Como usar o Firewall Insights

Nesta página, descrevemos como ver métricas de insights ou uso do Firewall Insights, que permite o acesso essas informações nos consoles, páginas ou ferramentas a seguir:

  • Console do Network Intelligence Center
  • Hub de recomendações
  • Página de detalhes das regras de firewall de uma nuvem privada virtual (VPC, na sigla em inglês)
  • Página de detalhes da interface de rede de uma instância de máquina virtual do Compute Engine
  • Comandos ou API do Recomendador do gcloud

Para uma visão geral e os estados do Firewall Insights, consulte a Visão geral do Firewall Insights.

Para uma lista das métricas de uso do firewall, consulte Como visualizar métricas.

Antes de começar

Configure os seguintes itens no Google Cloud antes de usar o Firewall Insights:

  1. No Console do Google Cloud, acesse a página do seletor de projetos.

    Acessar a página do seletor de projetos

  2. Selecione ou crie um projeto do Google Cloud.

  3. Verifique se o faturamento está ativado para seu projeto em nuvem.

  4. Habilite a Firewall Insights API, conforme descrito na próxima seção.

Como ativar a detecção de regras sombreadas

Para usar a detecção de regras sombreadas, é necessário ativar a API Firewall Insights.

Quando você usa o Firewall Insights no Console do Cloud, o Console do Cloud lembra que é preciso ativar a API caso não detecte insights.

A análise de regras sombreadas ocorre uma vez por dia. Dessa forma, talvez seja necessário aguardar até 24 horas para ver os resultados.

Console

  1. No Console do Google Cloud, acesse Firewall Insights.

    Acessar "Firewall Insights"

  2. Clique em Configuração.

  3. Clique em Ativação.

  4. Clique no seletor para que fique na opção Ativado.

  5. Clique em Concluído.

Como ativar a geração de registros de regras de firewall

Para ver métricas de insights e uso de regras de firewall, ative o Registro de regras de firewall para uma ou mais regras de firewall. Para mais informações, consulte a Visão geral do Registro de regras de firewall.

Gerenciar permissões

Para uma lista de papéis e permissões necessários para ver e gerenciar insights e dados de uso, consulte Controle de acesso.

Como usar o Network Intelligence Center

A página de destino do Network Intelligence Center no Console do Cloud para o Firewall Insights mostra três tipos de cartões de insights:

  • Regras de firewall ocultas
  • Regras de firewall Allow sem ocorrências no período de observação especificado, que, por padrão, são as últimas seis semanas
  • Deny regras de firewall com contagens de ocorrências no período de observação especificado, que, por padrão, são as últimas 24 horas

Cada cartão inclui um exemplo resumido de snapshot. Uma barra de pesquisa com filtros acima dos cards permite filtrar insights para uma rede VPC específica.

As seções a seguir descrevem como visualizar essas informações.

Como visualizar regras de firewall ocultas

Para saber mais sobre as regras de firewall ocultas, consulte a Visão geral do Firewall Insights.

Console

  1. No Console do Cloud, acesse a página Firewall Insights.

    Acesse a página Firewall Insights

  2. No card Regras ocultas, clique em Ver lista completa.

  3. Uma página de detalhes é aberta, incluindo todas as regras ocultas.

  4. Na coluna Insight de cada regra, clique em cada regra oculta para ver os detalhes do insight. Esses detalhes mostram a regra oculta e uma ou mais regras de ocultamento, para que você possa entender por que a regra oculta é redundante. Para mais informações, consulte o exemplo de regra oculta na Visão geral do Firewall Insights. Para marcar informações, consulte as seções a seguir.

Como marcar um insight como descartado

Console

  1. No Console do Cloud, acesse a página Firewall Insights.

    Acesse a página Firewall Insights

  2. No card Regras ocultas, clique em Ver lista completa.

  3. Uma página de detalhes é aberta, incluindo todas as regras ocultas.

  4. Se uma regra oculta não for significativa, é possível descartá-la clicando em Descartar na parte superior da página.

  5. Depois que você descartar um insight, o Console do Cloud não o exibirá para você ou qualquer usuário, a menos que você o restaure. Para restaurar um insight, consulte a próxima seção.

Como restaurar um insight descartado

Se você descartou um insight que se mostrou relevante posteriormente, restaure-o ou torne-o visível no Console do Cloud seguindo as etapas abaixo.

Console

  1. No Console do Cloud, acesse a página Firewall Insights.

    Acesse a página Firewall Insights

  2. No card Regras ocultas, clique em Ver lista completa.

  3. Uma página de detalhes é aberta, incluindo todas as regras ocultas.

  4. Para restaurar insights descartados, clique em Histórico de insights descartados na parte superior da página. Isso leva você à página Insights descartados.

