Utiliser des cas d'utilisation courants pour Firewall Insights

Les sections suivantes décrivent les différentes manières d'utiliser Firewall Insights pour examiner l'utilisation du pare-feu de votre cloud privé virtuel (VPC, Virtual Private Cloud), nettoyer et optimiser vos configurations de règles de pare-feu et affiner les limites de sécurité.

Consultez les métriques suivantes de Firewall Insights pour diagnostiquer les éventuelles attaques de sécurité contre vos ressources Google Cloud :

  • Règles de pare-feu qui ont été appliquées à vos instances de machine virtuelle (VM) au cours des 30 derniers jours
  • Règles Ingress deny de pare-feu présentant une augmentation soudaine du nombre d'appels

Pour en savoir plus sur les insights et les métriques d'utilisation décrites sur cette page, consultez la présentation de FIrewall Insights.

Afficher les règles appliquées à une VM au cours des 30 derniers jours

Console

Consultez ces règles pour éviter les erreurs de configuration et le blocage inutile de règles :

  1. Dans Google Cloud Console, accédez à la page Instances de machines virtuelles (VM) Compute Engine.

    Accédez à la page VM de Compute Engine.

  2. Dans le champ Filtrer les instances de VM, saisissez l'une des paires clé/valeur suivantes pour rechercher et filtrer les VM correspondantes. Vous pouvez également cliquer sur des valeurs qui apparaissent après la saisie d'une clé, par exemple Network tags:. Pour plus d'informations, consultez la documentation sur les tags et les adresses IP.

    Network tags:TAG_NAME

    Remplacez TAG_NAME par un tag attribué à un réseau VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Remplacez INTERNAL_IP_ADDRESS par une adresse IP interne pour une interface de VM.

    External IP:EXTERNAL_IP_ADDRESS

    Remplacez EXTERNAL_IP_ADDRESS par une adresse IP externe pour une interface de VM.

  3. Dans les résultats de recherche d'interface de VM, recherchez une VM et cliquez sur son menu Autres actions .

  4. Dans le menu, sélectionnez Afficher les détails du réseau.

  5. Sur la page Détails de l'interface réseau, procédez comme suit :

    1. Sous Règles de pare-feu et détails des routes, saisissez last hit after:YYYY-MM-DD pour filtrer les règles de pare-feu. Les règles de pare-feu comportant des appels récents apparaissent.

    2. Pour une règle de pare-feu, cliquez sur le nombre dans la colonne Nombre de visites pour ouvrir le journal du pare-feu et consulter les détails du trafic, comme dans l'exemple de requête suivant. Pour saisir une requête, cliquez sur Envoyer le filtre.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2")
      
    3. Ajoutez un ou plusieurs filtres Cloud Logging supplémentaires pour affiner le filtrage des détails du journal du pare-feu. Par exemple, l'exemple de requête suivant ajoute un filtre par adresse IP source (src_ip). Pour saisir une requête, cliquez sur Envoyer le filtre.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2") AND
      jsonPayload.connection.src_ip:("10.0.1.2")
      

Détecter les augmentations soudaines du nombre d'appels des règles de pare-feu ingress deny

Vous pouvez configurer Cloud Monitoring pour qu'il détecte les modifications du nombre d'appels de vos règles de pare-feu VPC ingress deny. Par exemple, vous pouvez choisir d'être alerté lorsque le nombre d'appels d'une règle particulière augmente d'un certain pourcentage. La définition de cette alerte vous permet de détecter d'éventuelles attaques sur vos ressources Google Cloud.

Vous pouvez créer cette alerte pour les règles dont la journalisation des règles de pare-feu est activée.

Console

Pour définir l'alerte, procédez comme suit :

  1. Dans Cloud Console, sélectionnez votre projet Google Cloud, puis sélectionnez Monitoring dans le volet de navigation.

    Accéder à Cloud Console

  2. Dans le volet de navigation, sélectionnez Alertes.

  3. En haut de la page, cliquez sur Créer une règle.

  4. Sur la page Créer une règle d'alerte, cliquez sur Ajouter une condition, puis procédez comme suit :

    1. Saisissez un nom pour la condition.

    2. Dans le champ Rechercher un type de ressource et une métrique, saisissez firewallinsights.googleapis.com/vm/firewall_hit_count (nombre d'appels du pare-feu de VM). Cette métrique affiche le nombre d'appels de règles de pare-feu déclenchés pour le trafic à destination d'une VM spécifique.

    3. Saisissez des filtres. Exemple :

      • Utilisez instance_id pour spécifier l'ID d'une VM.
      • Utilisez firewall_name afin d'identifier une règle de pare-feu pour laquelle la journalisation des règles de pare-feu est activée.
    4. Configurez les conditions de l'alerte. Par exemple, utilisez les valeurs suivantes pour déclencher une alerte lorsque le nombre d'appels de la règle que vous avez identifiée augmente de 10 % pendant six heures :

      • Condition triggers if (Déclenchement de la condition si) : défini sur Any time series violates
      • Condition : définie sur increases by
      • Threshold (Seuil) : défini sur 10
      • For (Pour) : défini sur 6 hours
    5. Cliquez sur Ajouter.

    6. Cliquez sur Ajouter un canal de notification, puis, par exemple, une adresse e-mail.

    7. Cliquez sur Enregistrer.

Nettoyer les règles de pare-feu bloquées

Pour plus d'informations sur les règles bloquées, consultez l'exemple de règles bloquées dans la présentation de Firewall Insights.

Console

Pour nettoyer les règles de pare-feu bloquées par d'autres règles, procédez comme suit :

  1. Dans Cloud Console, accédez à la page Règles de pare-feu VPC.

    Accéder à la page Règles de pare-feu VPC

  2. Dans le champ Filtrer la table, saisissez la requête suivante :

    Insight type: Shadowed by
  3. Pour chaque règle dans les résultats de la recherche, cliquez sur son Nom et consultez sa page d'informations. Examinez et nettoyez chaque règle au besoin.

Nettoyer les règles ingress allow inutilisées

Console

Pour rechercher les règles d'entrée qui n'ont pas été appelées pendant le nombre de jours spécifié, procédez comme suit :

  1. Dans Cloud Console, accédez à la page Règles de pare-feu VPC.

    Accéder à la page Règles de pare-feu VPC

  2. Dans le champ Filtrer la table, saisissez la requête suivante :

    Type:Ingress Last hit before:YYYY-MM-DD

    Remplacez YYYY-MM-DD par la date que vous souhaitez utiliser. Exemple :2020-03-30

  3. Pour chaque règle dans les résultats de la recherche, cliquez sur son Nom et consultez sa page d'informations. Examinez et nettoyez chaque règle au besoin.

Étape suivante