ファイアウォール インサイトを表示して理解する

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

ファイアウォール インサイトは、ファイアウォール ルールの使用パターンを理解するのに役立ちます。これらの分析情報は、ファイアウォール構成を簡素化して保護するために、ファイアウォール ルールの削除または変更を行う際の判断に役立ちます。

次の分析情報は、Google Cloud コンソールの [ファイアウォール インサイト] ページだけでなく、Google Cloud コンソールの他の場所でも確認できます。

  • シャドウ ファイアウォール ルールを使用すると、既存のルールと重複しているファイアウォール ルールを特定できます。
  • 制限が過度に緩いルールを使用すると、ヒットがない、未使用属性がある、または制限が過度に緩い IP アドレスまたはポート範囲を含む allow ルールを特定できます。
  • 拒否ルールを使用すると、構成した観察期間にヒットした deny ルールの詳細を確認できます。

制限が過度に緩いルールと拒否ルールの分析情報は、ファイアウォール ルールのロギングが有効になっているときに収集されたデータに基づいて生成されます。

Google Cloud コンソールの [ファイアウォール インサイト] ページで、分析情報を表示する各カードには、分析情報の条件を満たすプロジェクトのすべてのルールが一覧表示されます。

結果を 1 つの VPC ネットワークに限定する場合は、ページの上部にあるフィルタバーでネットワークを選択します。

詳細については、指標と分析情報が表示される場所をご覧ください。

以下のセクションでは、各分析情報の表示方法について説明します。

必要なロールと権限

分析情報の表示に必要な権限を取得するには、プロジェクトに対して次の IAM ロールを付与するよう管理者に依頼してください。

  • Firewall Recommender 管理者(roles/recommender.firewallAdmin
  • ファイアウォール推奨事項閲覧者(roles/recommender.firewallViewer

ロールの付与の詳細については、アクセスの管理をご覧ください。

この事前定義ロールには、分析情報を表示するために必要な recommender.computeFirewallInsights.list 権限が含まれています。カスタムロールや他の事前定義ロールを使用して、この権限を取得することもできます。

シャドウ ファイアウォール ルールを表示する

この分析情報については、シャドウルールをご覧ください。

コンソール

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [シャドウルール] というカードで、[全リストを表示] をクリックします。これに応じて、Google Cloud コンソールに [シャドウルール] ページが表示されます。このページには、すべての VPC ネットワークが一覧表示されます。

    プロジェクト内の VPC ネットワークごとに、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、VPC ファイアウォール ルールの分析情報をルールの優先度とともに確認できます。各ルールの [分析情報] 列には、ルールがシャドウルールとして識別された理由の概要が表示されます。

  3. 省略可: フィルタリングを使用して、ルール名、優先度、ポリシー名に基づいてリスト内の結果を絞り込みます。

  4. シャドウルールとシャドウルールの詳細を表示するには、分析情報をクリックします。

gcloud と API

ファイアウォール インサイトは Recommender コマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

ヒットのない allow ルールを表示する

この分析情報については、ヒットのない許可ルールをご覧ください。

コンソール

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [ヒットのない許可ルール] というカードで、[全リストを表示] をクリックします。これに応じて、Google Cloud コンソールに [ヒットのない許可ルール] ページが表示されます。このページでは、観察期間中にヒットのないすべての VPC ネットワークの一覧が表示されます。

    各ルールの [分析情報] 列には、観察期間中にファイアウォール ルールがヒットしなかったかどうかが表示されます。[今後のヒットの予測] 列には、同じ組織内のファイアウォール ルールに基づいた将来の使用状況の予測が表示されます。

  3. 省略可: フィルタリングを使用し、ルール名、優先度、ポリシー名に基づいてリスト内の結果を絞り込みます。

  4. リスト内のルールについて、必要に応じて次のいずれかを行います。

    • ルールの [ファイアウォール ルールの詳細] ページを表示するには、ルールの名前をクリックします。
    • ルールのロギングを表示するには、[監査ログを表示] をクリックします。
    • 予測の詳細を表示するには、[分析情報] 列のリンクをクリックします。この操作により、[分析情報の詳細] パネルが表示されます。このパネルには、ルールの主な属性が表示されます。また、プロジェクト内で類似の属性を含む他のルールについても表示されます。

gcloud と API

ファイアウォール インサイトは Recommender コマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

