Como trabalhar com casos de uso comuns

Neste documento, descrevemos como usar o Firewall Insights para revisar o uso do ambiente de execução do firewall da Virtual Private Cloud (VPC), otimizar as configurações das regras de firewall e reforçar os limites de segurança.

Para saber mais sobre as informações e métricas de uso descritas nesta página, consulte a Visão geral do Firewall Insights.

Exibindo regras aplicadas a uma VM nos últimos 30 dias

Console

Revise estas regras para ajudar a evitar configurações incorretas e regras sombreadas desnecessárias:

  1. No Console do Google Cloud, acesse a página Instâncias de VM do Compute Engine.

    Acesse as instâncias de VM do Compute Engine

  2. No campo Filtrar instâncias da VM, filtre as instâncias inserindo um dos seguintes pares de chave/valor para encontrar VMs relevantes. Também é possível clicar nos valores que aparecem depois de inserir uma chave como Network tags:. Para obter mais informações, consulte a documentação para tags e endereços IP.

    Network tags:TAG_NAME

    Substitua TAG_NAME por uma tag atribuída a uma rede VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Substitua INTERNAL_IP_ADDRESS por um endereço IP interno de uma interface de VM.

    External IP:EXTERNAL_IP_ADDRESS

    Substitua EXTERNAL_IP_ADDRESS por um endereço IP externo de uma interface de VM.

  3. Nos resultados da pesquisa de uma interface de VM, localize uma VM e clique em seu menu mais ações .

  4. No menu, selecione Exibir detalhes da rede.

  5. Na página Detalhes da interface de rede, execute estas etapas:

    1. Em Regras de firewall e detalhes de rotas, digite last hit after:YYYY-MM-DD para filtrar as regras de firewall. Isso encontra regras de firewall com hits recentes.

    2. Para uma regra de firewall, clique no número na coluna Contagem de ocorrências para abrir o log do firewall e revisar os detalhes do tráfego, como na consulta de exemplo a seguir. Para inserir uma consulta, clique em Enviar filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2")
      
    3. Adicione um ou mais filtros adicionais do Cloud Logging para filtrar ainda mais os detalhes do log do firewall. Por exemplo, a consulta de exemplo a seguir adiciona um filtro adicional que filtra por endereço IP de origem (src_ip). Para inserir uma consulta, clique em Enviar filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
      jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
      jsonPayload.instance.zone:("us-central1-c") AND
      jsonPayload.instance.vm_name:("instance2") AND
      jsonPayload.connection.src_ip:("10.0.1.2")
      

Detectar aumentos repentinos na contagem de ocorrências para deny regras de firewall

É possível configurar o Cloud Monitoring para detectar alterações na contagem de hits das suas regras de firewall VPC deny. Por exemplo, você tem a opção de receber um alerta quando a contagem de hits de uma regra específica aumentar em determinada porcentagem. A configuração desse alerta ajuda a detectar possíveis ataques nos recursosdo Google Cloud.

Console

Para definir o alerta, siga estas etapas:

  1. No Console do Cloud, acesse a página do Monitoring.

    Acessar Monitoring

  2. No painel de navegação, selecione Alertas.

  3. Na parte superior da página, clique em Criar política.

  4. Na página Criar política de alertas, clique em Adicionar condição e conclua as seguintes etapas:

    1. Insira um nome para a condição.

    2. No campo Localizar tipo e métrica de recurso, insira firewallinsights.googleapis.com/vm/firewall_hit_count (Contagens de ocorrências do firewall da VM). Essa métrica mostra a contagem de ocorrências de regras de firewall acionadas para o tráfego endereçado a uma determinada VM.

    3. Insira os filtros. Exemplo:

      • Use o instance_id para especificar o ID de uma VM.
      • Use o firewall_name para identificar uma regra de firewall que tenha a geração de registros de regras de firewall ativada.
    4. Configure as condições de alerta. Por exemplo, use os seguintes valores para acionar um alerta quando a contagem de ocorrências da regra identificada aumentar em 10% por seis horas:

      • Condição acionada se: definida como Any time series violates
      • Condição: definida como increases by.
      • Limite: definido como 10
      • Para: defina como 6 hours
    5. Clique em Add.

    6. Clique em Adicionar canal de notificação e adicione, por exemplo, um endereço de email.

    7. Clique em Save.

Limpar regras de firewall sombreadas

Para mais informações sobre regras sombreadas, consulte o exemplo de regras sombreadas na visão geral do Firewall Insights.

Console

Para limpar regras de firewall sombreadas por outras regras, execute as seguintes etapas:

  1. No Console do Cloud, acesse a página Firewall.

    Acessar o Firewall

  2. No campo Tabela de filtros, digite a seguinte consulta:

    Insight type: Shadowed by
  3. Para cada regra nos resultados da pesquisa, clique no Nome da regra e veja a página de detalhes. Revise e limpe cada regra, conforme necessário.

