver mais detalhes sobre a regra oculta e as regras que a ocultam, clique no insight.

Como ver insights de regra excessivamente permissivos

Para saber mais sobre insights de regras excessivamente permissivas, consulte as seguintes seções na visão geral do Firewall Insights:

Console

  1. No Console do Cloud, acesse o Hub de recomendações.

    Acesse o Hub de recomendações

  2. No card chamado Regras de firewall excessivamente permissivas, clique em Ver tudo.

  3. Use as guias na parte superior da página para alternar entre os tipos de insight.

    Você pode clicar no insight de qualquer regra listada para entender por que ela foi incluída na lista. Os detalhes do insight mostram mais informações sobre a contagem de ocorrências e os atributos da regra.

Como marcar um insight como descartado

Se algum insight não for significativo ou se você quiser ocultá-lo por qualquer outro motivo, poderá descartá-lo. Depois que você descartar um insight, o Console do Cloud não o exibirá para você ou outros usuários, a menos que você o restaure.

Console

  1. No Console do Cloud, acesse o Hub de recomendações.

    Acesse o Hub de recomendações

  2. Encontre o card apropriado e clique em Ver tudo.

  3. Se você quiser descartar um insight sobre uma regra excessivamente permissiva, use as guias na parte superior da página para navegar até a categoria de insight apropriada.

  4. Selecione os insights que você quer descartar e clique em Descartar.

  5. Na caixa de diálogo de confirmação, clique em Yes, dismss.

Como restaurar um insight descartado

Se você descartou um insight que se mostrou relevante posteriormente, restaure-o ou torne-o visível no Console do Cloud seguindo as etapas abaixo.

Console

  1. No Console do Cloud, acesse o Hub de recomendações.

    Acesse o Hub de recomendações

  2. Encontre o card apropriado e clique em Ver tudo.

  3. Se você quiser descartar um insight sobre uma regra excessivamente permissiva, use as guias na parte superior da página para navegar até a categoria de insight apropriada.

  4. Na parte superior da página, clique em Histórico.

  5. Clique na guia Dispensados, que mostra recomendações e insights dispensados do projeto.

  6. Selecione os insights que você quer restaurar.

  7. Clique em Restaurar.

  8. Na caixa de diálogo de confirmação, clique em Restaurar.

Como usar a página de detalhes do firewall

Para mais informações sobre esta página, consulte Como listar regras de firewall para uma rede VPC.

Como listar insights para um projeto

Console

  1. No Console do Cloud, acesse a página Firewall.

    Acessar o Firewall

  2. Para cada regra de firewall, visualize o nome dos insights disponíveis na coluna Insights.

  3. Você pode clicar no nome de um insight para ver os detalhes. As seções a seguir descrevem como visualizar e interpretar os detalhes de cada tipo de insight.

Visualização de regras allow sem ocorrências nos últimos 24 meses

Console

  1. No Console do Cloud, acesse a página Firewall.

    Acessar o Firewall

  2. Na coluna Última ocorrência, revise a última vez que uma regra de firewall específica foi usada nos últimos 24 meses.

Como visualizar o gráfico do histórico de uso de uma regra

Console

  1. No Console do Cloud, acesse a página Firewall.

    Acessar o Firewall

  2. Clique no nome de uma regra de firewall.

  3. Na seção Monitoramento de contagem de ocorrências da página, veja o gráfico resultante que mostra a contagem de ocorrências do firewall em um determinado período. Você pode selecionar guias para diferentes períodos acima do gráfico.

Como visualizar regras deny com ocorrências em um período de observação

Console

  1. No Console do Cloud, acesse a página Firewall.

    Acessar o Firewall

  2. Na coluna Contagem de ocorrências, veja o número de conexões exclusivas usadas para uma determinada regra de firewall nos últimos 24 meses (padrão).

Como usar a página de detalhes da interface de rede da VM

Veja o uso do firewall na página Detalhes da interface de rede para uma VM.