  5. Na página Insights descartados, para restaurar um insight, marque a caixa de seleção de um ou mais insights e clique em Restaurar na parte superior da página.

Visualizar regras allow sem ocorrências no período de observação

Para saber como coletar dados com precisão por todo o período de observação, consulte a visão geral do Firewall Insights.

Console

  1. No Console do Cloud, acesse a página Firewall Insights.

    Acesse a página Firewall Insights

  2. No cartão chamado Permitir regras sem ocorrência, clique em Ver lista completa.

  3. Uma página de detalhes é aberta incluindo todas as regras allow que não foram usadas nas últimas seis semanas.

  4. Para cada regra de firewall, à direita da coluna Registros, clique em Exibir registros de auditoria para ver quando o registro de firewall foi ativado ou desativado para cada regra de firewall.

  5. Para ver os detalhes de configuração e uso, clique no nome de uma regra de firewall.

Visualizar regras deny com ocorrências no período de observação

Para saber como coletar dados com precisão por todo o período de observação, consulte a visão geral do Firewall Insights.

Console

  1. No Console do Cloud, acesse a página Firewall Insights.

    Acesse a página Firewall Insights

  2. No card chamado Regras de negação com ocorrências, clique em Ver lista completa.

  3. Será aberta uma página de detalhes que inclui todas as regras deny de firewall com ocorrências no período de observação especificado, por padrão, as últimas 24 horas.

  4. Para revisar os pacotes descartados por um firewall, clique em Contagem de ocorrências para acessar uma página do Cloud Logging e ver os detalhes.

Como usar o Hub de recomendações

O Hub de recomendações é um recurso do produto Recomendador que fornece recomendações de uso para produtos e serviços do Google Cloud. Para mais informações, consulte a documentação do Hub de recomendações.

O Console do Cloud para o Hub de recomendações mostra os seguintes insights para regras de firewall:

  • Regras de firewall ocultas

O Hub de recomendações mostra essas recomendações com recomendações para outros produtos, como o Identity and Access Management (IAM) e VM Rightsizing.

Como visualizar regras de firewall ocultas

Para saber mais sobre as regras de firewall ocultas, consulte a Visão geral do Firewall Insights.

Console

  1. No Console do Cloud, acesse o Hub de recomendações.

    Acesse o Hub de recomendações.

  2. No cartão Simplificar configuração do firewall, clique em Visualizar tudo.

  3. Será exibida uma página que lista todas as regras ocultas.

  4. Você pode clicar no insight para saber por que ele foi gerado. Os detalhes do insight mostram o firewall oculto e uma ou mais regras de firewall ocultas para que você possa entender por que a regra oculta é redundante. Para mais informações, consulte o exemplo de regra oculta na Visão geral do Firewall Insights.

Como marcar um insight como descartado

Console

  1. No Console do Cloud, acesse o Hub de recomendações.

    Acesse o Hub de recomendações.

    1. No cartão Simplificar configuração do firewall, clique em Visualizar tudo.
    2. Uma página de detalhes é aberta, incluindo todas as regras ocultas.
    3. Se um insight de regra sombreada não for significativo, será possível dispensá-lo: clique no insight e em Dispensar insight no painel.
    4. Depois que você descartar os insights, o Console do Cloud não o exibirá para você ou qualquer usuário, a menos que você o restaure. Para restaurar um insight, consulte a próxima seção.

Como restaurar um insight descartado

Se você descartou um insight que se mostrou relevante posteriormente, restaure-o ou torne-o visível no Console do Cloud seguindo as etapas abaixo.

Console

  1. No Console do Cloud, acesse o Hub de recomendações.

    Acesse o Hub de recomendações.

  2. Na parte superior da página, clique em Histórico.

  3. Clique na guia Dispensados, que mostra recomendações e insights dispensados do projeto.

  4. Selecione a opção ao lado do insight que você quer restaurar.

  5. Clique em Restaurar.

Como usar a página de detalhes das regras de firewall

Para mais informações sobre esta página, consulte Como listar regras de firewall para uma rede VPC.

Como listar insights para um projeto

Console

  1. No Console do Cloud, acesse a página Regras de firewall.

    Acessar a página "Regras de firewall"

  2. Para cada regra de firewall, visualize o nome dos insights disponíveis na coluna Insights.

  3. Você pode clicar no nome de um insight para ver os detalhes. As seções a seguir descrevem como visualizar e interpretar os detalhes de cada tipo de insight.

