Firewall Insights vous aide à comprendre les schémas d'utilisation règles de pare-feu. Vous pouvez vous appuyer sur ces insights pour prendre des décisions concernant la suppression ou modifier des règles de pare-feu pour simplifier et sécuriser votre configuration de pare-feu.
Vous pouvez consulter les insights suivants dans la console Google Cloud Firewall Insights et à plusieurs autres emplacements de la console Google Cloud:
- Les règles de pare-feu bloquées vous permettent d'identifier les règles de pare-feu qui se chevauchent avec règles existantes.
- Règles trop permissives:elles vous aident à identifier les règles
allown'ayant pas été déclenchées. d'attributs inutilisés, ou de plages d'adresses IP ou de ports trop permissives. - Règles de refus : fournit des informations sur les règles
denyutilisées au cours de la période d'observation configurée.
Les insights concernant les règles trop permissives et les règles de refus sont générés en fonction des données collectées pendant la durée La journalisation des règles de pare-feu est activée.
Dans Firewall Insights de la console Google Cloud, chaque fiche présentant les insights inclut une liste de toutes les règles de votre projet qui répondent aux critères d'information.
Si vous souhaitez limiter les résultats à un seul réseau VPC, utilisez le barre de filtre en haut de la page pour sélectionner un réseau.
Pour en savoir plus, consultez Consulter les métriques et les insights
Dans les sections suivantes, nous allons voir comment afficher chaque insight.
Rôles et autorisations requis
Pour obtenir l'autorisation nécessaire pour afficher les insights, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :
-
Administrateur de l'outil de recommandation de pare-feu (
roles/recommender.firewallAdmin) -
Lecteur de l'outil de recommandation de pare-feu (
roles/recommender.firewallViewer)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ce rôle prédéfini contient
recommender.computeFirewallInsights.list
les autorisations,
qui est nécessaire pour
consulter les insights.
Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.
Afficher les règles de pare-feu bloquées
Pour en savoir plus sur cet insight, consultez la section règles.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la fiche nommée Règles bloquées, cliquez sur Afficher la liste complète. La La console Google Cloud affiche les règles bloquées qui répertorie tous les réseaux VPC.
Pour chaque réseau VPC de votre projet, vous pouvez voir les stratégies de pare-feu hiérarchiques, les règles de pare-feu du réseau mondial et des règles de pare-feu VPC, ainsi que la priorité de la règle. La colonne Insight de chaque règle fournit un résumé de l'identification de la règle en tant que règle bloquée.
Facultatif: Utilisez le filtrage pour affiner les résultats. génère la liste en fonction du nom, de la priorité et du nom de la règle.
Pour afficher plus de détails sur la règle bloquée et les règles qui la bloquent, cliquez sur l'insight.
gcloud et API
Firewall Insights utilise Recommender. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles allow non utilisées
Pour en savoir plus sur cet insight, consultez la section Règles d'autorisation non déclenchées.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la carte nommée Autoriser les règles inutilisées, cliquez sur Afficher la liste complète. La console Google Cloud affiche la page Autoriser les règles non utilisées. Cette page répertorie tous les réseaux VPC règles non utilisées pendant la période d'observation.
La colonne Insight de chaque règle indique si règle de pare-feu n'a fait l'objet d'aucun appel pendant la période d'observation. La La colonne Prédiction des appels futurs affiche une prédiction de l'utilisation future basée sur sur les règles de pare-feu de la même organisation.
Facultatif : Utilisez le filtrage pour affiner les résultats de la liste en fonction du nom de la règle, de la priorité et du nom de la stratégie.
Pour définir une règle dans la liste, procédez de l'une des façons suivantes :
- Pour afficher la page Détails de la règle de pare-feu associée à cette règle, cliquez sur le bouton nom de la règle.
- Pour afficher les journaux de la règle, cliquez sur Afficher le journal d'audit.
