Travailler avec des cas d'utilisation courants

Ce document explique comment utiliser Firewall Insights pour examiner l'utilisation du pare-feu de votre cloud privé virtuel (VPC, Virtual Private Cloud), optimiser vos configurations de règles de pare-feu et renforcer les limites de sécurité.

Pour en savoir plus sur les insights et les métriques d'utilisation décrites sur cette page, consultez la présentation de FIrewall Insights.

Afficher les règles appliquées à une VM au cours des 30 derniers jours

Console

Consultez ces règles pour éviter les erreurs de configuration et le blocage inutile de règles :

  1. Dans Google Cloud Console, accédez à la page instances de VM de Compute Engine.

    Accéder à la page "Instances de VM" de Compute Engine

  2. Dans le champ Filtrer les instances de VM, saisissez l'une des paires clé/valeur suivantes pour rechercher et filtrer les VM correspondantes. Vous pouvez également cliquer sur des valeurs qui apparaissent après la saisie d'une clé, par exemple Network tags:. Pour plus d'informations, consultez la documentation sur les tags et les adresses IP.

    Network tags:TAG_NAME

    Remplacez TAG_NAME par un tag attribué à un réseau VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Remplacez INTERNAL_IP_ADDRESS par une adresse IP interne pour une interface de VM.

    External IP:EXTERNAL_IP_ADDRESS

    Remplacez EXTERNAL_IP_ADDRESS par une adresse IP externe pour une interface de VM.

  3. Dans les résultats de recherche d'interface de VM, recherchez une VM et cliquez sur son menu Autres actions .

  4. Dans le menu, sélectionnez Afficher les détails du réseau.

  5. Sur la page Détails de l'interface réseau, procédez comme suit :

    1. Sous Règles de pare-feu et détails des routes, saisissez last hit after:YYYY-MM-DD pour filtrer les règles de pare-feu. Les règles de pare-feu comportant des appels récents apparaissent.

    2. Pour une règle de pare-feu, cliquez sur le nombre dans la colonne Nombre de visites pour ouvrir le journal du pare-feu et consulter les détails du trafic, comme dans l'exemple de requête suivant. Pour saisir une requête, cliquez sur Envoyer le filtre.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2")
      
    3. Ajoutez un ou plusieurs filtres Cloud Logging supplémentaires pour affiner le filtrage des détails du journal du pare-feu. Par exemple, l'exemple de requête suivant ajoute un filtre par adresse IP source (src_ip). Pour saisir une requête, cliquez sur Envoyer le filtre.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2") AND
      jsonPayload.connection.src_ip:("10.0.1.2")
      

Détecter les augmentations soudaines du nombre d'appels des règles de pare-feu deny

Vous pouvez configurer Cloud Monitoring pour qu'il détecte les modifications du nombre d'appels de vos règles de pare-feu VPC deny. Par exemple, vous pouvez choisir d'être alerté lorsque le nombre d'appels d'une règle particulière augmente d'un certain pourcentage. La définition de cette alerte vous permet de détecter d'éventuelles attaques sur vos ressources Google Cloud.

Console

Pour définir l'alerte, procédez comme suit :

  1. Dans Cloud Console, accédez à la page Surveillance.

    Accéder à Monitoring

  2. Dans le volet de navigation, sélectionnez Alertes.

  3. En haut de la page, cliquez sur Créer une règle.

  4. Sur la page Créer une règle d'alerte, cliquez sur Ajouter une condition, puis procédez comme suit :

    1. Saisissez un nom pour la condition.

    2. Dans le champ Rechercher un type de ressource et une métrique, saisissez firewallinsights.googleapis.com/vm/firewall_hit_count (nombre d'appels du pare-feu de VM). Cette métrique affiche le nombre d'appels de règles de pare-feu déclenchés pour le trafic à destination d'une VM spécifique.

    3. Saisissez des filtres. Exemple :

      • Utilisez instance_id pour spécifier l'ID d'une VM.
      • Utilisez firewall_name afin d'identifier une règle de pare-feu pour laquelle la journalisation des règles de pare-feu est activée.
    4. Configurez les conditions de l'alerte. Par exemple, utilisez les valeurs suivantes pour déclencher une alerte lorsque le nombre d'appels de la règle que vous avez identifiée augmente de 10 % pendant six heures :

      • Condition triggers if (Déclenchement de la condition si) : défini sur Any time series violates
      • Condition : définie sur increases by
      • Threshold (Seuil) : défini sur 10
      • For (Pour) : défini sur 6 hours
    5. Cliquez sur Ajouter.

    6. Cliquez sur Ajouter un canal de notification, puis, par exemple, une adresse e-mail.

    7. Cliquez sur Enregistrer.

Nettoyer les règles de pare-feu bloquées

Pour plus d'informations sur les règles bloquées, consultez l'exemple de règles bloquées dans la présentation de Firewall Insights.

Console

Pour nettoyer les règles de pare-feu bloquées par d'autres règles, procédez comme suit :

  1. Dans Cloud Console, accédez à la page Pare-feu.

    Accéder à la page "Pare-feu"

  2. Dans le champ Filtrer la table, saisissez la requête suivante :

    Insight type: Shadowed by
  3. Pour chaque règle dans les résultats de la recherche, cliquez sur son Nom et consultez sa page d'informations. Examinez et nettoyez chaque règle au besoin.