傾向分析に基づいて未使用の allow ルールを表示する

Google Cloud CLI と Recommender API を使用して、傾向分析に基づいて未使用の allow ルールを表示できます。

この分析情報については、傾向分析に基づいて未使用のルールを許可するをご覧ください。

gcloud

傾向分析に基づいて未使用の allow ルールを一覧表示するには、次のコマンドを使用します。

gcloud recommender insights list \
    --project=PROJECT_ID \
    --location=global \
    --insight-type=google.compute.firewall.Insight \
    --filter="insightSubtype:DEACTIVATED_RULE"

PROJECT_ID は、分析情報を取得する Google Cloud プロジェクトの ID に置き換えます。

API

  • プロジェクトのすべての分析情報を一覧表示するには、recommender.insightTypes.insights メソッドを使用します。

    GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/global/insightTypes google.compute.firewall.Insight/insights
    
  • 傾向分析に基づいて特定の INSIGHT_ID に関する情報を取得するには、recommender.insightTypes.insights メソッドを使用します。

    GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/global/insightTypes google.compute.firewall.Insight/insights/INSIGHT_ID
    

    以下を置き換えます。

    • PROJECT_ID: 分析情報を取得する Google Cloud プロジェクトの ID
    • INSIGHT_ID: トレンド分析に基づいて分析情報を表示する分析情報の ID

未使用の属性を含む allow ルールを表示する

この分析情報については、未使用の属性を含む許可ルールをご覧ください。

コンソール

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [未使用の属性を含む許可ルール] というカードで、[全リストを表示] をクリックします。これに応じて、Google Cloud コンソールに [未使用の属性を含む許可ルール] ページが表示されます。このページでは、観察期間中に未使用の属性があるルールを持つすべての VPC ネットワークが表示されます。

    各ルールの [分析情報] 列には、観察期間中に使用されていなかった属性の数が表示されます。

  3. 省略可: フィルタリングを使用し、ルール名、優先度、ポリシー名に基づいてリスト内の結果を絞り込みます。

  4. リスト内の VPC ネットワークについて、必要に応じて次のいずれかを行います。

    • ルールの [ファイアウォール ルールの詳細] ページを表示するには、ルールの名前をクリックします。
    • ルールのロギングを表示するには、[監査ログを表示] をクリックします。
    • 予測の詳細を表示するには、予測リンクをクリックします。この操作により、[分析情報の詳細] パネルが表示されます。このパネルには、ルールの主な属性が表示されます。また、プロジェクト内で類似の属性を含む他のルールについても表示されます。

gcloud と API

ファイアウォール インサイトは Recommender コマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

制限が過度に緩い IP アドレスまたはポート範囲を含む allow ルールを表示する

この分析情報については、制限が過度に緩い IP アドレスまたはポート範囲を含む許可ルールをご覧ください。

プロジェクトに、ロードバランサのヘルスチェックや他の Google Cloud 機能のために特定の IP アドレス ブロックへのアクセスを許可するファイアウォール ルールが存在する場合があります。これらの IP アドレスはヒットしない可能性がありますが、ファイアウォール ルールから削除しないでください。これらの範囲の詳細については、Compute Engine のドキュメントをご覧ください。

コンソール

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [制限が過度に緩い IP アドレスまたはポート範囲を含む許可ルール] というカードで、[全リストを表示] をクリックします。それに応じて、観測期間中に確認された、制限が過度に緩いすべてのルールが Google Cloud コンソールに表示されます。

  3. リスト内のルールについて、必要に応じて次のいずれかを行います。

    • ルールの [ファイアウォール ルールの詳細] ページを表示するには、ルールの名前をクリックします。
    • ルールのロギングを表示するには、[監査ログを表示] をクリックします。
    • 範囲を絞り込む方法のヒントを表示するには、[分析情報] 列のリンクをクリックします。この操作により、[分析情報の詳細] パネルが表示されます。このパネルには、ルールの主な属性が表示されます。IP アドレスまたはポート範囲をより狭い範囲で定義することが提案されます。

gcloud と API

ファイアウォール インサイトは Recommender コマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

