Esta página descreve as categorias e os estados do Firewall Insights.
As estatísticas analisam a configuração e a utilização das regras de firewall através do tipo de estatísticas google.compute.firewall.Insight.
Categorias de estatísticas
No Firewall Insights, as estatísticas enquadram-se nas duas categorias gerais descritas na tabela seguinte.
| Categoria | Descrição | Estatísticas |
|---|---|---|
| Baseado na configuração | As estatísticas são geradas com base nos dados sobre a forma como configurou as suas regras de firewall. | Regras sobrepostas |
| Baseado em registos | As estatísticas são geradas com base no registo sobre a utilização das suas regras de firewall e informações sobre como configurou as regras de firewall. |
Regras excessivamente permissivas
|
Cada subtipo de estatísticas tem um nível de gravidade. Por exemplo, para as estatísticas das regras ocultadas, o nível de gravidade é medium. Para mais informações, consulte a secção Gravidade na documentação do Recomendador.
Estados das estatísticas
Cada estatística pode ter um dos seguintes estados, que pode alterar conforme descrito na tabela seguinte.
| Estado | Descrição |
|---|---|
ACTIVE |
A estatística está ativa. A Google continua a atualizar o conteúdo das estatísticas com base nas informações mais recentes.ACTIVE |
DISMISSED |
A estatística é ignorada e deixa de ser apresentada a qualquer utilizador em qualquer
lista de estatísticas ativas. Pode restaurar o estado Para mais informações, consulte o artigo Marcar uma estatística como ignorada. |
Regras sobrepostas
As regras ocultadas partilham atributos, como endereços IP, com outras regras com prioridade igual ou superior, denominadas regras de ocultação. O Firewall Insights analisa as suas regras de firewall da VPC e políticas de firewall para detetar estas regras ocultadas.
- Para políticas de firewall atribuídas a uma rede VPC, pode ver estatísticas sobre uma regra de política ocultada por uma regra de VPC na mesma política ou em qualquer outra.
- As políticas de firewall hierárquicas, as políticas de firewall de rede global e as regras de firewall da VPC são avaliadas com base na ordem de avaliação de regras e políticas. Por exemplo, no caso das políticas de firewall de rede globais, pode obter estatísticas sobre qual regra da política de firewall de rede global é ocultada por uma regra de firewall de VPC com base na ordem de avaliação das regras.
- Se tiver regras de firewall com tags seguras numa política de firewall de rede global, pode ver estatísticas sobre essas regras que se sobrepõem na mesma política de firewall global. Para mais informações, consulte o artigo Etiquetas para firewalls.
As Estatísticas de firewall não identificam todas as regras de ocultação possíveis. Especificamente, não identifica que várias etiquetas de outras regras de firewall tenham ocultado as etiquetas de uma regra de firewall.
Exemplos de regras sobrepostas
Neste exemplo, algumas regras de ocultação e ocultadas têm filtros de intervalo de IPs de origem sobrepostos, enquanto outras têm prioridades de regras diferentes.
A tabela seguinte mostra as regras de firewall A a E. Para diferentes cenários de regras
sombreadas, consulte as secções que se seguem à tabela.
| Política de firewall |
Tipo | Destinos | Filtros | Protocolos ou portas |
Ação | Prioridade | |
|---|---|---|---|---|---|---|---|
| Regra de firewall A | X | Entrada | Aplicar a tudo | 10.10.0.0/16 | tcp:80 | Permitir | 1000 |
| Regra de firewall B | Y | Entrada | Aplicar a tudo | 10.10.0.0/24 | tcp:80 | Permitir | 1000 |
| Regra de firewall C | - | Entrada | Web | 10.10.2.0/24 | tcp:80 tcp:443 | Permitir | 1000 |
| Regra de firewall D | - | Entrada | Web | 10.10.2.0/24 | tcp:80 | Recusar | 900 |
| Regra de firewall E | - | Entrada | Web | 10.10.2.0/24 | tcp:443 | Recusar | 900 |
Exemplo 1: a regra de firewall B é ocultada pela regra de firewall A
Neste exemplo, existem duas regras de firewall: A e B. Estas regras são quase idênticas, exceto pelos respetivos filtros de intervalo de endereços IP de origem. Por exemplo, o intervalo de endereços IP de A é 10.10.0.0/16, enquanto o intervalo de endereços IP de B é 10.10.0.0/24. Assim, a regra de firewall B é sobreposta pela regra de firewall A.
Normalmente, a estatística shadowed firewall rules indica uma configuração incorreta da firewall. Por exemplo, a definição do filtro de endereço IP de A é abrangente ou a definição do filtro de B é demasiado restritiva e desnecessária.