Remover uma regra allow não utilizada

Console

Para avaliar e remover uma regra allow não utilizada, siga estas etapas:

  1. No Console do Cloud, acesse a página Firewall.

    Acessar o Firewall

  2. No campo Tabela de filtros, digite a seguinte consulta:

    Type:Ingress Last hit before:MM/DD/YYYY

    Substitua MM/DD/YYYY pela data que você quer usar. Por exemplo, 08/31/2021.

  3. Para cada regra nos resultados da pesquisa, revise as informações na coluna Insight. Essa coluna fornece uma porcentagem que indica a probabilidade de que essa regra seja atingida no futuro. Se a porcentagem for alta, convém manter essa regra. No entanto, se ela estiver baixo, continue analisando as informações geradas pelo insight.

  4. Clique no link do insight para exibir o painel Detalhes do insight.

  5. No painel Insight Detail, analise os atributos dessa regra e os atributos semelhantes listados.

  6. Se a regra tiver uma baixa probabilidade de ser atingida no futuro e se essa previsão for compatível com o padrão de ocorrências de regras semelhantes, considere remover a regra. Para remover a regra, clique no nome dela, que aparece na parte superior do painel Insight Detail. A página Detalhes da regra de firewall é aberta.

  7. Clique em Excluir.

  8. Na caixa de diálogo de confirmação, clique em Excluir.

Remover um atributo não utilizado de uma regra allow

Console

Para avaliar e remover um atributo não utilizado, conclua as seguintes etapas:

  1. No Console do Cloud, acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. No card Permitir regras com atributos não utilizados, clique em Ver lista completa. Em resposta, o Console do Cloud exibe a página Permitir regras com atributos não utilizados. Esta página lista todas as regras que tiveram atributos não utilizados durante o período de observação.

  3. Clique no texto exibido na coluna Insight. A página Insight Details é aberta.

  4. Revise os detalhes na parte superior da página. O resumo inclui os seguintes detalhes:

    • É o nome do insight.
    • O número de atributos não utilizados que esta regra tem.
    • A hora em que o insight foi atualizado pela última vez.
    • Os nomes de outras regras no projeto que usam atributos semelhantes.
    • A duração do período de observação.
  5. Avalie se é possível remover o atributo:

    1. Revise o cartão Regra de firewall com atributos sem ocorrências. Observe o campo rotulado Atributo sem ocorrência (com previsão de ocorrências futura). Esse campo fornece uma porcentagem que descreve a probabilidade de o atributo ser atingido no futuro.
    2. Revise o cartão Regra de firewall semelhante no mesmo projeto. Revise os dados exibidos sobre se o atributo dessa regra foi usado.
  6. Se o atributo tiver uma baixa probabilidade de ser atingido no futuro e se essa previsão for compatível com o padrão de ocorrências de regras semelhantes, considere remover o atributo da regra. Para remover o atributo, clique no nome da regra, que aparece na parte superior da página Detalhes do Insight. A página Detalhes da regra de firewall é aberta.

  7. Clique em Editar, faça as alterações necessárias e clique em Salvar.

Restringir o intervalo de endereços IP de uma regra allow

Tenha em mente que o projeto pode ter regras de firewall que permitem o acesso de determinados blocos de endereços IP para verificações de integridade do balanceador de carga ou para outra funcionalidade do Google Cloud. Esses endereços IP podem não ocorrer, mas não podem ser removidos das suas regras de firewall. Para mais informações sobre esses intervalos, consulte a documentação do Compute Engine.

Console

Para avaliar e restringir um intervalo de endereços IP excessivamente permissivo, conclua as seguintes etapas:

  1. No Console do Cloud, acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. No cartão chamado Permitir regras com endereços IP ou intervalos de portas excessivamente permissivos, clique em Ver lista completa. Em resposta, o Console do Cloud exibe uma lista de todas as regras que tinham intervalos muito permissivos durante o período de observação.

  3. Encontre qualquer regra na lista e clique no texto exibido na coluna Insight. A página Insight Details é aberta.

  4. Revise os detalhes na parte superior da página. O resumo inclui os seguintes detalhes:

    • O nome da regra.
    • O número de intervalos de endereços IP que podem ser restritos.
    • A hora em que o insight foi atualizado pela última vez.
    • A duração do período de observação.
  5. Avalie se é possível restringir o intervalo de endereços IP: consulte a regra Regra de firewall com endereços IP ou intervalos de portas excessivamente permissivos. Analise a lista proposta de novos intervalos de endereços IP.

  6. Se apropriado, use as recomendações apresentadas no insight para reduzir ainda mais o intervalo de endereços IP. Clique no nome da regra, que aparece na parte superior da página Insight Detail. A página Detalhes da regra de firewall é aberta.

  7. Clique em Editar, faça as alterações necessárias e clique em Salvar.

A seguir