En esta página se describen las categorías y los estados de Firewall Insights.
Las estadísticas analizan la configuración y el uso de las reglas de cortafuegos mediante el tipo de estadística google.compute.firewall.Insight.
Categorías de estadísticas
En Firewall Insights, las estadísticas se dividen en las dos categorías generales que se describen en la siguiente tabla.
| Categoría | Descripción | Estadísticas |
|---|---|---|
| Basada en la configuración | Las estadísticas se generan a partir de los datos sobre cómo has configurado tus reglas de cortafuegos. | Reglas sustituidas |
| Basadas en registros | Las estadísticas se generan a partir de los registros sobre el uso de tus reglas de cortafuegos y de la información sobre cómo las has configurado. |
Reglas demasiado permisivas
|
Cada subtipo de estadística tiene un nivel de gravedad. Por ejemplo, en el caso de las estadísticas de reglas ocultas, el nivel de gravedad es medium. Para obtener más información, consulta Gravedad en la documentación de Recommender.
Estados de las estadísticas
Cada estadística puede tener uno de los siguientes estados, que puedes cambiar como se describe en la tabla siguiente.
| Estado | Descripción |
|---|---|
ACTIVE |
La estadística está activa. Google sigue actualizando el contenido de las
estadísticas de ACTIVE en función de la información más reciente. |
DISMISSED |
La estadística se oculta y ya no se muestra a ningún usuario en ninguna lista de estadísticas activas. Puedes restaurar el estado Para obtener más información, consulta Marcar una estadística como cerrada. |
Reglas sustituidas
Las reglas sustituidas comparten atributos, como direcciones IP, con otras reglas de igual o mayor prioridad, llamadas reglas de sustitución. Firewall Insights analiza tus reglas de cortafuegos de VPC y tus políticas de cortafuegos para detectar estas reglas sustituidas.
- En el caso de las políticas de cortafuegos asignadas a una red de VPC, puede consultar estadísticas sobre una regla de política que se ha ocultado por una regla de VPC en la misma política o en otra.
- Las políticas de cortafuegos de jerarquía, las políticas de cortafuegos de red globales y las reglas de cortafuegos de VPC se evalúan según el orden de evaluación de políticas y reglas. Por ejemplo, en el caso de las políticas de cortafuegos de red globales, puedes obtener información sobre qué regla de política de cortafuegos de red global se ve eclipsada por una regla de cortafuegos de VPC en función del orden de evaluación de las reglas.
- Si tienes reglas de cortafuegos con etiquetas seguras en una política de cortafuegos de red global, puedes consultar estadísticas sobre las reglas que se solapan entre sí en la misma política de cortafuegos global. Para obtener más información, consulta Etiquetas de cortafuegos.
Información valiosa del cortafuegos no identifica todas las reglas de solapamiento posibles. En concreto, no identifica que varias etiquetas de otras reglas de cortafuegos hayan ocultado las etiquetas de una regla de cortafuegos.
Ejemplos de reglas sombreadas
En este ejemplo, algunas reglas de sombra y de sombreado tienen filtros de intervalo de IP de origen superpuestos, mientras que otras tienen prioridades de regla diferentes.
En la siguiente tabla se muestran las reglas de cortafuegos A a E. Para ver diferentes situaciones de reglas sombreadas, consulta las secciones que se encuentran después de la tabla.
| Política de cortafuegos |
Tipo | Destinos | Filtros | Protocolos o puertos |
Acción | Prioridad | |
|---|---|---|---|---|---|---|---|
| Regla de cortafuegos A | X | Entrada | Aplicar a todo | 10.10.0.0/16 | tcp:80 | Permitir | 1000 |
| Regla de cortafuegos B | Y | Entrada | Aplicar a todo | 10.10.0.0/24 | tcp:80 | Permitir | 1000 |
| Regla de cortafuegos C | - | Entrada | web | 10.10.2.0/24 | tcp:80 tcp:443 | Permitir | 1000 |
| Regla de cortafuegos D | - | Entrada | web | 10.10.2.0/24 | tcp:80 | Denegar | 900 |
| Regla de cortafuegos E | - | Entrada | web | 10.10.2.0/24 | tcp:443 | Denegar | 900 |
Ejemplo 1: La regla de cortafuegos B se sustituye por la regla de cortafuegos A
En este ejemplo, hay dos reglas de cortafuegos: A y B. Estas reglas son casi idénticas, excepto por sus filtros de intervalo de direcciones IP de origen. Por ejemplo, el intervalo de direcciones IP de A es 10.10.0.0/16, mientras que el de B es 10.10.0.0/24. Por lo tanto, la regla de cortafuegos B se sustituye por la regla de cortafuegos A.