Exemplo 2: a regra de firewall C é ocultada pelas regras de firewall D e E
Neste exemplo, existem três regras de firewall: C, D e E. A regra de firewall permite a entrada de tráfego Web da porta HTTP 80 e da porta HTTPS 443 e tem uma prioridade de 1000 (prioridade predefinida). Por outro lado, as regras de firewall D e E negam a entrada de tráfego Web HTTP e HTTPS, respetivamente, e ambas têm uma prioridade de 900 (prioridade elevada). Assim, a regra de firewall C é ocultada pelas regras de firewall D e E combinadas.
Exemplo 3: a regra de firewall B na política de firewall Y é ocultada pela regra de firewall A na política X
Neste exemplo, existem duas regras de firewall: A e B. A regra de firewall A está na política X associada à pasta 1, enquanto a regra de firewall B está na política Y associada à pasta 2. Ambas as pastas, Pasta1 e Pasta2, estão no mesmo nó da organização e a Pasta2 é uma pasta secundária da Pasta1. Estas duas regras são idênticas, exceto no que diz respeito ao intervalo de endereços IP de origem. Esta estatística indica que a regra de firewall B na política Y é desnecessária porque já está abrangida pela regra de firewall A na política X. Assim, a regra de firewall B na política Y é ocultada pela regra de firewall A na política X.
Exemplo 4: a regra de firewall B na política de firewall de rede global Y é ocultada pela regra de firewall A
Neste exemplo, existem duas regras de firewall: A e B. Ambas as regras de firewall A e B estão na rede 1, mas a regra de firewall B está na política de firewall de rede global Y.
A ordem de aplicação da política Y da política de firewall é AFTER_CLASSIC_FIREWALLS.
Estas duas regras são quase idênticas, exceto no que diz respeito ao intervalo de endereços IP de origem.
Esta estatística indica que a regra B na política Y é desnecessária, uma vez que já está
coberta pela regra A. Assim, a regra de firewall B na política Y é sobreposta pela regra de firewall A.
Regras de recusa com resultados
Estas estatísticas fornecem detalhes sobre as regras de deny que tiveram resultados durante o
período de observação.
Estas estatísticas fornecem-lhe sinais de eliminação de pacotes da firewall. Em seguida, pode verificar se os pacotes rejeitados são esperados devido às proteções de segurança ou se resultam de uma configuração incorreta da rede.
Regras excessivamente permissivas
As Estatísticas da firewall oferecem uma análise abrangente sobre se as suas regras de firewall são excessivamente permissivas. Esta análise inclui as seguintes estatísticas:
- Permitir regras sem resultados
- Permita regras obsoletas com base na análise adaptativa
- Permitir regras com atributos não usados
- Permitir regras com intervalos de portas ou endereços IP excessivamente permissivos
Os dados fornecidos por estas estatísticas são provenientes do registo das regras de firewall. Por conseguinte, estes dados só são precisos se tiver ativado o registo de regras de firewall para todo o período de observação. Caso contrário, o número de regras em cada categoria de estatísticas pode ser superior ao indicado.
As estatísticas de regras excessivamente permissivas avaliam o tráfego TCP e UDP. Outros tipos de tráfego não são analisados. Para ver detalhes, consulte a descrição de cada estatística.
Cada subtipo de estatísticas tem um nível de gravidade. Por exemplo, o nível de gravidade é high para estatísticas de regras excessivamente permissivas. Para mais informações, consulte a secção Gravidade na documentação do Recomendador.
Permitir regras sem resultados
Esta estatística identifica allow regras que não tiveram resultados durante o período de observação.
Para cada regra, pode ver previsões de aprendizagem automática sobre se é provável que uma regra ou um atributo seja atingido no futuro. Esta previsão é produzida por uma análise de aprendizagem automática que considera o padrão de tráfego do histórico desta regra e regras semelhantes na mesma organização.
Para ajudar a compreender a previsão, esta estatística identifica regras semelhantes no mesmo projeto que a regra identificada pela estatística. A estatística apresenta a quantidade de resultados destas regras e resume os respetivos detalhes de configuração. Estes detalhes incluem a prioridade e os atributos de cada regra, como o respetivo endereço IP e intervalos de portas.
Allow rules with no hits avalia as regras de firewall aplicadas ao tráfego TCP e UDP. Se uma regra de firewall permitir qualquer outro tipo de tráfego, não é incluída nesta análise.
Permitir regras obsoletas com base na análise adaptativa
Esta estatística identifica allow regras que têm menor probabilidade de estarem ativas com base
nos padrões de utilização e na análise adaptativa. A estatística é produzida por uma análise de aprendizagem automática que tem em conta a média de ocorrências nos últimos seis semanas e a análise adaptativa das ocorrências recentes. No entanto, se a regra nunca tiver estado ativa desde que a monitorização da contagem de resultados foi iniciada, também pode ser incluída na estatística até ficar ativa novamente.
Por exemplo, suponha que uma regra de firewall foi atingida com frequência durante as últimas semanas do período de observação e deixou de ser atingida durante vários dias. Nesse caso, pode ver esta estatística para essa regra, o que indica uma alteração no padrão de utilização. No entanto, as regras da firewall são analisadas para identificar aquelas que são acedidas com pouca frequência, mas estão ativas. Estas regras ativas não aparecem nesta estatística.