Supprimer une règle allow non utilisée

Console

Pour évaluer et supprimer une règle allow non utilisée, procédez comme suit :

  1. Dans Cloud Console, accédez à la page Pare-feu.

    Accéder à la page "Pare-feu"

  2. Dans le champ Filtrer la table, saisissez la requête suivante :

    Type:Ingress Last hit before:MM/DD/YYYY

    Remplacez MM/DD/YYYY par la date que vous souhaitez utiliser. Exemple :08/31/2021

  3. Pour chaque règle dans les résultats de la recherche, consultez les informations de la colonne Insight. Cette colonne fournit un pourcentage qui indique la probabilité que cette règle soit appelée à l'avenir. Si le pourcentage est élevé, vous pouvez conserver cette règle. Toutefois, si elle est faible, continuez à examiner les informations générées par l'insight.

  4. Cliquez sur le lien "Insight" pour afficher le panneau Détails de l'insight.

  5. Dans le panneau Détails de l'insight, examinez les attributs de cette règle et ceux des règles similaires répertoriées.

  6. Si la règle a une faible probabilité d'être appelée à l'avenir et si cette prédiction est compatible avec le modèle d'appel de règles similaires, envisagez de supprimer la règle. Pour supprimer la règle, cliquez sur son nom qui apparaît en haut du panneau Détails de l'insight. La page Détails de la règle de pare-feu s'affiche.

  7. Cliquez sur Supprimer.

  8. Dans la boîte de dialogue de confirmation, cliquez sur Supprimer.

Supprimer un attribut non utilisé d'une règle allow

Console

Pour évaluer et supprimer un attribut non utilisé, procédez comme suit :

  1. Dans Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la fiche nommée Autoriser les règles avec des attributs non utilisés, cliquez sur Afficher la liste complète. En réponse, Cloud Console affiche la page Autoriser les règles avec des attributs non utilisés. Cette page répertorie toutes les règles comportant des attributs non utilisés pendant la période d'observation.

  3. Cliquez sur le texte qui s'affiche dans la colonne Insight. La page Détails de l'insight s'ouvre.

  4. Examinez les détails en haut de la page. Le résumé comprend les informations suivantes :

    • Nom de l'insight.
    • Nombre d'attributs non utilisés de cette règle.
    • Date et heure de la dernière mise à jour de l'insight.
    • Noms des autres règles du projet qui utilisent des attributs similaires.
    • Durée de la période d'observation.
  5. Déterminez si vous pouvez supprimer l'attribut :

    1. Consultez la fiche Règle de pare-feu avec des attributs non utilisés. Examinez le champ intitulé Attribut non utilisé (avec prédiction d'appels). Ce champ fournit un pourcentage qui décrit la probabilité que l'attribut soit appelé à l'avenir.
    2. Consultez la fiche Règle de pare-feu similaire dans le même projet. Vérifiez les données affichées pour savoir si l'attribut de cette règle a été utilisé.
  6. Si l'attribut a une faible probabilité d'être appelé à l'avenir et si cette prédiction est compatible avec le modèle d'appel de règles similaires, envisagez de supprimer l'attribut de la règle. Pour supprimer l'attribut, cliquez sur le nom de la règle, qui apparaît en haut de la page Détails de l'insight. La page Détails de la règle de pare-feu s'affiche.

  7. Cliquez sur Modifier, apportez les modifications nécessaires, puis cliquez sur Enregistrer.

Réduire la plage d'adresses IP d'une règle allow

Sachez que votre projet peut disposer de règles de pare-feu autorisant l'accès à partir de certains blocs d'adresses IP pour les vérifications d'état de l'équilibreur de charge ou pour d'autres fonctionnalités de Google Cloud. Ces adresses IP risquent de ne pas être appelées, mais elles ne doivent pas être supprimées de vos règles de pare-feu. Pour plus d'informations sur ces plages, consultez la documentation sur Compute Engine.

Console

Pour évaluer et renforcer une plage d'adresses IP trop permissive, procédez comme suit :

  1. Dans Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la fiche nommée Autoriser les règles associées à des adresses IP ou des plages de ports trop permissives, cliquez sur Afficher la liste complète. En conséquence, Cloud Console affiche la liste de toutes les règles dont les plages sont trop permissives pendant la période d'observation.

  3. Recherchez n'importe quelle règle dans la liste, puis cliquez sur le texte affiché dans la colonne Insight. La page Détails de l'insight s'ouvre.

  4. Examinez les détails en haut de la page. Le résumé comprend les informations suivantes :

    • Nom de la règle.
    • Nombre de plages d'adresses IP pouvant être restreintes.
    • Date et heure de la dernière mise à jour de l'insight.
    • Durée de la période d'observation.
  5. Déterminez si vous pouvez restreindre la plage d'adresses IP : examinez la fiche Règle de pare-feu avec une adresse IP ou des plages de ports trop permissives. Examinez la liste proposée pour les nouvelles plages d'adresses IP.

  6. Le cas échéant, envisagez d'utiliser les recommandations fournies dans cet insight pour affiner la plage d'adresses IP. Cliquez sur le nom de la règle, qui apparaît en haut de la page Détails de l'insight. La page Détails de la règle de pare-feu s'affiche.

  7. Cliquez sur Modifier, apportez les modifications nécessaires, puis cliquez sur Enregistrer.

Étape suivante