Como trabalhar com casos de uso comuns do Firewall Insights

As seções a seguir descrevem maneiras de usar o Firewall Insights para revisar o uso do tempo de execução do firewall da Virtual Private Cloud (VPC), limpar e otimizar as configurações de regras do firewall e reforçar os limites de segurança.

Analise as seguintes métricas do Firewall Insights para diagnosticar possíveis ataques de segurança contra seus recursos do Google Cloud:

  • Regras de firewall que foram aplicadas às instâncias da sua máquina virtual (VM) nos últimos 30 dias
  • Ingress deny regras de firewall com aumentos repentinos na contagem de ocorrências

Para saber mais sobre as informações e métricas de uso descritas nesta página, consulte a Visão geral do Firewall Insights.

Exibindo regras aplicadas a uma VM nos últimos 30 dias

Console

Revise estas regras para ajudar a evitar configurações incorretas e regras sombreadas desnecessárias:

  1. No Console do Google Cloud, acesse a página Instâncias de máquina virtual (VM) do Compute Engine.

    Acesse a página Configurações do Compute Engine (em inglês)

  2. No campo Filtrar instâncias da VM, filtre as instâncias inserindo um dos seguintes pares de chave/valor para encontrar VMs relevantes. Também é possível clicar nos valores que aparecem depois de inserir uma chave como Network tags:. Para obter mais informações, consulte a documentação para tags e endereços IP.

    Network tags:TAG_NAME

    Substitua TAG_NAME por uma tag atribuída a uma rede VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Substitua INTERNAL_IP_ADDRESS por um endereço IP interno de uma interface de VM.

    External IP:EXTERNAL_IP_ADDRESS

    Substitua EXTERNAL_IP_ADDRESS por um endereço IP externo de uma interface de VM.

  3. Nos resultados da pesquisa de uma interface de VM, localize uma VM e clique em seu menu mais ações .

  4. No menu, selecione Exibir detalhes da rede.

  5. Na página Detalhes da interface de rede, execute estas etapas:

    1. Em Regras de firewall e detalhes de rotas, digite last hit after:YYYY-MM-DD para filtrar as regras de firewall. Isso encontra regras de firewall com hits recentes.

    2. Para uma regra de firewall, clique no número na coluna Contagem de ocorrências para abrir o log do firewall e revisar os detalhes do tráfego, como na consulta de exemplo a seguir. Para inserir uma consulta, clique em Enviar filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2")
      
    3. Adicione um ou mais filtros adicionais do Cloud Logging para filtrar ainda mais os detalhes do log do firewall. Por exemplo, a consulta de exemplo a seguir adiciona um filtro adicional que filtra por endereço IP de origem (src_ip). Para inserir uma consulta, clique em Enviar filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2") AND
      jsonPayload.connection.src_ip:("10.0.1.2")
      

Detectando aumentos repentinos na contagem de ocorrências para ingress deny regras de firewall

Você pode configurar alertas do Cloud Monitoring para detectar determinadas alterações de comportamento na contagem de ocorrências de uma ou mais regras de firewall da VPC. Por exemplo, você pode definir um alerta quando a contagem de ocorrências na regra ingress deny aumentar em 100%. Definir este alerta é útil para detectar possíveis ataques de segurança aos seus recursos do Google Cloud.

Console

Para definir um alerta:

  1. Crie um espaço de trabalho de monitoramento para o seu projeto.

  2. No Console do Cloud do seu espaço de trabalho, acesse a página Alertas do Monitoring.

    Vá para a página Alerta para Monitoramento

  3. Na parte superior da página, clique em Criar política.

  4. Na página Criar política de alertas, execute as seguintes etapas:

    1. Nomear a política.

    2. Clique em Adicionar condição e insira a métrica para Contagens de acertos do Firewall da VM (firewallinsights.googleapis.com/vm/firewall_hit_count).

    3. Digite os filtros necessários e as condições de alerta. Para etapas, consulte Especificando condições para alertar políticas.

    4. Clique em Adicionar.

    5. Clique em Adicionar canal de notificação e adicione, por exemplo, um endereço de email.

    6. Clique em Salvar.

Como limpar regras de firewall sombreadas

Para obter mais informações sobre regras sombreadas, consulte o exemplo de regras sombreadas na visão geral do Firewall Insights.

Console

Para limpar regras de firewall sombreadas por outras regras, execute as seguintes etapas:

  1. No Console do Cloud, acesse a página Regras de firewall da VPC.

    Acesse a página Regras de firewall da VCP

  2. No campo Tabela de filtros, digite a seguinte consulta:

    Insight type: Shadowed by
  3. Para cada regra nos resultados da pesquisa, clique no Nome da regra e veja a página de detalhes. Revise e limpe cada regra, conforme necessário.

Como limpar ingress allow regras não utilizadas

Console

Para encontrar regras de entrada que não foram atingidas pelo número de dias solicitado, execute as seguintes etapas:

  1. No Console do Cloud, acesse a página Regras de firewall da VPC.

    Acesse a página Regras de firewall da VCP

  2. No campo Tabela de filtros, digite a seguinte consulta:

    Type:Ingress Last hit before:YYYY-MM-DD

    Substitua YYYY-MM-DD pela data que você quer usar. Por exemplo, 2020-03-30.

  3. Para cada regra nos resultados da pesquisa, clique no Nome da regra e veja a página de detalhes. Revise e limpe cada regra, conforme necessário.

A seguir