La información valiosa shadowed firewall rules suele indicar que el firewall está mal configurado. Por ejemplo, el ajuste del filtro de direcciones IP de A es demasiado amplio o el ajuste del filtro de B es demasiado restrictivo e innecesario.
Ejemplo 2: Las reglas de cortafuegos D y E sustituyen a la regla de cortafuegos C
En este ejemplo, hay tres reglas de cortafuegos: C, D y E. La regla de cortafuegos C permite la entrada de tráfico web a través de los puertos HTTP 80 y HTTPS 443, y tiene una prioridad de 1000 (prioridad predeterminada). Por el contrario, las reglas de cortafuegos D y E deniegan el tráfico web HTTP y HTTPS, respectivamente, y ambas tienen una prioridad de 900 (alta prioridad). Por lo tanto, la regla de cortafuegos C se sustituye por la combinación de las reglas de cortafuegos D y E.
Ejemplo 3: La regla de cortafuegos B de la política de cortafuegos Y se sustituye por la regla de cortafuegos A de la política X
En este ejemplo, hay dos reglas de cortafuegos: A y B. La regla de cortafuegos A está en la política X asociada a la carpeta 1, mientras que la regla de cortafuegos B está en la política Y asociada a la carpeta 2. Tanto Carpeta1 como Carpeta2 están en el mismo nodo de organización, y Carpeta2 es un elemento secundario de Carpeta1. Estas dos reglas son idénticas, excepto por el intervalo de direcciones IP de origen. Esta información indica que la regla de firewall B de la política Y no es necesaria porque ya está cubierta por la regla de firewall A de la política X. Por lo tanto, la regla de cortafuegos B de la política Y se sustituye por la regla de cortafuegos A de la política X.
Ejemplo 4: La regla de cortafuegos B de la política de cortafuegos de red global Y se sustituye por la regla de cortafuegos A
En este ejemplo, hay dos reglas de cortafuegos: A y B. Las reglas de cortafuegos A y B están en Network1, pero la regla de cortafuegos B está en la política de cortafuegos de red global Y.
El orden de aplicación de la política de cortafuegos Y es AFTER_CLASSIC_FIREWALLS.
Estas dos reglas son casi idénticas, excepto por su intervalo de direcciones IP de origen.
Esta estadística indica que la regla B de la política Y no es necesaria, ya que ya está cubierta por la regla A. Por lo tanto, la regla de cortafuegos B de la política Y se sustituye por la regla de cortafuegos A.
Reglas de denegación con coincidencias
Esta información valiosa proporciona detalles sobre las reglas de deny que han tenido hits durante el periodo de observación.
Estos datos te proporcionan señales de paquetes descartados por el cortafuegos. Después, puede comprobar si los paquetes perdidos se deben a protecciones de seguridad o si son el resultado de una configuración incorrecta de la red.
Reglas demasiado permisivas
Firewall Insights ofrece un análisis exhaustivo para determinar si tus reglas de cortafuegos son demasiado permisivas. Este análisis incluye las siguientes estadísticas:
- Reglas de autorización sin ninguna coincidencia
- Permitir reglas obsoletas basadas en análisis adaptativos
- Reglas de autorización con atributos no utilizados
- Reglas de autorización con dirección IP o intervalos de puerto demasiado permisivos
Los datos que proporcionan estas estadísticas proceden del almacenamiento de registros de reglas de cortafuegos. Por lo tanto, estos datos solo serán precisos si has habilitado el registro de reglas de cortafuegos durante todo el periodo de observación. De lo contrario, el número de reglas de cada categoría de estadísticas podría ser superior al indicado.
