Afficher et comprendre Firewall Insights

Firewall Insights vous aide à comprendre les schémas d'utilisation de vos règles de pare-feu. Vous pouvez utiliser ces insights pour prendre des décisions concernant la suppression ou la modification de règles de pare-feu afin de simplifier et de sécuriser la configuration de votre pare-feu.

Vous pouvez consulter les insights suivants sur la page Firewall Insights de la console Google Cloud et à plusieurs autres endroits de la console:

  • Règles de pare-feu bloquées:règles de pare-feu qui se chevauchent avec des règles existantes.
  • Règles trop permissives:elles vous aident à identifier les règles allow sans requêtes, les attributs non utilisés, ou les plages d'adresses IP ou de ports trop permissives.
  • Règles de refus:fournit des informations sur les règles deny utilisées au cours de la période d'observation configurée.

Les insights sur les règles trop permissives et les règles de refus sont générés en fonction des données recueillies pendant la période où la journalisation des règles de pare-feu est activée.

Sur la page "Firewall Insights" de la console Google Cloud, chaque fiche qui affiche les insights inclut la liste de toutes les règles de votre projet qui correspondent aux critères de l'insight.

Si vous souhaitez limiter les résultats à un seul réseau VPC, utilisez la barre de filtre située en haut de la page pour sélectionner un réseau.

Pour en savoir plus, consultez la section Emplacement d'affichage des métriques et insights.

Dans les sections suivantes, nous allons voir comment afficher chaque insight.

Rôles et autorisations requis

Pour obtenir l'autorisation nécessaire pour afficher les insights, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet:

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient l'autorisation recommender.computeFirewallInsights.list, qui est nécessaire pour afficher les insights.

Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.

Afficher les règles de pare-feu bloquées

Pour en savoir plus sur cet insight, consultez la section Règles bloquées.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la fiche nommée Règles bloquées, cliquez sur Afficher la liste complète. La console Google Cloud affiche la page Règles bloquées, qui répertorie tous les réseaux VPC.

    Pour chaque réseau VPC de votre projet, vous pouvez consulter les insights sur les stratégies de pare-feu hiérarchiques, les stratégies de pare-feu réseau mondial et les règles de pare-feu VPC, ainsi que la priorité de la règle. La colonne Insight de chaque règle fournit un résumé de l'identification de la règle en tant que règle bloquée.

  3. Facultatif: Utilisez le filtrage pour affiner les résultats de la liste en fonction du nom de la règle, de la priorité et du nom de la stratégie.

  4. Pour afficher plus de détails sur la règle bloquée et les règles qui la bloquent, cliquez sur l'insight.

gcloud et API

Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.

Afficher les règles allow non utilisées

Pour en savoir plus sur cet insight, consultez la section Règles d'autorisation non déclenchées.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la carte nommée Autoriser les règles inutilisées, cliquez sur Afficher la liste complète. La console Google Cloud affiche la page Autoriser les règles non utilisées. Cette page répertorie tous les réseaux VPC qui avaient des règles sans appel pendant la période d'observation.

    La colonne Insight de chaque règle indique si la règle de pare-feu n'a pas été déclenchée pendant la période d'observation. La colonne Prédiction d'appels indique une prédiction d'utilisation future en fonction de règles de pare-feu dans la même organisation.

  3. Facultatif: Utilisez le filtrage pour affiner les résultats de la liste en fonction du nom de la règle, de la priorité et du nom de la stratégie.

  4. Pour définir une règle dans la liste, procédez de l'une des façons suivantes :

    • Pour afficher la page Détails de la règle de pare-feu de la règle, cliquez sur son nom.
    • Pour afficher la journalisation de la règle, cliquez sur Afficher le journal d'audit.
    • Pour en savoir plus sur la prédiction, cliquez sur le lien dans la colonne Insight. Le volet Détails de l'insight s'affiche. Ce volet décrit les principaux attributs de la règle. Il décrit également d'autres règles du projet qui présentent des attributs similaires.

gcloud et API

Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.