- Pour en savoir plus sur la prédiction, cliquez sur le lien dans Colonne Insight. Le volet Détails de l'insight s'affiche. Ce volet décrit les principaux attributs de la règle. Il décrit également d'autres règles du projet qui présentent des attributs similaires.
gcloud et API
Firewall Insights utilise Recommender. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles allow obsolètes en fonction de l'analyse adaptative
Vous pouvez afficher allow règles qui sont moins susceptibles d'être actives en fonction de leur utilisation
des modèles et l'analyse adaptative.
Pour en savoir plus sur cet insight, consultez la section Autoriser les règles obsolètes en fonction de l'analyse adaptative.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la fiche intitulée Autoriser les règles non utilisées (analyse adaptative), procédez comme suit : cliquez sur Afficher la liste complète. La page Autoriser les règles non utilisées (analyse adaptative) s'ouvre. La page liste tous les réseaux VPC dont les règles sont susceptibles ne sont plus utilisées.
La colonne Insight de chaque règle indique si la règle de pare-feu est n'est plus actif d'après l'analyse adaptative de l'historique du nombre d'appels de règles.
Facultatif: Utilisez le filtrage pour affiner les résultats dans la liste en fonction d'une règle. son nom, sa priorité et son nom de règle.
Pour définir une règle dans la liste, procédez de l'une des façons suivantes :
- Pour afficher la page Détails de la règle de pare-feu associée à cette règle, cliquez sur le bouton nom de la règle.
- Pour afficher les journaux de la règle, cliquez sur Afficher le journal d'audit.
- Pour en savoir plus sur la prédiction, cliquez sur le lien dans Colonne Insight.
La page Détails de l'insight décrit les principaux attributs de la règle. Dans la section Analyse adaptative, vous pouvez voir la date de l'événement et le nombre moyen d'appels quotidiens avant que la règle ne soit appliqué actif.
Pour fermer la page Détails de l'insight, cliquez sur Annuler.
gcloud et API
Firewall Insights utilise Recommender. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles allow comportant des attributs non utilisés
Pour en savoir plus sur cet insight, consultez Autorisez les règles avec des attributs inutilisés.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la fiche nommée Autoriser les règles avec des attributs non utilisés, cliquez sur Afficher la liste complète. En réponse, la console Google Cloud affiche la page Autoriser les règles avec des attributs non utilisés. Cette page répertorie tous les Les réseaux VPC comportant des règles dont pendant la période d'observation.
La colonne Insight de chaque règle indique le nombre d'attributs inutilisés au cours de la période d'observation.
Facultatif: Utilisez le filtrage pour affiner les résultats dans la liste en fonction d'une règle. son nom, sa priorité et son nom de règle.
Pour chaque réseau VPC de la liste, effectuez l'une des opérations suivantes : le cas échéant:
- Pour afficher la page Détails de la règle de pare-feu associée à cette règle, cliquez sur le bouton nom de la règle.
- Pour afficher les journaux de la règle, cliquez sur Afficher le journal d'audit.
- Pour en savoir plus sur la prédiction, cliquez sur le lien correspondant. Le volet Détails de l'insight s'affiche. Volet décrit les principaux attributs de la règle. Il décrit également d'autres règles du projet qui présentent des attributs similaires.
gcloud et API
Firewall Insights utilise Recommender. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles allow avec des plages d'adresses IP ou de ports trop permissives
Pour en savoir plus sur cet insight, consultez Autoriser les règles avec des adresses IP trop permissives. ou plages de ports.
Sachez que votre projet peut disposer de règles de pare-feu autorisant l'accès à partir de certains blocs d'adresses IP pour les vérifications d'état de l'équilibreur de charge ou pour d'autres fonctionnalités de Google Cloud. Ces adresses IP risquent de ne pas être appelées, mais elles ne doivent pas être supprimées de vos règles de pare-feu. Pour plus d'informations sur ces plages, consultez la documentation sur Compute Engine.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la fiche nommée Autoriser les règles associées à des adresses IP ou des plages de ports trop permissives, cliquez sur Afficher la liste complète. La La console Google Cloud affiche la liste de toutes les règles qui ont trop des plages permissives pendant la période d'observation.
