Le metriche di Firewall Insights consentono di analizzare il modo in cui e regole firewall. Puoi visualizzare le metriche utilizzando Cloud Monitoring e la console Google Cloud.
Le seguenti metriche ti consentono di monitorare l'utilizzo del firewall:
- Le metriche del numero di hit del firewall mostrano il numero di volte in cui una regola firewall per consentire o negare il traffico.
- Le metriche relative all'ultima regola firewall utilizzata mostrano l'ultima volta che una determinata regola firewall è stata utilizzata per consentire o negare il traffico.
Tieni presente i seguenti aspetti delle metriche di Firewall Insights:
- Le metriche derivano dal logging delle regole firewall.
- Le metriche sono disponibili solo per le regole per le quali è attivo il logging delle regole firewall e sono accurate solo per il periodo di tempo durante il quale il logging delle regole firewall è attivo.
- Le metriche del firewall vengono generate solo per il traffico che soddisfa le specifiche per il logging delle regole firewall. Ad esempio, i dati vengono registrati e le metriche vengono generate solo per il traffico TCP e UDP. Per un elenco completo dei criteri, consulta Specifiche nella Panoramica del logging delle regole firewall.
Puoi creare query arbitrarie sulle metriche di Firewall Insights:
usando il metodo di richiesta projects.timeSeries.list
nella documentazione dell'API Cloud Monitoring versione 3.
Firewall Insights raccoglie i dati delle metriche relativi all'ultima volta che è stata applicata una regola firewall per consentire o negare il traffico (timestamp) e per il numero di hit su una regola firewall per il periodo di conservazione.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
La metrica per il monitoraggio del numero di hit del firewall è definita per macchina virtuale (VM) all'istanza e per subnet Virtual Private Cloud (VPC).
Le metriche per istanza (VM) forniscono informazioni sul numero di hit e sull'ultimo timestamp utilizzato per l'interfaccia di rete di una VM. Le metriche per subnet forniscono informazioni sul numero di hit per le singole regole firewall.
Utilizza le seguenti risorse per accedere ai dati delle metriche di Firewall Insights:
- Visualizza le metriche per Firewall Insights in alla pagina Metriche di Google Cloud.
- Per una panoramica di metriche, serie temporali e risorse, consulta il modello metrico nella documentazione dell'API Cloud Monitoring versione 3.
- Per informazioni su come leggere queste metriche, consulta Lettura dei dati delle metriche.
Ruoli e autorizzazioni richiesti
Per ottenere l'autorizzazione necessaria per gestire ed esportare gli approfondimenti, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin) -
Visualizzatore motore per suggerimenti firewall (
roles/recommender.firewallViewer)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene
recommender.computeFirewallInsights.list
autorizzazione,
che è obbligatorio
gestire ed esportare gli insight.
Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.
Visualizzare le metriche relative al conteggio dei hit del firewall
La metrica firewall_hit_count monitora il numero di volte in cui una regola di firewall viene utilizzata per consentire o negare il traffico.
Per ogni regola firewall, Cloud Monitoring archivia i dati per
Metrica firewall_hit_count solo se la regola ha avuto hit a causa di TCP o UDP
per via del traffico. Vale a dire che Cloud Monitoring non archivia i dati sulle regole
che non avevano hit.
Puoi visualizzare i dati derivati da questa metrica in Criteri firewall nella console Google Cloud.
I dati nella pagina Firewall potrebbero non essere identici a quelli di firewall_hit_count
dei dati delle metriche archiviati in Cloud Monitoring. Cloud Monitoring non identifica esplicitamente le regole senza corrispondenze. Ad esempio, la console Google Cloud mostra uno zero
il numero di hit anche se Cloud Monitoring non registra alcun hit. Puoi vedere questa differenza per le regole firewall configurate per consentire o negare TCP, UDP, ICMP o qualsiasi altro tipo di traffico.
Questo comportamento è diverso
allow rules with no hits approfondimento.
Quando questo insight identifica regole firewall senza corrispondenze, omette le regole firewall configurate per consentire traffico diverso da TCP o UDP, anche se queste regole consentono anche il traffico TCP o UDP.
Visualizza le ultime metriche utilizzate del firewall
Utilizzando Metrics Explorer in Cloud Monitoring, puoi vedere
l'ultima volta che è stata usata una determinata regola firewall per consentire
negare il traffico visualizzando la metrica firewall_last_used_timestamp. Questa metrica
ti aiuta a identificare le regole del firewall che non sono state utilizzate di recente.
Nella pagina Criteri firewall
della console Google Cloud, puoi vedere quando hai utilizzato
nelle ultime sei settimane o per qualsiasi periodo di tempo
Il logging delle regole firewall è stato abilitato, a seconda di quale delle due opzioni è inferiore. Se l'ultima
si è verificato prima delle ultime sei settimane o prima del logging delle regole firewall
è stata attivata, l'ora last hit viene visualizzata come —.
Frequenza e fidelizzazione dei report
La metrica firewall rule hit count viene esportata in Monitoring
ogni minuto. Il periodo di conservazione dei dati di monitoraggio è di sei settimane. Puoi analizzare qualsiasi intervallo di tempo delle sei settimane precedenti con intervalli di un minuto.
Filtro e aggregazione
Per ogni regola firewall, aggregando i conteggi di hit per le istanze VM, puoi osservare i conteggi di hit complessivi che si accumulano per tutto il traffico che scorre nella tua rete VPC.
Ad esempio, vedi
Rileva aumenti improvvisi nel numero di hit per deny regole firewall.
Usa dashboard e avvisi di Monitoring
Puoi utilizzare le dashboard di monitoraggio e i relativi grafici associati per visualizzare i dati relativi alle metriche di Firewall Insights descritte nelle sezioni precedenti.
Per monitorare queste metriche in Monitoring, puoi creare dashboard personalizzate. Puoi anche aggiungere avvisi in base a queste metriche.