Afficher les règles allow obsolètes en fonction de l'analyse adaptative

Vous pouvez afficher les règles allow qui sont moins susceptibles d'être actives en fonction des tendances d'utilisation et de l'analyse adaptative.

Pour en savoir plus sur cet insight, consultez la section Autoriser les règles obsolètes en fonction de l'analyse adaptative.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la fiche nommée Règles d'autorisation non utilisées (analyse adaptative), cliquez sur Afficher la liste complète. La page Règles d'autorisation non utilisées (analyse adaptative) s'affiche. La page liste tous les réseaux VPC dont les règles ne sont probablement plus utilisées.

    La colonne Insight de chaque règle indique si la règle de pare-feu n'est plus active en fonction de l'analyse adaptative de l'historique du nombre d'appels de la règle.

  3. Facultatif: Utilisez le filtrage pour affiner les résultats de la liste en fonction du nom de la règle, de la priorité et du nom de la stratégie.

  4. Pour définir une règle dans la liste, procédez de l'une des façons suivantes :

    • Pour afficher la page Détails de la règle de pare-feu de la règle, cliquez sur son nom.
    • Pour afficher la journalisation de la règle, cliquez sur Afficher le journal d'audit.
    • Pour en savoir plus sur la prédiction, cliquez sur le lien dans la colonne Insight.

    La page Détails de l'insight décrit les principaux attributs de la règle. Dans la section Analyse adaptative, vous pouvez voir la date du dernier appel de la règle et le nombre moyen d'appels quotidiens avant que la règle ne devienne inactive.

  5. Pour fermer la page Détails de l'insight, cliquez sur Annuler.

gcloud et API

Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.

Afficher les règles allow comportant des attributs non utilisés

Pour en savoir plus sur cet insight, consultez la section Règles d'autorisation comportant des attributs non utilisés.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la fiche nommée Autoriser les règles avec des attributs non utilisés, cliquez sur Afficher la liste complète. En réponse, la console Google Cloud affiche la page Autoriser les règles avec des attributs non utilisés. Cette page répertorie tous les réseaux VPC dont les règles comportent des attributs non utilisés pendant la période d'observation.

    La colonne Insight de chaque règle indique le nombre d'attributs inutilisés pendant la période d'observation.

  3. Facultatif: Utilisez le filtrage pour affiner les résultats de la liste en fonction du nom de la règle, de la priorité et du nom de la stratégie.

  4. Pour chaque réseau VPC de la liste, procédez de l'une des façons suivantes:

    • Pour afficher la page Détails de la règle de pare-feu de la règle, cliquez sur son nom.
    • Pour afficher la journalisation de la règle, cliquez sur Afficher le journal d'audit.
    • Pour en savoir plus sur la prédiction, cliquez sur le lien correspondant. Le volet Détails de l'insight s'affiche. Le volet décrit les principaux attributs de la règle. Il décrit également d'autres règles du projet qui présentent des attributs similaires.

gcloud et API

Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.

Afficher les règles allow avec des plages d'adresses IP ou de ports trop permissives

Pour en savoir plus sur cet insight, consultez la section Autoriser les règles avec des plages d'adresses IP ou de ports trop permissives.

Sachez que votre projet peut disposer de règles de pare-feu autorisant l'accès à partir de certains blocs d'adresses IP pour les vérifications d'état de l'équilibreur de charge ou pour d'autres fonctionnalités de Google Cloud. Ces adresses IP risquent de ne pas être appelées, mais elles ne doivent pas être supprimées de vos règles de pare-feu. Pour plus d'informations sur ces plages, consultez la documentation sur Compute Engine.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la fiche nommée Autoriser les règles associées à des adresses IP ou des plages de ports trop permissives, cliquez sur Afficher la liste complète. La console Google Cloud affiche la liste de toutes les règles dont les plages sont trop permissives pendant la période d'observation.