Pour définir une règle dans la liste, procédez de l'une des façons suivantes :
- Pour afficher la page Détails de la règle de pare-feu d'une règle, cliquez sur le bouton nom de la règle.
- Pour afficher les journaux de la règle, cliquez sur Afficher le journal d'audit.
- Pour voir des suggestions sur la façon d'affiner la plage, cliquez sur le lien dans Colonne Insight. Le volet Détails de l'insight s'affiche. Le volet décrit les principaux attributs de la règle. Il suggère des adresses IP ou des plages de ports plus précises que vous pouvez utiliser.
gcloud et API
Firewall Insights utilise Recommender. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles deny utilisées
Pour en savoir plus sur cet insight, consultez la section Refuser les règles appelées.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la fiche intitulée Refuser les règles utilisées, cliquez sur Afficher la liste complète. Dans réponse, la console Google Cloud affiche le message Deny rules with hits (Règles de refus ayant été déclenchées) . Cette page répertorie tous les réseaux VPC comportant des
denyqui ont été déclenchées pendant la période d'observation.Pour examiner les paquets supprimés par un pare-feu, cliquez sur Nombre d'appels.
gcloud et API
Firewall Insights utilise Recommender. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les insights sur la page d'informations de l'interface réseau des VM
Affichez l'utilisation du pare-feu sur la page Informations sur l'interface réseau d'une VM.
Pour en savoir plus, consultez Listez les règles de pare-feu pour l'interface réseau d'une instance de VM.
Afficher les règles ayant été appelées au cours des 24 derniers mois
Console
Dans la console Google Cloud, accédez à la page Instances de VM Compute Engine.
Dans les résultats de la recherche d'interface de VM, sélectionnez une VM et cliquez sur le bouton Autres actions.
Dans le menu, sélectionnez Afficher les détails du réseau.
Sur la page Détails du pare-feu et des routes, cliquez sur le Onglet Firewall Rules (Règles de pare-feu).
Dans la colonne Nombre d'appels, affichez le nombre d'appels pour le trafic
allow(autorisé) etdeny(refusé) au cours des 24 derniers mois pour toutes les règles de pare-feu associées à une interface réseau spécifique.
gcloud et API
Firewall Insights utilise Recommender. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les insights sur la page "Pare-feu"
Pour en savoir plus sur la page Pare-feu, consultez Répertoriez les règles de pare-feu VPC pour un réseau VPC.
Répertorier les insights d'un projet
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Pour chaque règle de pare-feu, affichez le nom des insights disponibles dans la colonne Insights.
Vous pouvez cliquer sur le nom d'un insight pour afficher les informations détaillées de cet insight.
Les sections suivantes décrivent comment afficher et interpréter les détails de chaque type d'insight.
Afficher les règles allow non utilisées au cours des 24 derniers mois
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans la colonne Dernier appel, passez en revue la dernière utilisation d'une règle de pare-feu donnée au cours des 24 derniers mois.
gcloud et API
Firewall Insights utilise Recommender. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher le graphique de l'historique d'utilisation d'une règle
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Cliquez sur le nom d'une règle de pare-feu.
Dans la section Surveillance du nombre d'appels de la page, affichez le graphique qui indique le nombre d'appels de pare-feu pour une période donnée. Vous pouvez sélectionnez un intervalle de temps pour le graphique de surveillance du nombre d'appels.
gcloud et API
Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Afficher les règles deny utilisées au cours d'une période d'observation
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans la colonne Nombre d'appels, affichez le nombre de connexions uniques utilisées. pour une règle de pare-feu donnée au cours des 24 derniers mois (par défaut).
gcloud et API
Firewall Insights utilise Recommender. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.
Étape suivante
- Gérer et exporter des insights
- Examiner et optimiser les règles de pare-feu
- Afficher les insights dans le tableau de bord du centre de recommandations