Visualização de regras allow sem ocorrências nos últimos 24 meses

Console

  1. No Console do Cloud, acesse a página Regras de firewall.

    Acessar a página "Regras de firewall"

  2. Na coluna Última ocorrência, revise a última vez que uma regra de firewall específica foi usada nos últimos 24 meses.

Como visualizar o gráfico do histórico de uso de uma regra

Console

  1. No Console do Cloud, acesse a página Regras de firewall.

    Acessar a página "Regras de firewall"

  2. Clique no nome de uma regra de firewall.

  3. Na seção Monitoramento de contagem de ocorrências da página, veja o gráfico resultante que mostra a contagem de ocorrências do firewall em um determinado período. Você pode selecionar guias para diferentes períodos acima do gráfico.

Como visualizar regras deny com ocorrências em um período de observação

Console

  1. No Console do Cloud, acesse a página Regras de firewall.

    Acessar a página "Regras de firewall"

  2. Na coluna Contagem de ocorrências, veja o número de conexões exclusivas usadas para uma determinada regra de firewall nos últimos 24 meses (padrão).

Como usar a página de detalhes da interface de rede da VM

Veja o uso do firewall na página Detalhes da interface de rede para uma VM.

Para mais informações sobre essa página, consulte Como listar regras de firewall para uma interface de rede de uma instância de VM.

Como visualizar regras com ocorrências nos últimos 24 meses

Console

  1. No Console do Cloud, acesse a página Instâncias de VM do Compute Engine:

    Acesse a página Instâncias de VM no Compute Engine

  2. Escolha uma VM e, na extremidade direita da página, clique no menu mais ações .

  3. No menu, selecione Exibir detalhes da rede.

  4. Na seção Detalhes do firewall e das rotas, clique na guia Regras de firewall.

  5. Na coluna Contagem de ocorrências, veja as contagens de ocorrências para o tráfego allow e deny nos últimos 24 meses de todas as regras de firewall associadas a uma interface de rede específica.

Como trabalhar com insights usando comandos gcloud ou a API

O Firewall Insights usa os comandos Recomendador. O Recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud.

Como listar informações

gcloud

  • Para listar informações de um projeto, digite o seguinte comando:

    gcloud beta recommender insights list --project=PROJECT_ID \
    --location=global --insight-type=google.compute.firewall.Insight \
    --filter=EXPRESSION --limit=LIMIT \
    --page-size=PAGE_SIZE --sort-by=SORT_BY \
    --format=json
    

    Substitua PROJECT_ID pelo ID do projeto de que você quer listar insights.

    location sempre usa o local chamado global. insight-type sempre usa o tipo de insight chamado google.compute.firewall.Insight. A menos que você formate a saída em JSON, a saída do comando é tabular.

    Os seguintes campos são opcionais:

    • EXPRESSION. Aplique esse filtro booleano a cada recurso que você quer listar. Se a expressão for avaliada como True, esse item será listado. Para mais detalhes e exemplos de expressões de filtro, execute $ gcloud topic filters ou consulte a documentação do tópico gcloud.
    • LIMIT. Use para especificar o número máximo de recursos a serem listados. O número padrão de recursos listados é ilimitado.
    • PAGE_SIZE. Use para especificar o número máximo de recursos a serem listados por página. O tamanho da página padrão é determinado pelo serviço. Caso contrário, não haverá paginação. A paginação pode ser aplicada antes ou depois de FILTER e LIMIT.
    • SORT_BY. Use para especificar uma lista de nomes de chave de campo separados por vírgulas para classificar por um recurso. A ordem padrão é crescente. Para especificar uma ordem decrescente, prefixe um campo com ~ (um til).

API

Para acessar todos os insights de um projeto do Google Cloud, faça uma solicitação GET para o método projects.locations.insightTypes.insights.

GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights

O exemplo a seguir mostra uma resposta de amostra para este comando.

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by   projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

Como descrever insights

Use este comando para listar detalhes para obter informações.

gcloud

gcloud beta recommender insights describe INSIGHT_NAME \
  --project=PROJECT_NAME --location=global \
  --insight-type=google.compute.firewall.Insight

Substitua os valores a seguir para sua rede:

  • INSIGHT_NAME: o nome do insight a ser descrito
  • PROJECT_NAME: o nome do projeto para listar insights

location sempre usa o local chamado global. insight-type sempre usa o tipo de insight chamado google.compute.firewall.Insight.

API

Para detalhes para conseguir um insight, faça uma solicitação GET ao método projects.locations.insightTypes.insights.

GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
{

Substitua os valores a seguir para sua rede:

  • PROJECT_ID: o ID do projeto;
  • LOCATION: use sempre o local chamado global
  • INSIGHT_TYPE_ID: use sempre o valor de google.compute.firewall.Insight
  • INSIGHT_ID: o ID do insight

A seguir

  • Para analisar o uso do ambiente de execução do firewall da VPC, limpar e otimizar as configurações das regras de firewall e reforçar os limites de segurança, consulte Como trabalhar com casos de uso comuns.