Visualizzare e comprendere Firewall Insights

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Firewall Insights aiuta a comprendere i pattern di utilizzo delle regole firewall. Puoi utilizzare questi insight per supportare le decisioni relative alla rimozione o alla modifica delle regole firewall per semplificare e proteggere la configurazione del firewall.

Puoi visualizzare i seguenti insight nella pagina Firewall Insights di Google Cloud Console e in molti altri posti della console Google Cloud:

  • Le regole firewall con shadowing ti aiutano a identificare regole firewall che si sovrappongono a regole esistenti.
  • Le regole eccessivamente permissive ti aiutano a identificare le regole allow senza corrispondenze, con attributi inutilizzati o con intervalli di indirizzi IP o porte eccessivamente permissivi.
  • Le regole di negazione forniscono i dettagli sulle regole deny che hanno avuto corrispondenze durante il periodo di osservazione configurato.

Le regole eccessivamente permissive e gli insight sulle regole di negazione vengono generati in base ai dati raccolti per il periodo di tempo in cui è abilitato il logging delle regole firewall.

Nella pagina Firewall Insights della console Google Cloud, ogni scheda che mostra gli insight include un elenco di tutte le regole nel progetto che soddisfano i criteri degli insight. Se vuoi limitare i risultati a una rete VPC, utilizza la barra dei filtri nella parte superiore della pagina per selezionare una rete.

Per scoprire di più, consulta Dove puoi visualizzare metriche e approfondimenti.

Le seguenti sezioni descrivono come visualizzare ogni insight.

Autorizzazioni e ruoli richiesti

Per ottenere l'autorizzazione necessaria per visualizzare gli insight, chiedi all'amministratore di concederti i seguenti ruoli IAM nel tuo progetto:

  • Amministratore motore per suggerimenti firewall (roles/recommender.firewallAdmin)
  • Visualizzatore motore per suggerimenti firewall (roles/recommender.firewallViewer)

Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.

Questo ruolo predefinito contiene l'autorizzazione recommender.computeFirewallInsights.list, necessaria per visualizzare gli insight. Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.

Visualizza le regole firewall con shadowing

Per informazioni su questo insight, vedi Regole con shadowing.

Console

  1. Nella console Google Cloud, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Nella scheda Regole con shadowing, fai clic su Visualizza elenco completo. Nella risposta, la console Google Cloud mostra la pagina Regole con shadowing, che elenca tutte le regole che sono state identificate come con shadowing. La colonna Insight per ogni regola fornisce un riepilogo del motivo per cui la regola è stata identificata come regola con shadowing.

  3. Per visualizzare ulteriori dettagli sulla regola con shadowing e sulle regole che la eseguono, fai clic sull'insight.

gcloud e API

Firewall Insights utilizza i comandi recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti sull'utilizzo di prodotti e servizi Google Cloud.

Visualizzare allow regole senza corrispondenze

Per ulteriori informazioni, consulta Consentire le regole senza corrispondenze.

Console

  1. Nella console Google Cloud, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Nella scheda Consenti regole senza corrispondenze, fai clic su Visualizza elenco completo. Di conseguenza, la console Google Cloud mostra la pagina Consenti regole senza corrispondenze, in cui sono elencate tutte le regole che non hanno avuto corrispondenze durante il periodo di osservazione. La colonna Insight per ogni regola mostra se la regola firewall ha avuto hit durante il periodo di osservazione. La colonna Previsione di corrispondenze future mostra una previsione dell'utilizzo futuro in base alle regole firewall nella stessa organizzazione.

  3. Per qualsiasi regola nell'elenco, esegui una delle seguenti operazioni:

    • Per visualizzare la pagina Dettagli delle regole firewall, fai clic sul nome della regola.
    • Per visualizzare il logging per la regola, fai clic sul link Visualizza audit log.
    • Per visualizzare i dettagli sulla previsione, fai clic sul link della previsione. In risposta, viene visualizzato il riquadro Dettagli approfondimento. Questo riquadro descrive gli attributi principali della regola. Descrive anche gli attributi di altre regole simili nel progetto e il numero di hit.

gcloud e API

Firewall Insights utilizza i comandi recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti sull'utilizzo di prodotti e servizi Google Cloud.

Visualizza allow regole con attributi inutilizzati

Per ulteriori informazioni, consulta la pagina Consentire le regole con attributi inutilizzati.

Console

  1. Nella console Google Cloud, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Nella scheda Consenti regole con attributi inutilizzati, fai clic su Visualizza elenco completo. Di conseguenza, la console Google Cloud mostra la pagina Consenti regole con attributi inutilizzati. Questa pagina elenca tutte le regole identificate che avevano attributi inutilizzati durante il periodo di osservazione. La colonna Approfondimenti per ogni regola mostra il numero di attributi inutilizzati durante il periodo di osservazione.

  3. Per qualsiasi regola nell'elenco, esegui una delle seguenti operazioni:

    • Per visualizzare la pagina Dettagli delle regole firewall, fai clic sul nome della regola.
    • Per visualizzare il logging per la regola, fai clic sul link Visualizza audit log.
    • Per visualizzare i dettagli sulla previsione, fai clic sul link della previsione. In risposta, viene visualizzato il riquadro Dettagli approfondimento. Questo riquadro descrive gli attributi principali della regola. Descrive anche altre regole nel progetto che hanno attributi simili.

gcloud e API

Firewall Insights utilizza i comandi recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti sull'utilizzo di prodotti e servizi Google Cloud.

