Firewallregeln prüfen und optimieren

Auf dieser Seite werden einige gängige Firewall Insights-Aufgaben zum Prüfen und Optimieren der Nutzung der VPC-Firewall (Virtual Private Cloud) beschrieben. Führen Sie diese Aufgaben aus, um die Konfigurationen Ihrer Firewallregeln zu optimieren und die Sicherheitsgrenzen zu verschärfen.

Beispielsweise sind Sie Netzwerkadministrator oder Entwickler für Netzwerksicherheit, die mehrere große freigegebene VPC-Netzwerke mit vielen Projekten und Anwendungen unterstützen. Sie möchten eine große Anzahl von Firewallregeln, die sich im Laufe der Zeit angesammelt haben, prüfen und optimieren, damit sie mit dem erwarteten Zustand Ihres Netzwerks übereinstimmen. Mit den folgenden Aufgaben können Sie Ihre Firewallregeln prüfen und optimieren.

Erforderliche Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zu gewähren, um die Berechtigungen zu erhalten, die Sie für die Verwendung von Firewall Insights benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die für die Verwendung von Firewall Insights erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Firewall Insights zu verwenden:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Regeln ansehen, die in den letzten 30 Tagen auf eine VM angewendet wurden

So überprüfen Sie Regeln, mit denen Sie Fehlkonfigurationen und unnötige verdeckte Regeln vermeiden können:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Compute Engine-VM-Instanzen:

    Zu Compute Engine-VM-Instanzen

  2. Filtern Sie im Feld Filter die Instanzen. Geben Sie dazu eines der folgenden Schlüssel/Wert-Paare ein, um relevante VMs zu finden.

    Network tags:TAG_NAME

    Ersetzen Sie TAG_NAME durch ein Tag, das einem VPC-Netzwerk zugewiesen ist.

    Internal IP:INTERNAL_IP_ADDRESS

    Ersetzen Sie INTERNAL_IP_ADDRESS durch eine interne IP-Adresse für eine VM-Schnittstelle.

    External IP:EXTERNAL_IP_ADDRESS

    Ersetzen Sie EXTERNAL_IP_ADDRESS durch eine externe IP-Adresse für eine VM-Schnittstelle.

  3. Wählen Sie in den Suchergebnissen für eine VM-Schnittstelle eine VM aus und klicken Sie auf das Menü Weitere Aktionen.

  4. Wählen Sie im Menü Netzwerkdetails anzeigen aus.

  5. Führen Sie auf der Seite Details zur Netzwerkschnittstelle die folgenden Schritte aus:

    1. Klicken Sie im Bereich Firewall- und Routendetails auf Firewalls und dann auf Filter.

    2. Geben Sie last hit after:YYYY-MM-DD ein, um die Firewallregeln zu filtern. Dieser Filterausdruck findet Firewallregeln mit den letzten Treffern.

    3. Klicken Sie bei einer Firewallregel auf die Zahl in der Spalte Trefferanzahl, um das Firewall-Log zu öffnen und die Trafficdetails zu prüfen, wie in der folgenden Beispielabfrage. Klicken Sie auf Filter senden, um eine Abfrage einzugeben.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2")

    4. Fügen Sie einen oder mehrere zusätzliche Cloud Logging-Filter hinzu, um die Firewall-Logdetails weiter zu filtern. In der folgenden Beispielabfrage wird beispielsweise ein zusätzlicher Filter hinzugefügt, der nach der Quell-IP-Adresse (src_ip) filtert. Klicken Sie auf Filter senden, um eine Abfrage einzugeben.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2") AND
jsonPayload.connection.src_ip:("10.0.1.2")

Plötzliche Erhöhungen der Trefferanzahl für deny-Firewallregeln erkennen

Sie können Cloud Monitoring so konfigurieren, dass Änderungen an der Trefferanzahl Ihrer VPC-deny-Firewallregeln erkannt werden. Sie können sich beispielsweise benachrichtigen lassen, wenn die Trefferanzahl einer bestimmten Regel um einen bestimmten Prozentsatz zunimmt. Durch Festlegen dieser Benachrichtigung können Sie mögliche Angriffe auf Ihre Google Cloud-Ressourcen erkennen.

So richten Sie eine Benachrichtigung ein:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

  2. Klicken Sie im Navigationsbereich auf Benachrichtigungen und dann auf Richtlinie erstellen.

  3. Klicken Sie auf der Seite Benachrichtigungsrichtlinie erstellen auf Benachrichtigungsbedingung hinzufügen. Eine neue Bedingung wird hinzugefügt.

