ファイアウォール インサイトの一般的なユースケースでの操作

以下のセクションでは、ファイアウォール インサイトを使用して Virtual Private Cloud(VPC)ファイアウォール ランタイムの使用状況を確認する方法、ファイアウォール ルール構成をクリーンアップして最適化する方法、セキュリティ境界を厳しくする方法について説明します。

ファイアウォール インサイトの次の指標を確認して、Google Cloud リソースに対する潜在的なセキュリティ攻撃を診断できるようにします。

  • 過去 30 日間に仮想マシン(VM)インスタンスに利用されたファイアウォール ルール
  • ヒット数が急増した Ingress deny ファイアウォール ルール

このページで説明する分析情報と使用状況の指標の詳細については、ファイアウォール インサイトの概要をご覧ください。

過去 30 日間に VM に利用されたルールを表示する

Console

次のルールを確認して、構成ミスや不必要なシャドールールを回避できるようにします。

  1. Google Cloud Console で、Compute Engine の [VM インスタンス] ページに移動します。

    Compute Engine の VM ページに移動

  2. [VM インスタンスをフィルタ] フィールドで、次の Key-Value ペアのいずれかを入力してインスタンスをフィルタリングし、関連する VM を見つけます。Network tags: などのキーを入力した後に表示される値をクリックすることもできます。詳細については、タグIP アドレスのドキュメントをご覧ください。

    Network tags:TAG_NAME

    TAG_NAME は、VPC ネットワークに割り当てられたタグに置き換えます。

    Internal IP:INTERNAL_IP_ADDRESS

    INTERNAL_IP_ADDRESS は、VM インターフェースの内部 IP アドレスに置き換えます。

    External IP:EXTERNAL_IP_ADDRESS

    EXTERNAL_IP_ADDRESS は、VM インターフェースの外部 IP アドレスに置き換えます。

  3. VM インターフェースの検索結果で VM を見つけ、その他の操作メニュー をクリックします。

  4. メニューで、[ネットワークの詳細を表示] を選択します。

  5. [ネットワーク インターフェースの詳細] ページで、次の手順を行います。

    1. [ファイアウォール ルールとルートの詳細] で「last hit after:YYYY-MM-DD」を入力してファイアウォール ルールをフィルタリングします。これにより、最近ヒットしたファイアウォール ルールが見つかります。

    2. ファイアウォール ルールの場合、次のクエリ例のように、[ヒットカウント] 列の数字をクリックしてファイアウォール ログを開き、トラフィックの詳細を確認します。クエリを入力するには、[フィルタを送信] をクリックします。

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2")
      
    3. ファイアウォール ログの詳細をさらにフィルタリングするには、1 つ以上の追加の Cloud Logging フィルタを追加します。たとえば、次のクエリ例では、送信元 IP アドレス(src_ip)でフィルタリングする追加のフィルタを追加しています。クエリを入力するには、[フィルタを送信] をクリックします。

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2") AND
      jsonPayload.connection.src_ip:("10.0.1.2")
      

ingress deny ファイアウォール ルールのヒット数の急激な増加を検出する

ingress deny VPC ファイアウォール ルールのヒット数の変化を検出するように、Cloud Monitoring を構成できます。たとえば、特定のルールのヒットカウントが一定の割合増加した際に、アラートを送信することもできます。このアラートを設定すると、Google Cloud リソースに対する攻撃の可能性の検知に役立ちます。

このアラートは、ファイアウォール ルールロギングが有効になっているルールに対して作成できます。

コンソール

アラートを設定するには、次の手順を行います。

  1. Cloud Console で、Google Cloud プロジェクトを選択し、ナビゲーション パネルで [モニタリング] を選択します。

    Cloud Console に移動

  2. ナビゲーション パネルで [アラート] を選択します。

  3. ページの上部にある [ポリシーを作成] をクリックします。

  4. [アラート ポリシーの作成] ページで、[条件を追加] をクリックして、次の手順を行います。

    1. 条件の名前を入力します。

    2. [Find resource type and metric] フィールドに「firewallinsights.googleapis.com/vm/firewall_hit_count」(VM Firewall Hit Counts)と入力します。この指標は、特定の VM 宛てのトラフィックに対してトリガーされたファイアウォール ルールのヒット数を表示します。

    3. フィルタを入力します。例:

      • instance_id を使用して VM の ID を指定します。
      • firewall_name を使用して、ファイアウォール ルール ロギングが有効になっているファイアウォール ルールを特定します。
    4. アラートの条件を構成します。たとえば、次の値を使用すると、特定したルールのヒット数が 6 時間で 10% 増加した場合にアラートをトリガーします。

      • Condition triggers if: Any time series violates に設定
      • Condition: increases by に設定
      • Threshold: 10 に設定
      • For: 6 hours に設定
    5. [Add] をクリックします。

    6. [通知チャネルを追加] をクリックして、メールアドレスなどを追加します。

    7. [保存] をクリックします。

シャドウ ファイアウォール ルールのクリーンアップ

シャドウルールの詳細については、ファイアウォール インサイトの概要のシャドウルールの例をご覧ください。

Console

他のルールによって隠されているファイアウォール ルールをクリーンアップするには、次の手順を行います。

  1. Cloud Console で、VPC ファイアウォール ルールのページに移動します。

    VPC ファイアウォール ルールのページに移動

  2. [表をフィルタリング] フィールドに、次のクエリを入力します。

    Insight type: Shadowed by
  3. 検索結果のルールごとに、ルールの [名前] をクリックして詳細ページを表示します。必要に応じて、各ルールを確認しクリーンアップします。

未使用の ingress allow ルールをクリーンアップする

Console

指定された日数の間ヒットしなかった上り(内向き)ルールを見つけるには、次の手順を行います。

  1. Cloud Console で、VPC ファイアウォール ルールのページに移動します。

    VPC ファイアウォール ルールのページに移動

  2. [表をフィルタリング] フィールドに、次のクエリを入力します。

    Type:Ingress Last hit before:YYYY-MM-DD

    YYYY-MM-DD は、使用する日付に置き換えます。例: 2020-03-30

  3. 検索結果のルールごとに、ルールの [名前] をクリックして詳細ページを表示します。必要に応じて、各ルールを確認しクリーンアップします。

次のステップ