Trabaja con casos prácticos comunes de Firewall Insights

En las siguientes secciones, se describen las formas en que puedes usar las Estadísticas de firewall para revisar el uso del entorno de ejecución del firewall de la nube privada virtual (VPC), realizar una limpieza, optimizar la configuración de las reglas de firewall y ajustar los límites de seguridad.

Revisa las siguientes métricas de Estadísticas de Firewall para permitirte diagnosticar los posibles ataques a la seguridad de tus recursos de Google Cloud:

  • Las reglas de firewall que se aplicaron a las instancias de máquina virtual (VM) en los últimos 30 días
  • Reglas de firewall de Ingress deny con aumentos repentinos en su recuento de hit

Para obtener más información sobre las estadísticas y las métricas de uso que se describen en esta página, consulta la descripción general de las Estadísticas de Firewall.

Visualiza las reglas aplicadas a una VM en los últimos 30 días

Console

Revisa estas reglas para evitar configuraciones incorrectas y reglas bloqueadas innecesarias:

  1. En Google Cloud Console, ve a la página Instancias de VM de Compute Engine.

    Ir a Instancias de VM de Compute Engine

  2. En el campo Filtrar instancias de VM, ingresa uno de los siguientes pares clave-valor para encontrar VM relevantes y filtrar las instancias. También puedes hacer clic en los valores que aparecen después de ingresar una clave, como Network tags:. Para obtener más información, consulta la documentación sobre etiquetas y direcciones IP.

    Network tags:TAG_NAME

    Reemplaza TAG_NAME por una etiqueta asignada a una red de VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Reemplaza INTERNAL_IP_ADDRESS por una dirección IP interna para una interfaz de VM.

    External IP:EXTERNAL_IP_ADDRESS

    Reemplaza EXTERNAL_IP_ADDRESS por una dirección IP externa para una interfaz de VM.

  3. En los resultados de la búsqueda de una interfaz de VM, busca una VM y haz clic en el menú más acciones .

  4. En el menú, selecciona Ver detalles de red.

  5. En la página Detalles de la interfaz de red, completa los siguientes pasos:

    1. En Detalles de las rutas y las reglas del firewall, ingresa last hit after:YYYY-MM-DD para filtrar las reglas del firewall. Esto busca las reglas del firewall con hits recientes.

    2. En el caso de una regla de firewall, haz clic en el número en la columna Recuento de hits a fin de abrir el registro del firewall y revisar los detalles del tráfico, como en la siguiente consulta de ejemplo. Para ingresar una consulta, haz clic en Enviar filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2")
      
    3. Agrega uno o más filtros adicionales de Cloud Logging para filtrar aún más los detalles del registro del firewall. Por ejemplo, la siguiente consulta de ejemplo agrega un filtro adicional que filtra por dirección IP de origen (src_ip). Para ingresar una consulta, haz clic en Enviar filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2") AND
      jsonPayload.connection.src_ip:("10.0.1.2")
      

Detecta aumentos repentinos en el recuento de hits de las reglas del firewall de ingress deny

Puedes configurar Cloud Monitoring para detectar cambios en el recuento de hits de tus reglas de firewall de VPC ingress deny. Por ejemplo, puedes optar por recibir alertas cuando el recuento de hits de una regla en particular aumente en un porcentaje determinado. Configurar esta alerta te ayuda a detectar posibles ataques en tus recursos de Google Cloud.

Puedes crear esta alerta para las reglas que tienen habilitado el registro de reglas de firewall.

Console

Para configurar una alerta, completa los siguientes pasos:

  1. En Cloud Console, ve a la página Monitoring.

    Ir a Monitoring

  2. En el panel de navegación, selecciona Alertas.

  3. En la parte superior de la página, haz clic en Crear política.

  4. En la página Crear política de alertas, haz clic en Agregar condición y, luego, completa los siguientes pasos:

    1. Ingresa un nombre para la condición.

    2. En el campo Buscar tipo de recurso y métrica, ingresa firewallinsights.googleapis.com/vm/firewall_hit_count (recuentos de hit de firewall de VM). En esta métrica, se muestra el recuento de hits de las reglas de firewall que se activan para el tráfico dirigido a una VM en particular.

    3. Ingresa filtros. Por ejemplo:

      • Usa instance_id para especificar el ID de una VM.
      • Usa firewall_name para identificar una regla de firewall que tenga habilitado el registro de las reglas de firewall.
    4. Configura las condiciones de alerta. Por ejemplo, usa los siguientes valores para activar una alerta cuando el recuento de hits de la regla que identificaste aumente un 10% durante seis horas:

      • Activadores de condición si: Se configura como Any time series violates
      • Condición: Se configura como increases by
      • Umbral: Se configura como 10
      • Para: Se configura como 6 hours
    5. Haga clic en Add.

    6. Haz clic en Agregar canal de notificaciones y, luego, agrega, por ejemplo, una dirección de correo electrónico.

    7. Haga clic en Save.

Cómo limpiar reglas de firewall bloqueadas

Para obtener más información sobre las reglas bloqueadas, consulta el ejemplo de reglas bloqueadas en la descripción general de Firewall Insights.

Console

Para limpiar las reglas de firewall que están bloqueadas, sigue estos pasos:

  1. En Cloud Console, ve a la página Firewall.

    Ir a Firewall

  2. En el campo Filtrar tabla, ingresa la siguiente consulta:

    Insight type: Shadowed by
  3. Para cada regla en los resultados de la búsqueda, haz clic en el Nombre de la regla y visualiza su página de detalles. Revisa y limpia cada regla según sea necesario.

Limpia reglas ingress allow sin usar

Console

Para encontrar las reglas de entrada que no recibieron durante la cantidad de días solicitada, sigue estos pasos:

  1. En Cloud Console, ve a la página Firewall.

    Ir a Firewall

  2. En el campo Filtrar tabla, ingresa la siguiente consulta:

    Type:Ingress Last hit before:YYYY-MM-DD

    Reemplaza YYYY-MM-DD por la fecha que deseas usar. Por ejemplo, 2020-03-30.

  3. Para cada regla en los resultados de la búsqueda, haz clic en el Nombre de la regla y visualiza su página de detalles. Revisa y limpia cada regla según sea necesario.

¿Qué sigue?