Visualizza allow regole con intervalli di indirizzi IP o porte eccessivamente permissivi

Per informazioni su questo insight, consulta Consentire le regole con intervalli di porte o indirizzi IP eccessivamente permissivi.

Tieni presente che il tuo progetto potrebbe avere regole firewall che consentono l'accesso da determinati blocchi di indirizzi IP per i controlli di integrità del bilanciatore del carico o per altre funzionalità di Google Cloud. Questi indirizzi IP potrebbero non essere interessati, ma non devono essere rimossi dalle regole firewall. Per ulteriori informazioni su questi intervalli, consulta la documentazione di Compute Engine.

Console

  1. Nella console Google Cloud, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Nella scheda Consenti regole con indirizzi IP o intervalli di porte eccessivamente permissivi, fai clic su Visualizza elenco completo. Di conseguenza, nella console Google Cloud viene visualizzato un elenco di tutte le regole con intervalli eccessivamente permissivi durante il periodo di osservazione.

  3. Per qualsiasi regola nell'elenco, esegui una delle seguenti operazioni:

    • Per visualizzare la pagina Dettagli delle regole firewall per una regola, fai clic sul nome della regola.
    • Per visualizzare il logging per la regola, fai clic sul link Visualizza audit log.
    • Per visualizzare suggerimenti su come restringere l'intervallo, fai clic sul link nella colonna Approfondimenti. In risposta, viene visualizzato il riquadro Dettagli approfondimento. Questo riquadro descrive gli attributi principali della regola. Questo suggerisce intervalli di indirizzi IP o porte definiti più restrittivi che potresti utilizzare.

gcloud e API

Firewall Insights utilizza i comandi recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti sull'utilizzo di prodotti e servizi Google Cloud.

Visualizza deny regole con hit

Per saperne di più su questo insight, consulta Regole di negazione con hit.

Console

  1. Nella console Google Cloud, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Nella scheda Regole di negazione con hit, fai clic su Visualizza elenco completo. Nella risposta, la console Google Cloud mostra la pagina Regole di negazione con hit, in cui sono elencate tutte le regole deny che hanno avuto corrispondenze durante il periodo di osservazione.

  3. Per esaminare i pacchetti eliminati da un firewall, fai clic su Conteggio hit.

gcloud e API

Firewall Insights utilizza i comandi recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti sull'utilizzo di prodotti e servizi Google Cloud.

Visualizza insight nella pagina dei dettagli dell'interfaccia di rete delle VM

Visualizza l'utilizzo del firewall nella pagina Dettagli interfaccia di rete di una VM.

Per ulteriori informazioni su questa pagina, consulta Elenca le regole del firewall per un'interfaccia di rete di un'istanza VM.

Visualizza le regole con hit negli ultimi 24 mesi

Console

  1. Nella console Google Cloud, vai alla pagina Istanze VM di Compute Engine.

    Vai alle istanze VM di Compute Engine

  2. Scegli una VM e fai clic sul menu Altre azioni all'estrema destra della pagina.

  3. Nel menu, seleziona Visualizza dettagli rete.

  4. Nella sezione Dettagli firewall e route, fai clic sulla scheda Regole firewall.

  5. Nella colonna Conteggio hit, visualizza il numero di hit per il traffico allow e deny degli ultimi 24 mesi per tutte le regole firewall associate a un'interfaccia di rete specifica.

gcloud e API

Firewall Insights utilizza i comandi recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti sull'utilizzo di prodotti e servizi Google Cloud.

Visualizza gli insight nella pagina Firewall

Per ulteriori informazioni sulla pagina Firewall, consulta l'articolo Elencare le regole firewall per una rete VPC.

Elenco insight per un progetto

Console

  1. Nella console Google Cloud, vai alla pagina Firewall.

    Vai a Firewall

  2. Per ogni regola firewall, visualizza il nome degli insight disponibili nella colonna Approfondimenti.

  3. Puoi fare clic sul nome di un approfondimento per visualizzarne i dettagli. Le seguenti sezioni descrivono come visualizzare e interpretare i dettagli per ciascun tipo di approfondimento.

Visualizza regole allow senza corrispondenze negli ultimi 24 mesi

Console

  1. Nella console Google Cloud, vai alla pagina Firewall.

    Vai a Firewall

  2. Nella colonna Ultimo hit, controlla l'ultima volta che una determinata regola firewall è stata utilizzata negli ultimi 24 mesi.

gcloud e API

Firewall Insights utilizza i comandi recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti sull'utilizzo di prodotti e servizi Google Cloud.

Visualizzare il grafico della cronologia di utilizzo di una regola

Console

  1. Nella console Google Cloud, vai alla pagina Firewall.

    Vai a Firewall

  2. Fai clic sul nome di una regola firewall.

  3. Nella sezione Monitoraggio del numero di hit della pagina, visualizza il grafico risultante che mostra il conteggio degli hit del firewall per un determinato periodo di tempo. Puoi selezionare un intervallo di tempo per il grafico di monitoraggio del numero di hit.

gcloud e API

Firewall Insights utilizza i comandi recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti sull'utilizzo di prodotti e servizi Google Cloud.

Visualizza deny regole con hit per un periodo di osservazione

Console

  1. Nella console Google Cloud, vai alla pagina Firewall.

    Vai a Firewall

  2. Nella colonna Conteggio hit, visualizza il numero di connessioni univoche utilizzate per una determinata regola firewall negli ultimi 24 mesi (impostazione predefinita).

gcloud e API

Firewall Insights utilizza i comandi recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce suggerimenti sull'utilizzo di prodotti e servizi Google Cloud.

Passaggi successivi