Casi d'uso comuni

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questo documento descrive come utilizzare Firewall Insights per esaminare l'utilizzo del runtime firewall Virtual Private Cloud (VPC), ottimizzare le configurazioni delle regole firewall e rafforzare i limiti di sicurezza.

Per saperne di più sugli insight e sulle metriche di utilizzo descritte in questa pagina, consulta la panoramica di Firewall Insights.

Visualizza le regole applicate a una VM negli ultimi 30 giorni

console

Rivedi queste regole per evitare configurazioni errate e regole con shadowing non necessarie:

  1. In Google Cloud Console, vai alla pagina Istanze VM di Compute Engine.

    Vai alle istanze VM di Compute Engine

  2. Nel campo Filtra istanze VM, filtra le istanze inserendo una delle seguenti coppie chiave/valore per trovare le VM pertinenti. Puoi anche fare clic sui valori visualizzati dopo aver inserito una chiave, ad esempio Network tags:. Per ulteriori informazioni, consulta la documentazione relativa ai tag e agli indirizzi IP.

    Network tags:TAG_NAME

    Sostituisci TAG_NAME con un tag assegnato a una rete VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Sostituisci INTERNAL_IP_ADDRESS con un indirizzo IP interno per un'interfaccia VM.

    External IP:EXTERNAL_IP_ADDRESS

    Sostituisci EXTERNAL_IP_ADDRESS con un indirizzo IP esterno per un'interfaccia VM.

  3. Nei risultati di ricerca per un'interfaccia VM, trova una VM e fai clic sul menu Altre azioni .

  4. Nel menu, seleziona Visualizza dettagli rete.

  5. Nella pagina Dettagli interfaccia di rete, completa i seguenti passaggi:

    1. In Dettagli firewall e regole di routing, inserisci last hit after:YYYY-MM-DD per filtrare le regole firewall. Trova le regole firewall con hit recenti.

    2. Per una regola firewall, fai clic sul numero nella colonna Conteggio hit per aprire il log del firewall ed esaminare i dettagli del traffico, come nell'esempio di query seguente. Per inserire una query, fai clic su Invia filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2")
      
    3. Aggiungi uno o più filtri Cloud Logging aggiuntivi per filtrare ulteriormente i dettagli del log del firewall. Ad esempio, la seguente query di esempio aggiunge un filtro aggiuntivo che filtra in base all'indirizzo IP di origine (src_ip). Per inserire una query, fai clic su Invia filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2") AND
      jsonPayload.connection.src_ip:("10.0.1.2")
      

Rileva aumenti improvvisi del numero di hit per deny regole firewall

Puoi configurare Cloud Monitoring per rilevare le modifiche nel conteggio degli hit delle regole firewall VPC deny. Ad esempio, puoi scegliere di ricevere un avviso quando il numero di hit di una determinata regola aumenta di una certa percentuale. L'impostazione di questo avviso consente di rilevare possibili attacchi alle tue risorse Google Cloud.

console

Per impostare l'avviso:

  1. In Google Cloud Console, vai alla pagina Monitoring.

    Vai a Monitoring

  2. Nel riquadro di navigazione, seleziona Avvisi.

  3. Nella parte superiore della pagina, fai clic su Crea criterio.

  4. Nella pagina Crea criterio di avviso, fai clic su Aggiungi condizione, quindi completa i passaggi seguenti:

    1. Inserisci un nome per la condizione.

    2. Nel campo Trova tipo di risorsa e Metrica, inserisci firewallinsights.googleapis.com/vm/firewall_hit_count (Conteggio hit della VM Firewall). Questa metrica mostra il numero di hit delle regole firewall che vengono attivate per il traffico indirizzato a una determinata VM.

    3. Inserisci i filtri. Ad esempio:

      • Utilizza instance_id per specificare l'ID di una VM.
      • Utilizza firewall_name per identificare una regola firewall per cui è abilitata la registrazione delle regole firewall.
    4. Configura le condizioni di avviso. Ad esempio, utilizza i seguenti valori per attivare un avviso quando il numero di hit per la regola che hai identificato aumenta del 10% per sei ore:

      • Attivatori di condizioni se: impostato su Any time series violates
      • Condizione: impostata su increases by
      • Soglia: impostata su 10.
      • Per: impostato su 6 hours
    5. Fai clic su Aggiungi.

    6. Fai clic su Aggiungi canale di notifica, quindi aggiungi un indirizzo email, ad esempio.

    7. Fai clic su Salva.

Esegui la pulizia delle regole firewall con shadowing

Per scoprire di più sulle regole con shadowing, vedi l'esempio di regole con shadowing nella panoramica di Firewall Insights.

console

Per rimuovere le regole firewall con shadowing eseguito da altre regole, segui questi passaggi:

  1. In Google Cloud Console, vai alla pagina Firewall.

    Vai a Firewall

  2. Nel campo Filtra tabella, inserisci la seguente query: Tipo di approfondimento: Shadowing eseguito da.

  3. Nei risultati di ricerca, fai clic sul nome di ciascuna regola per visualizzarne la pagina dei dettagli. Esamina e correggi ciascuna regola in base alle tue esigenze.

