Examiner et optimiser les règles de pare-feu

Cette page décrit certaines tâches courantes de Firewall Insights pour examiner et optimiser l'utilisation du pare-feu de votre cloud privé virtuel (VPC). Effectuez ces tâches pour optimiser vos configurations de règles de pare-feu et renforcer les limites de sécurité.

Par exemple, vous êtes administrateur réseau ou ingénieur en sécurité réseau qui gère plusieurs grands réseaux VPC partagés avec de nombreux projets et applications. Vous souhaitez examiner et optimiser un grand volume de règles de pare-feu accumulées au fil du temps pour vous assurer qu'elles sont cohérentes avec l'état attendu de votre réseau. Vous pouvez utiliser les tâches suivantes pour examiner et optimiser vos règles de pare-feu.

Rôles et autorisations requis

Pour obtenir les autorisations nécessaires pour utiliser Firewall Insights, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet:

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour utiliser Firewall Insights. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Vous devez disposer des autorisations suivantes pour utiliser Firewall Insights:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Afficher les règles appliquées à une VM au cours des 30 derniers jours

Pour consulter les règles qui vous aident à éviter les erreurs de configuration et le blocage inutile de règles, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Instances de VM de Compute Engine.

    Accéder à la page "Instances de VM" de Compute Engine

  2. Dans le champ Filtre, saisissez l'une des paires clé-valeur suivantes pour rechercher et filtrer les VM correspondantes.

    Network tags:TAG_NAME

    Remplacez TAG_NAME par un tag attribué à un réseau VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Remplacez INTERNAL_IP_ADDRESS par une adresse IP interne pour une interface de VM.

    External IP:EXTERNAL_IP_ADDRESS

    Remplacez EXTERNAL_IP_ADDRESS par une adresse IP externe pour une interface de VM.

  3. Dans les résultats de recherche d'interface de VM, sélectionnez une VM, puis cliquez sur le menu Autres actions.

  4. Dans le menu, sélectionnez Afficher les détails du réseau.

  5. Sur la page Détails de l'interface réseau, procédez comme suit :

    1. Dans la section Détails des pare-feu et des routes, cliquez sur Pare-feu, puis sur Filtrer.
    2. Saisissez last hit after:YYYY-MM-DD pour filtrer les règles de pare-feu. Cette expression de filtre recherche les règles de pare-feu comportant des appels récents.

    3. Pour une règle de pare-feu, cliquez sur le nombre dans la colonne Nombre de visites pour ouvrir le journal du pare-feu et consulter les détails du trafic, comme dans l'exemple de requête suivant. Pour saisir une requête, cliquez sur Envoyer le filtre.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2")
      
    4. Ajoutez un ou plusieurs filtres Cloud Logging supplémentaires pour affiner le filtrage des détails du journal du pare-feu. Par exemple, l'exemple de requête suivant ajoute un filtre par adresse IP source (src_ip). Pour saisir une requête, cliquez sur Envoyer le filtre.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2") AND
      jsonPayload.connection.src_ip:("10.0.1.2")
      

Détecter les augmentations soudaines du nombre d'appels des règles de pare-feu deny

Vous pouvez configurer Cloud Monitoring pour qu'il détecte les modifications du nombre d'appels de vos règles de pare-feu VPC deny. Par exemple, vous pouvez choisir d'être alerté lorsque le nombre d'appels d'une règle particulière augmente d'un certain pourcentage. La définition de cette alerte vous permet de détecter d'éventuelles attaques sur vos ressources Google Cloud.

Pour définir une alerte, procédez comme suit:

Console

  1. Dans Google Cloud Console, accédez à la page Monitoring.

    Accéder à Monitoring

  2. Dans le volet de navigation, cliquez sur Alertes, puis sur Créer une règle.

  3. Sur la page Créer une règle d'alerte, cliquez sur Ajouter une condition d'alerte. Une nouvelle condition est ajoutée.

  4. Développez la section Nouvelle condition, puis sélectionnez Configurer le déclencheur. La page Configurer le déclencheur d'alerte s'ouvre.

  5. Configurez les conditions de l'alerte. Par exemple, utilisez les valeurs suivantes pour déclencher une alerte lorsque le nombre d'appels de la règle que vous avez identifiée augmente de 10 % pendant six heures :

    • Types de conditions:définissez ce paramètre sur Threshold.
    • Déclencheur d'alerte:défini sur Any time series violates.
    • Position du seuil:définie sur Above threshold.
    • Valeur du seuil:définissez cette valeur sur 10.
  6. Dans la section Options avancées, attribuez un nom à la condition, puis cliquez sur Suivant.

  7. Sur la page Déclencheur à plusieurs conditions, spécifiez la condition, puis cliquez sur Suivant.

  8. Sur la page Configurer les notifications, sélectionnez Canaux de notification, puis Gérer les canaux de notification.

  9. Dans la fenêtre Notification channels (Canaux de notification), ajoutez le nouveau canal de notification (par exemple, une adresse e-mail), puis cliquez sur Save (Enregistrer).

  10. Dans la liste Canaux de notification, sélectionnez les notifications ajoutées, puis cliquez sur OK.

  11. Dans la section Nommer la règle d'alerte, saisissez le nom et cliquez sur Suivant. La condition d'alerte est ajoutée.

Nettoyer les règles de pare-feu bloquées

Pour nettoyer les règles de pare-feu bloquées par d'autres règles, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans la section Règles de pare-feu VPC, cliquez sur Filtrer, puis sélectionnez Type d'insight > Règles masquées.

