Meninjau dan mengoptimalkan aturan firewall

Halaman ini menjelaskan beberapa tugas umum Analisis Firewall untuk meninjau dan mengoptimalkan penggunaan firewall Virtual Private Cloud (VPC) Anda. Lakukan tugas berikut untuk mengoptimalkan konfigurasi aturan firewall Anda dan memperketat batas keamanan.

Misalnya, Anda adalah administrator jaringan atau engineer keamanan jaringan yang mendukung beberapa jaringan VPC Bersama yang besar dengan banyak project dan aplikasi. Anda ingin meninjau dan mengoptimalkan aturan firewall dalam jumlah besar yang diakumulasi dari waktu ke waktu untuk memastikan aturan tersebut konsisten dengan keadaan jaringan yang diharapkan. Anda dapat menggunakan tugas berikut untuk meninjau dan mengoptimalkan aturan firewall.

Peran dan izin yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk menggunakan Analisis Firewall, minta administrator untuk memberi Anda peran IAM berikut pada project Anda:

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses.

Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk menggunakan Analisis Firewall. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk menggunakan Analisis Firewall:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

Anda mung juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaanlainnya.

Melihat aturan yang diterapkan ke VM dalam 30 hari terakhir

Untuk meninjau aturan yang membantu Anda menghindari kesalahan konfigurasi dan aturan yang dibayangi yang tidak perlu, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Instance VM Compute Engine.

    Buka instance VM Compute Engine

  2. Di kolom Filter, filter instance dengan memasukkan salah satu key-value pair berikut untuk menemukan VM yang relevan.

    Network tags:TAG_NAME

    Ganti TAG_NAME dengan tag yang ditetapkan ke jaringan VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Ganti INTERNAL_IP_ADDRESS dengan alamat IP internal untuk antarmuka VM.

    External IP:EXTERNAL_IP_ADDRESS

    Ganti EXTERNAL_IP_ADDRESS dengan alamat IP eksternal untuk antarmuka VM.

  3. Di hasil penelusuran untuk antarmuka VM, pilih VM dan klik menu tindakan lainnya.

  4. Di menu, pilih Lihat detail jaringan.

  5. Di halaman Detail antarmuka jaringan, selesaikan langkah-langkah berikut:

    1. Di bagian Firewall and routes details, klik Firewalls, lalu Filter.

    2. Masukkan last hit after:YYYY-MM-DD untuk memfilter aturan firewall. Ekspresi filter ini menemukan aturan firewall dengan hit terbaru.

    3. Untuk aturan firewall, klik angka di kolom Hit count untuk membuka log firewall dan meninjau detail traffic, seperti dalam contoh kueri berikut. Untuk memasukkan kueri, klik Kirim filter.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2")

    4. Tambahkan satu atau beberapa filter Cloud Logging tambahan untuk memfilter detail log firewall lebih lanjut. Misalnya, contoh kueri berikut menambahkan filter tambahan yang memfilter menurut alamat IP sumber (src_ip). Untuk memasukkan kueri, klik Kirim filter.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2") AND
jsonPayload.connection.src_ip:("10.0.1.2")

Mendeteksi peningkatan jumlah hit tiba-tiba untuk deny aturan firewall

Anda dapat mengonfigurasi Cloud Monitoring untuk mendeteksi perubahan dalam jumlah hit aturan firewall deny VPC Anda. Misalnya, Anda dapat memilih untuk diberi tahu saat jumlah hit aturan tertentu meningkat sebesar persentase tertentu. Menyetel pemberitahuan ini akan membantu Anda mendeteksi kemungkinan serangan pada resource Google Cloud.

Untuk menyetel pemberitahuan, lakukan tindakan berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Monitoring.

    Buka Monitoring

  2. Di panel navigasi, klik Alerting, lalu Create policy.

  3. Di halaman Create alerts policy, klik Add alert condition. Kondisi baru ditambahkan.

  4. Luaskan bagian Kondisi baru, lalu pilih Konfigurasi pemicu. Halaman Configure alert trigger akan terbuka.

  5. Mengonfigurasi kondisi pemberitahuan. Misalnya, gunakan nilai berikut untuk memicu pemberitahuan saat jumlah hit untuk aturan yang Anda identifikasi meningkat sebesar 10% selama enam jam:

    • Jenis kondisi: Tetapkan ke Threshold.
    • Pemicu pemberitahuan: Tetapkan ke Any time series violates.
    • Posisi nilai minimum: Setel ke Above threshold.
    • Nilai minimum: Setel ke 10.

  6. Di bagian Opsi lanjutan, masukkan nama untuk kondisi tersebut, lalu klik Berikutnya.

  7. Pada halaman Multi-condition trigger, menentukan kondisi, lalu klik Next.

  8. Di halaman Configure notifications, pilih Notification channels, lalu Manage notification channels.

  9. Di jendela Notification channels, tambahkan saluran notifikasi baru—misalnya, alamat email, lalu klik Save.

  10. Dalam daftar Notification channels, pilih notifikasi yang ditambahkan, lalu klik OK.

  11. Di bagian Name the alert policy, masukkan nama, lalu klik Next. Kondisi pemberitahuan ditambahkan.

Hapus aturan firewall yang dibayangi (shadowed firewall)

Untuk membersihkan aturan firewall yang dibayangi oleh aturan lain, lakukan langkah berikut:

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di bagian VPC firewall rules, klik Filter, lalu pilih Insight type > Shadowed rules.

  3. Untuk setiap aturan dalam hasil penelusuran, klik Nama aturan dan lihat halaman detailnya. Tinjau dan hapus setiap aturan sesuai kebutuhan.