Rimuovi una regola allow inutilizzata

console

Per valutare e rimuovere una regola allow inutilizzata, completa i seguenti passaggi:

  1. In Google Cloud Console, vai alla pagina Firewall.

    Vai a Firewall

  2. Nel campo Filtra tabella, inserisci la seguente query: Type:Ingress Ultimo hit prima:MM/DD/YYYY.

    Sostituisci MM/DD/YYYY con la data che vuoi utilizzare. Ad esempio, 08/31/2021.

  3. Per ogni regola nei risultati di ricerca, esamina le informazioni nella colonna Approfondimenti. Questa colonna fornisce una percentuale che indica la probabilità che questa regola venga raggiunta in futuro. Se la percentuale è alta, potrebbe essere opportuno mantenere questa regola. Tuttavia, se è bassa, continua a esaminare le informazioni generate dall'approfondimento.

  4. Fai clic sul link Approfondimenti per visualizzare il riquadro Dettagli approfondimento.

  5. Nel riquadro Dettagli insight, esamina gli attributi di questa regola e quelli di eventuali regole simili elencate.

  6. Se la regola ha basse probabilità di essere individuata in futuro e se la previsione è supportata dal pattern di hit di regole simili, valuta la possibilità di rimuovere la regola. Per rimuovere la regola, fai clic sul nome che compare nella parte superiore del riquadro Dettagli approfondimenti. Viene visualizzata la pagina Dettagli regola firewall.

  7. Fai clic su Elimina.

  8. Nella finestra di dialogo di conferma, fai clic su Elimina.

Rimuovi un attributo non utilizzato da una regola allow

console

Per valutare e rimuovere un attributo non utilizzato, procedi nel seguente modo:

  1. In Google Cloud Console, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Nella scheda Consenti regole con attributi inutilizzati, fai clic su Visualizza elenco completo. Di conseguenza, la console Google Cloud mostra la pagina Consenti regole con attributi inutilizzati. Questa pagina elenca tutte le regole con attributi inutilizzati durante il periodo di osservazione.

  3. Fai clic sul testo visualizzato nella colonna Approfondimenti. Viene visualizzata la pagina Dettagli approfondimento.

  4. Esamina i dettagli nella parte superiore della pagina. Il riepilogo include i seguenti dettagli:

    • Il nome dell'approfondimento.
    • Il numero di attributi inutilizzati presenti nella regola.
    • La data e l'ora dell'ultimo aggiornamento dell'approfondimento.
    • I nomi di altre regole del progetto che utilizzano attributi simili.
    • La durata del periodo di osservazione.
  5. Valuta se puoi rimuovere l'attributo:

    1. Consulta la scheda Regola firewall con attributi senza corrispondenze. Controlla il campo Attributo senza corrispondenze (con previsione di hit futuri). Questo campo fornisce una percentuale che descrive la probabilità che l'attributo venga raggiunto in futuro.
    2. Esamina la scheda Regole firewall simili nello stesso progetto. Rivedi i dati visualizzati se l'attributo di questa regola è stato utilizzato.
  6. Se l'attributo ha poche probabilità di essere raggiunto in futuro e se la previsione è supportata dal pattern di hit di regole simili, valuta la possibilità di rimuovere l'attributo dalla regola. Per rimuovere l'attributo, fai clic sul nome della regola, visualizzato nella parte superiore della pagina Dettagli insight. Viene visualizzata la pagina Dettagli regola firewall.

  7. Fai clic su Modifica, apporta le modifiche necessarie e poi fai clic su Salva.

Restringi l'intervallo di indirizzi IP di una regola allow

Ricorda che il tuo progetto potrebbe avere regole firewall che consentono l'accesso da determinati blocchi di indirizzi IP per i controlli di integrità del bilanciatore del carico o per altre funzionalità di Google Cloud. Questi indirizzi IP potrebbero non essere interessati, ma non devono essere rimossi dalle regole firewall. Per ulteriori informazioni su questi intervalli, consulta la documentazione di Compute Engine.

console

Per valutare e rafforzare un intervallo di indirizzi IP eccessivamente permissivo, procedi nel seguente modo:

  1. In Google Cloud Console, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Nella scheda denominata Consenti regole con indirizzi o intervalli di porte eccessivamente permissivi, fai clic su Visualizza elenco completo. Di conseguenza, Google Cloud Console mostra un elenco di tutte le regole con intervalli eccessivamente permissivi durante il periodo di osservazione.

  3. Individua una regola nell'elenco e fai clic sul testo visualizzato nella colonna Approfondimenti. Viene visualizzata la pagina Dettagli approfondimento.

  4. Esamina i dettagli nella parte superiore della pagina. Il riepilogo include i seguenti dettagli:

    • Il nome della regola.
    • Il numero di intervalli di indirizzi IP che potrebbero essere limitati.
    • La data e l'ora dell'ultimo aggiornamento dell'approfondimento.
    • La durata del periodo di osservazione.
  5. Valuta se potresti restringere l'intervallo di indirizzi IP: rivedi la regola firewall con intervalli di indirizzi IP o porte eccessivamente permissivi. Esamina l'elenco di nuovi intervalli di indirizzi IP proposto.

  6. Se opportuno, valuta la possibilità di utilizzare i consigli negli approfondimenti per restringere l'intervallo di indirizzi IP. Fai clic sul nome della regola, visualizzato nella parte superiore della pagina Dettagli insight. Viene visualizzata la pagina Dettagli regola firewall.

  7. Fai clic su Modifica, apporta le modifiche necessarie e poi fai clic su Salva.

Passaggi successivi