Trabaja con casos prácticos comunes de Firewall Insights

En las siguientes secciones, se describen las formas en que puedes usar Firewall Insights para revisar el uso del entorno de ejecución de firewall de la nube privada virtual (VPC), limpiar y optimizar tus configuraciones de reglas de firewall y ajustar los límites de seguridad.

Revisa las siguientes métricas de Firewall Insights para permitirte diagnosticar posibles ataques de seguridad contra tus recursos de Google Cloud:

  • Reglas de firewall que se aplicaron a sus instancias de máquina virtual (VM) en los últimos 30 días
  • Reglas de firewall de Ingress deny con aumentos repentinos en su recuento de hit

Para obtener más información sobre las estadísticas y las métricas de uso descritas en esta página, consulta la descripción general de Firewall Insights.

Ver reglas aplicadas a una VM en los últimos 30 días

Console

Revisa estas reglas para evitar configuraciones incorrectas y reglas bloqueadas innecesarias:

  1. En Google Cloud Console, ve a la página Instancias de máquina virtual (VM) de Compute Engine.

    Ir a la página Compute Engine

  2. En el campo Filtrar instancias de VM, filtra las instancias ingresando uno de los siguientes pares clave-valor para encontrar VM relevantes. También puedes hacer clic en los valores que aparecen después de ingresar una clave, como Network tags:. Para obtener más información, consulta la documentación sobre etiquetas y direcciones IP.

    Network tags:tag-name

    Reemplaza tag-name por una etiqueta asignada a una red de VPC.

    Internal IP:internal-ip-address

    Reemplaza internal-ip-address por una dirección IP interna para una interfaz de VM.

    External IP:external-ip-address

    Reemplaza external-ip-address por una dirección IP externa para una interfaz de VM.

  3. En los resultados de la búsqueda de una interfaz de VM, busque una VM y haga clic en el menú más acciones .

  4. En el menú, selecciona Ver detalles de red.

  5. En la página Detalles de la interfaz de red, completa los siguientes pasos:

    1. En Reglas de firewall y detalles de rutas, ingresa last hit after:YYYY-MM-DD para filtrar las reglas de firewall. Esto encuentra reglas de firewall con accesos recientes.

    2. Para una regla de firewall, haz clic en el número en la columna Recuento de hit para abrir el registro de firewall y revisar los detalles del tráfico, como en la siguiente consulta de ejemplo. Para ingresar una consulta, haz clic en Enviar filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2")
      
    3. Agrega uno o más filtros adicionales de Cloud Logging para filtrar aún más los detalles del registro del firewall. Por ejemplo, la siguiente consulta de ejemplo agrega un filtro adicional que filtra por dirección IP de origen (src_ip). Para ingresar una consulta, haga clic en Enviar filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2") AND
      jsonPayload.connection.src_ip:("10.0.1.2")
      

Detecta aumentos repentinos en el recuento de aciertos de las reglas de firewall ingress deny

Puedes configurar alertas de Cloud Monitoring para detectar ciertos cambios de comportamiento en el recuento de hit de una o más reglas de firewall de VPC. Por ejemplo, puedes configurar una alerta cuando el recuento de hit en la regla ingress deny aumenta en un 100%. Configurar esta alerta es útil para detectar posibles ataques de seguridad contra tus recursos de Google Cloud.

Console

Para configurar una alerta:

  1. Crea un lugar de trabajo de Monitoring para tu proyecto.

  2. En Cloud Console para tu lugar de trabajo, ve a la página Alertas para Monitoring.

    Ir a la página Alertas de Monitoring

  3. En la parte superior de la página, haz clic en Crear política.

  4. En la página Crear política de alertas, realiza los siguientes pasos:

    1. Asígnale un nombre a la política

    2. Haz clic en Agregar condición y, luego, ingresa la métrica para recuentos de hit de firewall de VM (firewallinsights.googleapis.com/vm/firewall_hit_count).

    3. Ingresa los filtros y las condiciones de alerta necesarios. Para conocer los pasos, consulta Especifica condiciones para las políticas de alertas.

    4. Haga clic en Add.

    5. Haz clic en Agregar canal de notificación y, luego, agrega una dirección de correo electrónico.

    6. Haga clic en Save.

Cómo limpiar reglas de firewall bloqueadas

Para obtener más información sobre las reglas bloqueadas, consulta el ejemplo de reglas bloqueadas en la descripción general de Firewall Insights.

Console

Para limpiar las reglas de firewall que están bloqueadas, sigue estos pasos:

  1. En Cloud Console, ve a la página Reglas de firewall de VPC.

    Ir a la página Reglas de firewall

  2. En el campo Filtro de tabla, ingresa la siguiente consulta:

    Insight type: Shadowed by
  3. Para cada regla en los resultados de la búsqueda, haz clic en el Nombre de la regla y visualiza su página de detalles. Revisa y limpia cada regla según sea necesario.

Limpia reglas ingress allow sin usar

Console

Para encontrar las reglas de entrada que no recibieron durante la cantidad de días solicitada, sigue estos pasos:

  1. En Cloud Console, ve a la página Reglas de firewall de VPC.

    Ir a la página Reglas de firewall

  2. En el campo Filtro de tabla, ingresa la siguiente consulta:

    Type:Ingress Last hit before:YYYY-MM-DD

    Reemplaza YYYY-MM-DD por la fecha que deseas usar. Por ejemplo, 03/02/2020

  3. Para cada regla en los resultados de la búsqueda, haz clic en el Nombre de la regla y visualiza su página de detalles. Revisa y limpia cada regla según sea necesario.

Qué sigue