Las estadísticas de reglas demasiado permisivas evalúan el tráfico TCP y UDP. No se analizan otros tipos de tráfico. Para obtener más información, consulta la descripción de cada estadística.
Cada subtipo de estadística tiene un nivel de gravedad. Por ejemplo, el nivel de gravedad es
high para las estadísticas de reglas demasiado permisivas. Para obtener más información, consulta Gravedad en la documentación de Recommender.
Reglas de autorización sin ninguna coincidencia
Esta estadística identifica las reglas de allow que no han tenido coincidencias durante el periodo de observación.
En cada regla, puedes ver predicciones de aprendizaje automático sobre si es probable que se active una regla o un atributo en el futuro. Esta predicción se genera mediante un análisis de aprendizaje automático que tiene en cuenta el patrón de tráfico histórico de esta regla y de reglas similares de la misma organización.
Para ayudarte a entender la predicción, esta estadística identifica reglas similares en el mismo proyecto que la regla que ha identificado la estadística. En la estadística se indica el número de aciertos de estas reglas y se resumen los detalles de su configuración. Estos detalles incluyen la prioridad y los atributos de cada regla, como sus intervalos de direcciones IP y puertos.
Allow rules with no hits evalúa las reglas de cortafuegos que se aplican al tráfico TCP y UDP. Si una regla de cortafuegos permite cualquier otro tipo de tráfico, no se incluirá en este análisis.
Permitir reglas obsoletas basadas en análisis adaptativos
Esta estadística identifica las allow reglas que tienen menos probabilidades de estar activas en función de los patrones de uso y del análisis adaptativo. Esta estadística se genera mediante un análisis de aprendizaje automático que tiene en cuenta el recuento medio de visitas de las últimas seis semanas y un análisis adaptativo de los recuentos de visitas recientes. Sin embargo, si la regla nunca ha estado activa desde que se empezó a registrar el recuento de hits, también puede incluirse en la estadística hasta que vuelva a estar activa.
Por ejemplo, supongamos que una regla de cortafuegos se ha activado con frecuencia durante las últimas semanas del periodo de observación y ha dejado de activarse durante varios días. En ese caso, es posible que veas esta estadística en esa regla, lo que indica un cambio en el patrón de uso. Sin embargo, las reglas de cortafuegos se analizan para identificar las que se activan con poca frecuencia, pero están activas. Estas reglas activas no aparecen en esta información valiosa.
En cada regla, si el análisis de aprendizaje automático identifica que la regla está inactiva, puede ver las estadísticas basadas en el análisis adaptativo más rápido y antes de que finalice el periodo de observación. Por ejemplo, puedes empezar a recibir estadísticas basadas en análisis adaptativos después de la primera semana del periodo de observación, aunque este sea de 12 meses.
Una vez que haya finalizado el periodo de observación, podrá ver estadísticas basadas en los datos recogidos mediante el registro de reglas de cortafuegos durante todo el periodo.
Reglas de autorización con atributos no utilizados
Esta información valiosa identifica las reglas de allow que tienen atributos como direcciones IP e intervalos de puertos que no han tenido coincidencias durante el periodo de observación.
En cada regla identificada, esta estadística también indica la probabilidad de que se active en el futuro. Esta predicción se basa en predicciones de aprendizaje automático que tienen en cuenta los patrones de tráfico históricos de esta regla y de reglas similares de la misma organización.
Para ayudarte a entender la predicción, la estadística resume otras reglas de cortafuegos del mismo proyecto que tienen atributos similares. Este resumen incluye datos sobre si se han cumplido los atributos de esas reglas.
Allow rules with unused attributes solo evalúa los atributos definidos para el tráfico TCP y UDP. Si una regla permite otros tipos de tráfico además de TCP y UDP, se puede incluir en este análisis. Sin embargo, no se analizan los atributos que
pertenecen a otros tipos de tráfico.