  3. Pour définir une règle dans la liste, procédez de l'une des façons suivantes :

    • Pour afficher la page Détails de la règle de pare-feu d'une règle, cliquez sur son nom.
    • Pour afficher la journalisation de la règle, cliquez sur Afficher le journal d'audit.
    • Pour afficher des suggestions sur la façon d'affiner la plage, cliquez sur le lien dans la colonne Insight. Le volet Détails de l'insight s'affiche. Ce volet décrit les principaux attributs de la règle. Il suggère des adresses IP ou des plages de ports plus précises que vous pouvez utiliser.

gcloud et API

Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.

Afficher les règles deny utilisées

Pour en savoir plus sur cet insight, consultez la section Refuser les règles appelées.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la fiche intitulée Refuser les règles utilisées, cliquez sur Afficher la liste complète. En réponse, la console Google Cloud affiche la page Refuser les règles utilisées. Cette page répertorie tous les réseaux VPC qui comportent des règles deny qui ont été appelées pendant la période d'observation.

  3. Pour examiner les paquets supprimés par un pare-feu, cliquez sur Nombre d'appels.

gcloud et API

Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.

Afficher des insights sur la page des détails de l'interface réseau de la VM

Affichez l'utilisation du pare-feu sur la page Informations sur l'interface réseau d'une VM.

Pour en savoir plus, consultez la section Répertorier les règles de pare-feu pour l'interface réseau d'une instance de VM.

Afficher les règles ayant été appelées au cours des 24 derniers mois

Console

  1. Dans la console Google Cloud, accédez à la page Instances de VM Compute Engine.

    Accéder à la page "Instances de VM" de Compute Engine

  2. Dans les résultats de recherche d'interface de VM, sélectionnez une VM, puis cliquez sur le menu Autres actions.

  3. Dans le menu, sélectionnez Afficher les détails du réseau.

  4. Sur la page Détails des pare-feu et des routes, cliquez sur l'onglet Règles de pare-feu.

  5. Dans la colonne Nombre d'appels, affichez le nombre d'appels pour le trafic allow (autorisé) et deny (refusé) au cours des 24 derniers mois pour toutes les règles de pare-feu associées à une interface réseau spécifique.

gcloud et API

Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.

Afficher les insights sur la page "Firewall"

Pour en savoir plus sur la page Pare-feu, consultez la section Répertorier les règles de pare-feu VPC pour un réseau VPC.

Répertorier les insights d'un projet

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Pour chaque règle de pare-feu, affichez le nom des insights disponibles dans la colonne Insights.

  3. Vous pouvez cliquer sur le nom d'un insight pour afficher les informations détaillées de cet insight.

Les sections suivantes décrivent comment afficher et interpréter les détails de chaque type d'insight.

Afficher les règles d'autorisation (allow) n'ayant fait l'objet d'aucun appel au cours des 24 derniers mois

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans la colonne Dernier appel, passez en revue la dernière utilisation d'une règle de pare-feu donnée au cours des 24 derniers mois.

gcloud et API

Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.

Afficher le graphique de l'historique d'utilisation d'une règle

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Cliquez sur le nom d'une règle de pare-feu.

  3. Dans la section Surveillance du nombre d'appels de la page, affichez le graphique qui indique le nombre d'appels de pare-feu pour une période donnée. Vous pouvez sélectionner un intervalle de temps pour le graphique de surveillance du nombre de requêtes.

gcloud et API

Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.

Afficher les règles deny utilisées au cours d'une période d'observation

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans la colonne Nombre d'appels, affichez le nombre de connexions uniques utilisées pour une règle de pare-feu donnée au cours des 24 derniers mois (valeur par défaut).

gcloud et API

Firewall Insights utilise les commandes de l'outil de recommandation. L'outil de recommandation est un service Google Cloud qui fournit des recommandations d'utilisation pour les produits et services Google Cloud.

Étape suivante