  4. Maximieren Sie den Bereich Neue Bedingung und wählen Sie Trigger konfigurieren aus. Die Seite Trigger für Benachrichtigungen konfigurieren wird geöffnet.

  5. Konfigurieren Sie die Benachrichtigungsbedingungen. Verwenden Sie beispielsweise die folgenden Werte, um eine Benachrichtigung auszulösen, wenn die Trefferanzahl für die von Ihnen identifizierte Regel sechs Stunden lang um 10 % steigt:

    • Bedingungstypen: Legen Sie Threshold fest.
    • Benachrichtigungsauslöser: Legen Sie Any time series violates fest.
    • Grenzwertposition: Legen Sie Above threshold fest.
    • Grenzwert:Legen Sie 10 fest.

  6. Geben Sie im Abschnitt Erweiterte Optionen einen Namen für die Bedingung ein und klicken Sie auf Weiter.

  7. Geben Sie auf der Seite Trigger mit mehreren Bedingungen die Bedingung an und klicken Sie auf Weiter.

  8. Wählen Sie auf der Seite Benachrichtigungen konfigurieren die Option Benachrichtigungskanäle und dann Benachrichtigungskanäle verwalten aus.

  9. Fügen Sie im Fenster Benachrichtigungskanäle den neuen Benachrichtigungskanal, z. B. eine E-Mail-Adresse, hinzu und klicken Sie auf Speichern.

  10. Wählen Sie in der Liste Benachrichtigungskanäle die hinzugefügten Benachrichtigungen aus und klicken Sie dann auf OK.

  11. Geben Sie im Abschnitt Benachrichtigungsrichtlinie benennen den Namen ein und klicken Sie auf Weiter. Die Benachrichtigungsbedingung wird hinzugefügt.

Verdeckte Firewallregeln bereinigen

So bereinigen Sie Firewallregeln, die von anderen Regeln verdeckt werden:

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie im Bereich VPC-Firewallregeln auf Filter und wählen Sie dann Statistiktyp > Verdeckte Regeln aus.

  3. Klicken Sie bei jeder Regel in den Suchergebnissen auf den Namen der Regel und rufen Sie die Detailseite auf. Prüfen und bereinigen Sie jede Regel nach Bedarf.

Weitere Informationen zu verdeckten Regeln finden Sie unter Beispiele für verdeckte Regeln.

Nicht verwendete allow-Regel entfernen

So bewerten und entfernen Sie eine nicht verwendete allow-Regel:

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie im Bereich VPC-Firewallregeln auf Filter und wählen Sie dann Typ > Eingehend > Letzter Treffer vor MM/DD/YYYY aus.

    Ersetzen Sie MM/DD/YYYY durch das zu verwendende Datum. Beispiel: 08/31/2021.

  3. Prüfen Sie für jede Regel in den Suchergebnissen die Informationen in der Spalte Statistiken. Diese Spalte gibt einen Prozentsatz an, der die Wahrscheinlichkeit angibt, dass diese Regel in Zukunft erreicht wird. Wenn der Prozentsatz hoch ist, sollten Sie diese Regel beibehalten. Ist er jedoch niedrig, sollten Sie die Informationen, die sich aus der Statistik ergeben, weiter prüfen.

  4. Klicken Sie auf den Link, um den Bereich Statistikdetails aufzurufen.

  5. Prüfen Sie im Bereich Statistikdetails die Attribute dieser Regel sowie die Attribute ähnlicher Regeln, die aufgeführt sind.

  6. Wenn die Regel nur mit geringer Wahrscheinlichkeit einen Treffer hat und diese Vorhersage vom Treffermuster ähnlicher Regeln unterstützt wird, kann es sinnvoll sein, die Regel zu entfernen. Wenn Sie die Regel entfernen möchten, klicken Sie auf Regelname. Die Seite Details zur Firewallregel wird geöffnet.

  7. Klicken Sie auf Löschen.

  8. Klicken Sie im Bestätigungsdialogfeld auf Löschen.

Nicht verwendetes Attribut aus einer allow-Regel entfernen

So bewerten und entfernen Sie ein nicht verwendetes Attribut:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.