Por ejemplo, supongamos que una regla permite el tráfico TCP e ICMP. Si el intervalo de direcciones IP permitidas parece no utilizarse, no se considera que no se usa porque puede que lo utilices para el tráfico ICMP. Sin embargo, si la misma regla tiene un intervalo de puertos TCP sin usar, se marca como demasiado permisiva.
Reglas de autorización con dirección IP o intervalos de puerto demasiado permisivos
Esta estadística identifica las reglas allow que pueden tener direcciones IP o intervalos de puertos demasiado amplios.
Las reglas de cortafuegos se suelen crear con un ámbito más amplio de lo necesario. Un ámbito demasiado amplio puede conllevar riesgos de seguridad.
Esta estadística ayuda a mitigar este problema analizando el uso real de las direcciones IP y los intervalos de puertos de tus reglas de cortafuegos. También sugiere una combinación alternativa de direcciones IP e intervalos de puertos para las reglas con intervalos demasiado amplios. Con esta información, puede eliminar los intervalos de puertos innecesarios en función de los patrones de tráfico durante el periodo de observación.
Allow rules with overly permissive IP address or port ranges solo evalúa los atributos definidos para el tráfico TCP y UDP. Si una regla permite otros tipos de tráfico además de TCP y UDP, se puede incluir en este análisis.
Sin embargo, no se analizan los atributos relacionados con otros tipos de tráfico.
Por ejemplo, supongamos que una regla permite el tráfico TCP e ICMP. Si parece que el intervalo de direcciones IP permitidas solo se usa parcialmente, la estadística no marca el intervalo de direcciones IP como demasiado amplio porque podría usarse para el tráfico ICMP. Sin embargo, si la misma regla tiene un intervalo de puertos TCP que solo se usa parcialmente, se marcará como demasiado permisiva.
Ten en cuenta que tu proyecto puede tener reglas de cortafuegos que permitan el acceso desde determinados bloques de direcciones IP para las comprobaciones de estado del balanceador de carga u otrasGoogle Cloud funciones. Es posible que no se acceda a estas direcciones IP, pero no se deben eliminar de las reglas de cortafuegos. Para obtener más información sobre estos intervalos, consulta la documentación de Compute Engine.
Predicciones de aprendizaje automático
Como se describe en las secciones anteriores, dos de las estadísticas (allow reglas sin coincidencias y allow reglas con atributos que no se usan) utilizan predicciones de aprendizaje automático.
Para generar predicciones, Firewall Insights entrena un modelo de aprendizaje automático con las reglas de cortafuegos de la misma organización. De esta forma, Firewall Insights aprende patrones comunes. Por ejemplo, Firewall Insights aprende sobre las combinaciones de atributos que suelen coincidir. Estos atributos pueden incluir intervalos de direcciones IP, intervalos de puertos y protocolos IP.
Si la regla de cortafuegos contiene patrones comunes que indican que es probable que se active, Firewall Insights tendrá más confianza en que se active en el futuro. y viceversa.
En cada una de las estadísticas que usan predicciones, Firewall Insights muestra detalles sobre las reglas que se consideran similares a la regla identificada por la estadística. Por ejemplo, en el panel Detalles de la estadística, puedes ver detalles sobre las tres reglas más similares a la regla que es el tema de la predicción. Cuanto más se solapen los atributos de las dos reglas, más similares se considerarán.
En el caso de las allow reglas sin coincidencias, veamos el siguiente ejemplo:
Supongamos que la regla A tiene los siguientes atributos:
Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80
Supongamos que la regla B tiene los siguientes atributos:
Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80
Estas dos reglas comparten los mismos atributos de etiquetas de destino, protocolo y puerto. Solo se diferencian en los atributos de origen. Por este motivo, se consideran similares.
En el caso de las allow reglas con atributos que no se usan, la similitud se determina de la misma forma. Para obtener esta información valiosa, Firewall Insights considera que las reglas son similares cuando su configuración incluye los mismos atributos.