Le metriche di Firewall Insights consentono di analizzare l'utilizzo delle regole del firewall. Puoi visualizzare le metriche utilizzando Cloud Monitoring e la console Google Cloud .
Le seguenti metriche ti aiutano a monitorare l'utilizzo del firewall:
- Le metriche relative al numero di hit del firewall mostrano il numero di volte in cui una regola firewall è stata utilizzata per consentire o negare il traffico.
- Le metriche relative all'ultima regola firewall utilizzata mostrano l'ultima volta che una determinata regola firewall è stata utilizzata per consentire o negare il traffico.
Tieni presente i seguenti aspetti relativi alle metriche di Firewall Insights:
- Le metriche derivano dal logging delle regole firewall.
- Le metriche sono disponibili solo per le regole per le quali è attivo il logging delle regole firewall e sono accurate solo per il periodo di tempo durante il quale il logging delle regole firewall è attivo.
- Le metriche del firewall vengono generate solo per il traffico che soddisfa le specifiche per il logging delle regole firewall. Ad esempio, i dati vengono registrati e le metriche vengono generate solo per il traffico TCP e UDP. Per un elenco completo dei criteri, consulta Specifiche nella Panoramica del logging delle regole firewall.
Puoi creare query arbitrarie sulle metriche di Firewall Insights utilizzando il metodo di richiesta projects.timeSeries.list nella documentazione dell'API Cloud Monitoring versione 3.
Firewall Insights raccoglie i dati delle metriche relativi all'ultima volta che è stata applicata una regola firewall per consentire o negare il traffico (timestamp) e per il numero di hit su una regola firewall per il periodo di conservazione.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
La metrica per il monitoraggio del numero di hit del firewall è definita per istanza di macchina virtuale (VM) e per subnet Virtual Private Cloud (VPC).
Le metriche per istanza (VM) forniscono informazioni sul conteggio dei hit e sul timestamp dell'ultima richiesta per l'interfaccia di rete di una VM. Le metriche per sottorete forniscono informazioni sul numero di hit per le singole regole firewall.
Utilizza le seguenti risorse per accedere ai dati delle metriche di Firewall Insights:
- Visualizza le metriche di Firewall Insights nella pagina Google Cloud metriche.
- Per una panoramica di metriche, serie temporali e risorse, consulta il modello metrico nella documentazione dell'API Cloud Monitoring versione 3.
- Per informazioni su come leggere queste metriche, consulta Lettura dei dati delle metriche.
Ruoli e autorizzazioni richiesti
Per ottenere l'autorizzazione necessaria per gestire ed esportare gli approfondimenti, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin) -
Visualizzatore del motore per suggerimenti firewall (
roles/recommender.firewallViewer)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene l'autorizzazione
recommender.computeFirewallInsights.list
necessaria per gestire ed esportare gli approfondimenti.
Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.
Visualizzare le metriche relative al conteggio dei hit del firewall
La metrica firewall_hit_count monitora il numero di volte in cui una regola di firewall viene utilizzata per consentire o negare il traffico.
Per ogni regola del firewall, Cloud Monitoring memorizza i dati per la metrica firewall_hit_count solo se la regola ha registrato hit a causa del traffico TCP o UDP. In altre parole, Cloud Monitoring non memorizza i dati sulle regole
che non hanno generato hit.
Puoi visualizzare i dati ricavati da questa metrica nella pagina Regole firewall della console Google Cloud .
I dati nella pagina Firewall potrebbero non essere identici ai dati delle firewall_hit_count
metriche archiviati in Cloud Monitoring. Cloud Monitoring non identifica esplicitamente le regole senza corrispondenze. Ad esempio, la console Google Cloud mostra un conteggio colpi pari a zero anche se Cloud Monitoring non registra alcun hit. Puoi vedere questa differenza per le regole firewall configurate per consentire o negare TCP, UDP, ICMP o qualsiasi altro tipo di traffico.
Questo comportamento è diverso dall'allow rules with no hitsapprofondimento.
Quando questo insight identifica regole firewall senza corrispondenze, omette le regole firewall
configurate per consentire traffico diverso da TCP o UDP, anche se queste regole
consentono anche il traffico TCP o UDP.
Visualizzare le metriche dell'ultima volta che è stato utilizzato il firewall
Utilizzando Metrics Explorer in Cloud Monitoring, puoi visualizzare la
ultima volta in cui è stata utilizzata una determinata regola del firewall per consentire o
negare il traffico visualizzando la metrica firewall_last_used_timestamp. Questa metrica
ti aiuta a identificare le regole del firewall che non sono state utilizzate di recente.
Nella pagina Norme del firewall
della console Google Cloud , puoi vedere quando hai utilizzato per l'ultima volta una regola del firewall nelle ultime sei settimane o per la durata per cui è stato attivato il logging delle regole del firewall, a seconda del caso. Se l'ultimo
hit si è verificato prima delle ultime sei settimane o prima dell'attivazione del logging delle regole firewall, l'ora last hit viene visualizzata come —.
Frequenza e conservazione dei report
La metrica firewall rule hit count viene esportata in Monitoring ogni minuto. Il periodo di conservazione dei dati di monitoraggio è di sei settimane. Puoi analizzare qualsiasi intervallo di tempo delle sei settimane precedenti con intervalli di un minuto.
Filtro e aggregazione
Per ogni regola firewall, aggregando i conteggi di hit per le istanze VM, puoi osservare i conteggi di hit complessivi che si accumulano per tutto il traffico che scorre nella tua rete VPC.
Ad esempio, consulta
Rilevare aumenti improvvisi del numero di hit per le regole firewall deny.
Utilizzare le dashboard e gli avvisi di monitoraggio
Puoi utilizzare le dashboard di monitoraggio e i relativi grafici associati per visualizzare i dati relativi alle metriche di Firewall Insights descritte nelle sezioni precedenti.
Per monitorare queste metriche in Monitoring, puoi creare dashboard personalizzate. Puoi anche aggiungere avvisi in base a queste metriche.