    Zu Firewall Insights

  2. Klicken Sie auf der Karte Zulassungsregeln mit nicht verwendeten Attributen auf Vollständige Liste ansehen. Als Antwort wird in der Google Cloud Console die Seite Zulassungsregeln mit nicht verwendeten Attributen angezeigt. Auf dieser Seite werden alle Regeln aufgelistet, deren Attribute während des Beobachtungszeitraums nicht verwendet wurden.

  3. Klicken Sie auf den Text, der in der Spalte Statistik angezeigt wird. Die Seite Details zur Statistik wird geöffnet.

  4. Prüfen Sie die Details oben auf der Seite. Die Zusammenfassung enthält die folgenden Details:

    • Der Name der Statistik.
    • Die Anzahl der nicht verwendeten Attribute, die diese Regel hat.
    • Die Zeit, zu der die Statistik zuletzt aktualisiert wurde.
    • Die Namen anderer Regeln im Projekt, die ähnliche Attribute verwenden.
    • Die Länge des Beobachtungszeitraums.

  5. Prüfen Sie, ob das Attribut entfernt werden kann:

    1. Sehen Sie sich die Karte Firewallregel mit Attributen ohne Treffer an. Sehen Sie sich das Feld Attribut ohne Treffer (mit Vorhersage zukünftiger Treffer) an. Dieses Feld gibt einen Prozentsatz an, der beschreibt, wie wahrscheinlich es ist, dass das Attribut in Zukunft zur Anwendung kommt.
    2. Prüfen Sie die Karte Ähnliche Firewallregel im selben Projekt. Überprüfen Sie die angezeigten Daten darüber, ob das Attribut dieser Regel verwendet wurde.

  6. Wenn das Attribut nur mit geringer Wahrscheinlichkeit einen Treffer hat und diese Vorhersage vom Treffermuster ähnlicher Regeln unterstützt wird, kann es sinnvoll sein, das Attribut von der Regel zu entfernen. Klicken Sie zum Entfernen des Attributs in der Seite Details zur Statistik oben auf den Namen der Regel. Die Seite Details zu Firewallregel wird geöffnet.

  7. Klicken Sie auf Bearbeiten, nehmen Sie die erforderlichen Änderungen vor und klicken Sie auf Speichern.

IP-Adressbereich einer allow-Regel eingrenzen

Beachten Sie, dass Ihr Projekt Firewallregeln enthalten kann, die den Zugriff von bestimmten IP-Adressblöcken für Load-Balancer-Systemdiagnosen oder für andere Google Cloud-Funktionen zulassen. Diese IP-Adressen sind zwar nicht betroffen, sollten aber nicht aus Ihren Firewall-Regeln entfernt werden. Weitere Informationen zu diesen Bereichen finden Sie in der Compute Engine-Dokumentation.

So bewerten und optimieren Sie einen zu moderaten IP-Adressbereich:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.

    Zu Firewall Insights

  2. Klicken Sie auf der Karte mit dem Namen Zulassungsregeln mit zu moderaten IP-Adressen oder Portbereichen auf Vollständige Liste anzeigen. Daraufhin zeigt die Google Cloud Console eine Liste aller Regeln an, die während des Beobachtungszeitraums übermäßig moderate Bereiche hatten.

  3. Suchen Sie eine Regel in der Liste und klicken Sie auf den Text, der in der Spalte Statistik angezeigt wird. Die Seite Details zur Statistik wird geöffnet.

  4. Prüfen Sie die Details oben auf der Seite. Die Zusammenfassung enthält die folgenden Details:

    • Der Name der Regel.
    • Die Anzahl der IP-Adressbereiche, die eingeschränkt werden könnten.
    • Die Zeit, zu der die Statistik zuletzt aktualisiert wurde.
    • Die Länge des Beobachtungszeitraums.

  5. Prüfen Sie, ob Sie den IP-Adressbereich einschränken können: Sehen Sie sich die Karte Firewallregel mit zu moderaten IP-Adress- oder Portbereichen an. Sehen Sie sich die Liste der vorgeschlagenen neuen IP-Adressbereiche an.

  6. Gegebenenfalls sollten Sie die Empfehlungen in der Statistik berücksichtigen, um den IP-Adressbereich einzugrenzen. Klicken Sie auf den Namen der Regel, der oben auf der Seite Details zur Statistik angezeigt wird. Die Seite Details zu Firewallregel wird geöffnet.

  7. Klicken Sie auf Bearbeiten, nehmen Sie die erforderlichen Änderungen vor und klicken Sie auf Speichern.

Nächste Schritte