Utiliser des cas d'utilisation courants pour Firewall Insights

Les sections suivantes décrivent les différentes manières d'utiliser Firewall Insights pour examiner l'utilisation du pare-feu de votre cloud privé virtuel (VPC, Virtual Private Cloud), nettoyer et optimiser vos configurations de règles de pare-feu et affiner les limites de sécurité.

Consultez les métriques suivantes de Firewall Insights pour diagnostiquer les éventuelles attaques de sécurité contre vos ressources Google Cloud :

  • Règles de pare-feu qui ont été appliquées à vos instances de machine virtuelle (VM) au cours des 30 derniers jours
  • Règles Ingress deny de pare-feu présentant une augmentation soudaine du nombre d'appels

Pour en savoir plus sur les insights et les métriques d'utilisation décrites sur cette page, consultez la présentation de FIrewall Insights.

Afficher les règles appliquées à une VM au cours des 30 derniers jours

Console

Consultez ces règles pour éviter les erreurs de configuration et des règles bloquées inutiles :

  1. Dans Google Cloud Console, accédez à la page Instances de machines virtuelles (VM) Compute Engine.

    Accéder à la page des instances de VM Compute Engine.

  2. Dans le champ Filtrer les instances de VM, saisissez l'une des paires clé/valeur suivantes pour rechercher et filtrer les VM correspondantes. Vous pouvez également cliquer sur des valeurs qui s'affichent après avoir saisi une clé telle que Network tags:. Pour plus d'informations, consultez la documentation sur les tags et les adresses IP.

    Network tags:tag-name

    Remplacez tag-name par un tag attribué à un réseau VPC.

    Internal IP:internal-ip-address

    Remplacez internal-ip-address par une adresse IP interne pour une interface de VM.

    External IP:external-ip-address

    Remplacez external-ip-address par une adresse IP externe pour une interface de VM.

  3. Dans les résultats de recherche d'interface de VM, recherchez une VM et cliquez sur son menu autres actions .

  4. Dans le menu, cliquez sur Afficher les détails du réseau.

  5. Sur la page Détails de l'interface réseau, procédez comme suit :

    1. Sous Règles de pare-feu et détails des routes, saisissez last hit after:YYYY-MM-DD pour filtrer les règles de pare-feu. Les règles de pare-feu comportant des appels récents apparaissent.

    2. Pour une règle de pare-feu, cliquez sur le nombre dans la colonne Nombre de visites pour ouvrir le journal du pare-feu et consulter les détails du trafic, comme dans l'exemple de requête suivant. Pour saisir une requête, cliquez sur Envoyer le filtre.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2")
      
    3. Ajoutez un ou plusieurs filtres Cloud Logging supplémentaires pour affiner le filtrage des détails du journal du pare-feu. Par exemple, l'exemple de requête suivant ajoute un filtre par adresse IP source (src_ip). Pour saisir une requête, cliquez sur Envoyer le filtre.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2") AND
      jsonPayload.connection.src_ip:("10.0.1.2")
      

Détecter les augmentations soudaines du nombre d'appels des règles de pare-feu ingress deny

Vous pouvez configurer des alertes Cloud Monitoring pour détecter certains changements de comportement dans le nombre d'appels pour une ou plusieurs règles de pare-feu VPC. Par exemple, vous pouvez définir une alerte lorsque le nombre d'appels de la règle ingress deny augmente de 100 %. La définition de cette alerte permet de détecter d'éventuelles attaques de sécurité contre vos ressources Google Cloud.

Console

Pour définir une alerte :

  1. Créez un espace de travail Cloud Monitoring pour votre projet.

  2. Dans Cloud Console pour votre espace de travail, accédez à la page Alertes de Monitoring.

    Accédez à la page Alertes pour Monitoring

  3. En haut de la page, cliquez sur Créer une règle.

  4. Sur la page Créer une règle d'alerte, procédez comme suit :

    1. Nommer la règle

    2. Cliquez sur Ajouter une condition, puis saisissez la métrique du nombre d'appels du pare-feu de VM (firewallinsights.googleapis.com/vm/firewall_hit_count).

    3. Saisissez les filtres et les conditions d'alerte nécessaires. Consultez la page Spécifier les conditions des règles d'alerte pour connaître la procédure.

    4. Cliquez sur Ajouter.

    5. Cliquez sur Ajouter un canal de notification, puis, par exemple, une adresse e-mail.

    6. Cliquez sur Save.

Nettoyer les règles de pare-feu bloquées

Pour plus d'informations sur les règles bloquées, consultez l'exemple de règles bloquées dans la présentation de Firewall Insights.

Console

Pour nettoyer les règles de pare-feu bloquées par d'autres règles, procédez comme suit :

  1. Dans Cloud Console, accédez à la page Règles de pare-feu VPC.

    Accéder à la page Règles de pare-feu VPC

  2. Dans le champ Filtrer la table, saisissez la requête suivante :

    Insight type: Shadowed by
  3. Pour chaque règle dans les résultats de recherche, cliquez sur le nom de la règle et affichez sa page d'informations. Examinez et nettoyez chaque règle au besoin.

Nettoyer les règles ingress allow inutilisées

Console

Pour rechercher les règles d'entrée qui n'ont pas été appelées pendant le nombre de jours spécifié, procédez comme suit :

  1. Dans Cloud Console, accédez à la page Règles de pare-feu VPC.

    Accéder à la page Règles de pare-feu VPC

  2. Dans le champ Filtrer la table, saisissez la requête suivante :

    Type:Ingress Last hit before:YYYY-MM-DD

    Remplacez YYYY-MM-DD par la date que vous souhaitez utiliser. Exemple : 03/02/2020.

  3. Pour chaque règle dans les résultats de la recherche, cliquez sur le nom de la règle et affichez sa page d'informations. Examinez et nettoyez chaque règle au besoin.

Étape suivante