  3. Pour chaque règle dans les résultats de la recherche, cliquez sur son Nom et consultez sa page d'informations. Examinez et nettoyez chaque règle au besoin.

Pour en savoir plus sur les règles bloquées, consultez Exemples de règles bloquées.

Supprimer une règle allow non utilisée

Pour évaluer et supprimer une règle allow non utilisée, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans la section Règles de pare-feu VPC, cliquez sur Filtrer, puis sélectionnez Type > Ingress > dernier appel avant MM/DD/YYYY.

    Remplacez MM/DD/YYYY par la date que vous souhaitez utiliser. Exemple :08/31/2021

  3. Pour chaque règle dans les résultats de la recherche, consultez les informations de la colonne Insights. Cette colonne fournit un pourcentage qui indique la probabilité que cette règle soit appelée à l'avenir. Si le pourcentage est élevé, vous pouvez conserver cette règle. Toutefois, si elle est faible, continuez à examiner les informations générées par l'insight.

  4. Cliquez sur le lien "Insight" pour afficher le volet Détails de l'insight.

  5. Dans le volet Détails de l'insight, examinez les attributs de cette règle et ceux des règles similaires répertoriées.

  6. Si la règle a une faible probabilité d'être appelée à l'avenir et si cette prédiction est compatible avec le modèle d'appel de règles similaires, envisagez de supprimer la règle. Pour supprimer la règle, cliquez sur Nom de la règle. La page Détails de la règle de pare-feu s'affiche.

  7. Cliquez sur Supprimer.

  8. Dans la boîte de dialogue de confirmation, cliquez sur Supprimer.

Supprimer un attribut non utilisé d'une règle allow

Pour évaluer et supprimer un attribut non utilisé, procédez comme suit:

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la fiche nommée Autoriser les règles avec des attributs non utilisés, cliquez sur Afficher la liste complète. En réponse, la console Google Cloud affiche la page Autoriser les règles avec des attributs non utilisés. Cette page répertorie toutes les règles comportant des attributs non utilisés pendant la période d'observation.

  3. Cliquez sur le texte qui s'affiche dans la colonne Insight. La page Détails de l'insight s'ouvre.

  4. Examinez les détails en haut de la page. Le résumé comprend les informations suivantes :

    • Nom de l'insight.
    • Nombre d'attributs non utilisés de cette règle.
    • Date et heure de la dernière mise à jour de l'insight.
    • Noms des autres règles du projet qui utilisent des attributs similaires.
    • Durée de la période d'observation.
  5. Déterminez si vous pouvez supprimer l'attribut :

    1. Consultez la fiche Règle de pare-feu avec des attributs non utilisés. Examinez le champ intitulé Attribut non utilisé (avec prédiction d'appels). Ce champ fournit un pourcentage qui décrit la probabilité que l'attribut soit appelé à l'avenir.
    2. Consultez la fiche Règle de pare-feu similaire dans le même projet. Vérifiez les données affichées pour savoir si l'attribut de cette règle a été utilisé.
  6. Si l'attribut a une faible probabilité d'être appelé à l'avenir et si cette prédiction est compatible avec le modèle d'appel de règles similaires, envisagez de supprimer l'attribut de la règle. Pour supprimer l'attribut, cliquez sur le nom de la règle, qui apparaît en haut de la page Détails de l'insight. La page Détails de la règle de pare-feu s'affiche.

  7. Cliquez sur Modifier, apportez les modifications nécessaires, puis cliquez sur Enregistrer.

Réduire la plage d'adresses IP d'une règle allow

Sachez que votre projet peut disposer de règles de pare-feu autorisant l'accès à partir de certains blocs d'adresses IP pour les vérifications d'état de l'équilibreur de charge ou pour d'autres fonctionnalités de Google Cloud. Ces adresses IP risquent de ne pas être appelées, mais elles ne doivent pas être supprimées de vos règles de pare-feu. Pour plus d'informations sur ces plages, consultez la documentation sur Compute Engine.

Pour évaluer et renforcer une plage d'adresses IP trop permissive, procédez comme suit:

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la fiche nommée Autoriser les règles associées à des adresses IP ou des plages de ports trop permissives, cliquez sur Afficher la liste complète. En conséquence, la console Google Cloud affiche la liste de toutes les règles dont les plages sont trop permissives pendant la période d'observation.

  3. Recherchez n'importe quelle règle dans la liste, puis cliquez sur le texte affiché dans la colonne Insight. La page Détails de l'insight s'ouvre.

  4. Examinez les détails en haut de la page. Le résumé comprend les informations suivantes :

    • Nom de la règle.
    • Nombre de plages d'adresses IP pouvant être restreintes.
    • Date et heure de la dernière mise à jour de l'insight.
    • Durée de la période d'observation.
  5. Déterminez si vous pouvez restreindre la plage d'adresses IP: examinez la fiche Règle de pare-feu avec des plages d'adresses IP ou de ports trop permissives. Examinez la liste proposée pour les nouvelles plages d'adresses IP.

  6. Le cas échéant, envisagez d'utiliser les recommandations fournies dans cet insight pour affiner la plage d'adresses IP. Cliquez sur le nom de la règle, qui apparaît en haut de la page Détails de l'insight. La page Détails de la règle de pare-feu s'affiche.

  7. Cliquez sur Modifier, apportez les modifications nécessaires, puis cliquez sur Enregistrer.

Étape suivante