ヒットした deny ルールを表示する

この分析情報については、ヒットが含まれる拒否ルールをご覧ください。

コンソール

  1. Google Cloud Console で [ファイアウォール インサイト] ページに移動します。

    [ファイアウォール インサイト] に移動

  2. [ヒットが含まれる拒否ルール] というカードで、[全リストを表示] をクリックします。これに応じて、Google Cloud コンソールに [ヒットが含まれる拒否ルール] ページが表示されます。このページでは、観察期間中にヒットが発生した deny ルールを持つすべての VPC ネットワークが一覧表示されます。

  3. ファイアウォールによってドロップされたパケットを確認するには、[ヒットカウント] をクリックします。

gcloud と API

ファイアウォール インサイトは Recommender コマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

VM ネットワーク インターフェースの詳細ページで分析情報を表示する

VM の [ネットワーク インターフェースの詳細] ページでファイアウォールの使用状況を表示します。

このページの詳細については、VM インスタンスのネットワーク インターフェースのファイアウォール ルールを一覧表示するをご覧ください。

過去 24 時間にヒットしたルールを表示する

コンソール

  1. Google Cloud コンソールで、Compute Engine の [VM インスタンス] ページに移動します。

    Compute Engine の [VM インスタンス] に移動

  2. VM を選択し、ページの右端にあるその他の操作メニュー をクリックします。

  3. メニューで、[ネットワークの詳細を表示] を選択します。

  4. [ファイアウォールとルートの詳細] セクションで、[ファイアウォール ルール] タブをクリックします。

  5. [ヒットカウント] 列で、特定のネットワーク インターフェースに関連付けられたすべてのファイアウォール ルールに対する、過去 24 か月間の allowdeny のトラフィックのヒット数を表示します。

gcloud と API

ファイアウォール インサイトは Recommender コマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

[ファイアウォール] ページで分析情報を表示する

[ファイアウォール] ページの詳細については、VPC ネットワークのファイアウォール ルールを一覧表示するをご覧ください。

プロジェクトの分析情報を一覧表示する

コンソール

  1. Google Cloud コンソールで [ファイアウォール] ページに移動します。

    [ファイアウォール] に移動

  2. ファイアウォール ルールごとに、利用可能な分析情報の名前を [分析情報] 列に表示します。

  3. 分析情報の名前をクリックすると、その詳細が表示されます。

次のセクションでは、各種類の分析情報の詳細を表示および解釈する方法について説明します。

過去 24 か月間にヒットのない allow ルールを表示する

コンソール

  1. Google Cloud コンソールで [ファイアウォール] ページに移動します。

    [ファイアウォール] に移動

  2. [前回のヒット] 列で、過去 24 か月に特定のファイアウォール ルールがいつ最後に使用されたか確認します。

gcloud と API

ファイアウォール インサイトは Recommender コマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

ルールの使用状況の履歴グラフを表示する

コンソール

  1. Google Cloud コンソールで [ファイアウォール] ページに移動します。

    [ファイアウォール] に移動

  2. ファイアウォール ルール名をクリックします。

  3. そのページの [ヒットカウント モニタリング] セクションで、特定の期間におけるファイアウォール ヒット数を示す結果のグラフを表示します。ヒットカウントのモニタリング グラフの期間を選択できます。

gcloud と API

ファイアウォール インサイトは Recommender コマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

観察期間にヒットした deny ルールを表示する

コンソール

  1. Google Cloud コンソールで [ファイアウォール] ページに移動します。

    [ファイアウォール] に移動

  2. [ヒットカウント] 列で、過去 24 か月間(デフォルト)に特定のファイアウォール ルールで使用された一意の接続数を表示します。

gcloud と API

ファイアウォール インサイトは Recommender コマンドを使用します。Recommender は、Google Cloud プロダクトとサービスの使用状況に関する推奨事項を提供する Google Cloud サービスです。

次のステップ