Untuk mengetahui informasi selengkapnya tentang aturan yang dibayangi, lihat Contoh aturan yang dibayangi.

Hapus aturan allow yang tidak digunakan

Untuk mengevaluasi dan menghapus aturan allow yang tidak digunakan, lakukan hal berikut:

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di bagian VPC firewall rules, klik Filter, lalu pilih Type > Ingress > last hit before MM/DD/YYYY.

    Ganti MM/DD/YYYY dengan tanggal yang ingin Anda gunakan. Contoh, 08/31/2021.

  3. Untuk setiap aturan dalam hasil penelusuran, tinjau informasi di kolom Insight. Kolom ini memberikan persentase yang menunjukkan kemungkinan bahwa aturan ini akan tercapai di masa mendatang. Jika persentasenya tinggi, sebaiknya Anda mempertahankan aturan ini. Namun, jika rendah, lanjutkan meninjau informasi yang dihasilkan oleh insight.

  4. Klik link insight untuk menampilkan panel Detail insight.

  5. Di panel Detail insight, tinjau atribut aturan ini dan atribut setiap aturan serupa yang tercantum.

  6. Jika aturan memiliki probabilitas hit yang rendah di masa mendatang, dan jika prediksi tersebut didukung oleh pola hit dari aturan yang serupa, pertimbangkan untuk menghapus aturan tersebut. Untuk menghapus aturan, klik Nama aturan. Halaman Detail aturan firewall akan terbuka.

  7. Klik Delete.

  8. Pada dialog konfirmasi, klik Delete.

Menghapus atribut yang tidak digunakan dari aturan allow

Untuk mengevaluasi dan menghapus atribut yang tidak digunakan, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Analisis Firewall.

    Buka Analisis Firewall

  2. Pada kartu yang bernama Izinkan aturan dengan atribut yang tidak digunakan, klik Lihat daftar lengkap. Sebagai respons, Google Cloud Console akan menampilkan halaman Allow rules with unused attributes. Halaman ini mencantumkan semua aturan yang memiliki atribut yang tidak digunakan selama periode observasi.

  3. Klik teks yang ditampilkan di kolom Insight. Halaman Detail Insight akan terbuka.

  4. Tinjau detail di bagian atas halaman. Ringkasan ini mencakup detail berikut:

    • Nama insight.
    • Jumlah atribut yang tidak digunakan yang dimiliki aturan ini.
    • Waktu insight terakhir diperbarui.
    • Nama-nama aturan lain dalam project yang menggunakan atribut serupa.
    • Panjang periode observasi.

  5. Periksa apakah Anda dapat menghapus atribut tersebut:

    1. Tinjau kartu aturan Firewall dengan atribut unhit. Lihat kolom berlabel Atribut tanpa hit (dengan prediksi hit mendatang). Kolom ini memberikan persentase yang menjelaskan kemungkinan apakah atribut akan diperoleh di masa mendatang.
    2. Tinjau kartu Aturan firewall serupa di project yang sama. Tinjau data yang ditampilkan tentang apakah atribut aturan ini digunakan.

  6. Jika atribut tersebut memiliki probabilitas rendah untuk mendapatkan hit di masa mendatang, dan jika prediksi tersebut didukung oleh pola hit dari aturan yang serupa, pertimbangkan untuk menghapus atribut tersebut dari aturan tersebut. Untuk menghapus atribut tersebut, klik nama aturan yang muncul di bagian atas halaman Detail Insight. Halaman Detail aturan firewall akan terbuka.

  7. Klik Edit, lakukan perubahan yang diperlukan, lalu klik Simpan.

Mempersempit rentang alamat IP aturan allow

Perhatikan bahwa project Anda mungkin memiliki aturan firewall yang mengizinkan akses dari blok alamat IP tertentu untuk health check load balancer atau untuk fungsi Google Cloud lainnya. Alamat IP ini mungkin tidak hit, tetapi tidak boleh dihapus dari aturan firewall Anda. Untuk mengetahui informasi selengkapnya tentang rentang ini, baca dokumentasi Compute Engine.

Untuk mengevaluasi dan memperketat rentang alamat IP yang terlalu permisif, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Analisis Firewall.

    Buka Analisis Firewall

  2. Pada kartu yang bernama Izinkan aturan dengan alamat IP atau rentang port yang terlalu permisif, klik Lihat daftar lengkap. Sebagai respons, konsol Google Cloud akan menampilkan daftar semua aturan yang memiliki rentang yang terlalu permisif selama periode pengamatan.

  3. Temukan aturan dalam daftar, dan klik teks yang ditampilkan di kolom Insight. Halaman Detail Insight akan terbuka.

  4. Tinjau detail di bagian atas halaman. Ringkasan ini mencakup detail berikut:

    • Nama aturan.
    • Jumlah rentang alamat IP yang dapat dipersempit.
    • Waktu insight terakhir diperbarui.
    • Panjang periode observasi.

  5. Periksa apakah Anda dapat mempersempit rentang alamat IP: Tinjau kartu aturan Firewall dengan alamat IP atau rentang port yang terlalu permisif. Tinjau daftar rentang alamat IP baru yang diusulkan.

  6. Jika sesuai, pertimbangkan untuk menggunakan rekomendasi dalam insight untuk membuat rentang alamat IP lebih sempit. Klik nama aturan, yang muncul di bagian atas halaman Detail Insight. Halaman Detail aturan firewall akan terbuka.

  7. Klik Edit, lakukan perubahan yang diperlukan, lalu klik Simpan.

Langkah selanjutnya