Para mais informações sobre essa página, consulte Como listar regras de firewall para uma interface de rede de uma instância de VM.

Como visualizar regras com ocorrências nos últimos 24 meses

Console

  1. No Console do Cloud, acesse a página Instâncias de VM do Compute Engine:

    Acesse as instâncias de VM do Compute Engine

  2. Escolha uma VM e, na extremidade direita da página, clique no menu mais ações .

  3. No menu, selecione Exibir detalhes da rede.

  4. Na seção Detalhes do firewall e das rotas, clique na guia Regras de firewall.

  5. Na coluna Contagem de ocorrências, veja as contagens de ocorrências para o tráfego allow e deny nos últimos 24 meses de todas as regras de firewall associadas a uma interface de rede específica.

Como trabalhar com insights usando comandos gcloud ou a API

O Firewall Insights usa os comandos Recomendador. O Recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud.

Como listar informações

gcloud

Para listar insights de um projeto, execute o seguinte comando:

gcloud beta recommender insights list \
    --project=PROJECT_ID \
    --location=global \
    --insight-type=google.compute.firewall.Insight \
    --filter=EXPRESSION \
    --limit=LIMIT \
    --page-size=PAGE_SIZE \
    --sort-by=SORT_BY \
    --format=json

Substitua PROJECT_ID pelo ID do projeto de que você quer listar insights.

A sinalização location sempre usa o local chamado global. A sinalização insight-type sempre usa o tipo de insight chamado google.compute.firewall.Insight. A menos que você formate a saída em JSON, a saída do comando é tabular.

Os seguintes campos são opcionais:

  • EXPRESSION: aplique esse filtro booleano a cada recurso que você quer listar.

    Se a expressão for avaliada como True, esse item será listado. Para mais detalhes e exemplos de expressões de filtro, execute $ gcloud topic filters ou consulte a documentação de gcloud topic filters.

  • LIMIT: o número máximo de recursos a serem listados. O número padrão de recursos listados é ilimitado

  • PAGE_SIZE: o número máximo de recursos a serem listados por página

    O tamanho da página padrão é determinado pelo serviço. Caso contrário, não haverá paginação. A paginação pode ser aplicada antes ou depois de FILTER e LIMIT.

  • SORT_BY: uma lista de nomes de chave de campo separados por vírgulas para classificar por um recurso

    A ordem padrão é crescente. Para especificar uma ordem decrescente, prefixe um campo com ~ (um til).

API

Para acessar todos os insights de um projeto do Google Cloud, faça uma solicitação GET para o método projects.locations.insightTypes.insights.

GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights

O exemplo a seguir mostra uma resposta de amostra para este comando:

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by   projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

Como descrever insights

gcloud

Para listar detalhes de um insight sobre uma regra de firewall específica, execute o seguinte comando:

gcloud beta recommender insights describe INSIGHT_ID \
    --project=PROJECT_NAME \
    --location=global \
    --insight-type=google.compute.firewall.Insight

Substitua os valores a seguir para sua rede:

  • INSIGHT_ID: o ID do insight a ser descrito
  • PROJECT_NAME: o nome do projeto para o qual você quer listar insights

A sinalização location sempre usa o local chamado global. A sinalização insight-type sempre usa o tipo de insight chamado google.compute.firewall.Insight.

API

Para detalhes para conseguir um insight, faça uma solicitação GET ao método projects.locations.insightTypes.insights.

GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
{

Substitua os valores a seguir para sua rede:

  • PROJECT_ID: o ID do projeto;
  • LOCATION: use sempre o local chamado global
  • INSIGHT_TYPE_ID: use sempre o valor de google.compute.firewall.Insight
  • INSIGHT_ID: o ID do insight

A seguir

  • Para analisar o uso do ambiente de execução do firewall da VPC, limpar e otimizar as configurações das regras de firewall e reforçar os limites de segurança, consulte Como trabalhar com casos de uso comuns.