Para cada regra, se a análise de aprendizagem automática identificar a regra como inativa, pode ver estatísticas baseadas na análise adaptativa mais rapidamente e antes do fim do período de observação. Por exemplo, pode começar a receber estatísticas baseadas na análise adaptável após a primeira semana do período de observação, mesmo que este seja de 12 meses.
Após o fim do período de observação, pode ver estatísticas baseadas nos dados recolhidos através do registo de regras da firewall durante todo o período de observação.
Permitir regras com atributos não utilizados
Esta estatística identifica allowregras que têm atributos como o endereço IP e os intervalos de portas que não foram atingidos durante o período de observação.
Para cada regra identificada, esta estatística também indica a probabilidade de a regra ser acionada no futuro. Esta previsão baseia-se em previsões de aprendizagem automática que têm em conta os padrões de tráfego do histórico desta regra e de regras semelhantes na mesma organização.
Para ajudar a compreender a previsão, a estatística resume outras regras de firewall no mesmo projeto que têm atributos semelhantes. Este resumo inclui dados sobre se os atributos dessas regras foram atingidos.
Allow rules with unused attributes avalia apenas os atributos definidos para o tráfego TCP e UDP. Se uma regra permitir outros tipos de tráfego além de TCP e UDP, a regra pode ser incluída nesta análise. No entanto, os atributos relacionados com outros tipos de tráfego não são analisados.
Por exemplo, suponhamos que uma regra permite o tráfego TCP e ICMP. Se o intervalo de endereços IP permitidos parecer não estar a ser usado, não é considerado não usado porque pode usá-lo para tráfego ICMP. No entanto, se a mesma regra tiver um intervalo de portas TCP não usado, a regra é denunciada como excessivamente permissiva.
Permitir regras com intervalos de portas ou endereços IP excessivamente permissivos
Esta estatística identifica regras allow que podem ter intervalos de portas ou endereços IP excessivamente abrangentes.
As regras de firewall são frequentemente criadas com um âmbito mais amplo do que o necessário. Um âmbito demasiado amplo pode originar riscos de segurança.
Esta estatística ajuda a mitigar este problema analisando a utilização real dos intervalos de endereços IP e portas das regras da firewall. Também sugere uma combinação alternativa de endereço IP e intervalos de portas para regras com intervalos excessivamente amplos. Com este conhecimento, pode remover os intervalos de portas desnecessários com base nos padrões de tráfego durante o período de observação.
Allow rules with overly permissive IP address or port ranges avalia apenas os atributos definidos para o tráfego TCP e UDP. Se uma regra permitir outros tipos de tráfego além de TCP e UDP, a regra pode ser incluída nesta análise.
No entanto, os atributos relativos a outros tipos de tráfego não são analisados.
Por exemplo, suponhamos que uma regra permite o tráfego TCP e ICMP. Se o intervalo de endereços IP permitidos parecer ser usado apenas parcialmente, a estatística não sinaliza o intervalo de endereços IP como demasiado amplo porque pode ser usado para tráfego ICMP. No entanto, se a mesma regra tiver um intervalo de portas TCP que seja usado apenas parcialmente, a regra é sinalizada como excessivamente permissiva.
Tenha em atenção que o seu projeto pode ter regras de firewall que permitem o acesso a determinados blocos de endereços IP para verificações de funcionamento do balanceador de carga ou para outraGoogle Cloud funcionalidade. Estes endereços IP podem não ser atingidos, mas não devem ser removidos das regras da firewall. Para mais informações sobre estes intervalos, consulte a documentação do Compute Engine.
Previsões de aprendizagem automática
Conforme descrito nas secções anteriores, duas estatísticas, as allowregras sem
acertos e as allowregras com atributos não usados, usam previsões de aprendizagem automática.
Para gerar previsões, o Firewall Insights treina um modelo de aprendizagem automática através de regras de firewall na mesma organização. Desta forma, o Firewall Insights aprende padrões comuns. Por exemplo, o Firewall Insights aprende sobre as combinações de atributos que tendem a ser atingidas. Estes atributos podem incluir intervalos de endereços IP, intervalos de portas e protocolos IP.
Se a regra de firewall contiver padrões comuns que mostrem que é provável que a regra seja atingida, o Firewall Insights tem uma maior confiança de que a regra pode ser atingida no futuro. O inverso também é verdadeiro.
Para cada estatística que usa previsões, o Firewall Insights mostra detalhes sobre as regras consideradas semelhantes à regra identificada pela estatística. Por exemplo, no painel Detalhes das estatísticas, pode ver detalhes sobre as três regras mais semelhantes à regra que é o objeto da previsão. Quanto mais sobreposição existir entre os atributos das duas regras, mais semelhantes são consideradas.
Para regras allow sem resultados, considere o seguinte exemplo:
Suponha que a regra A tem os seguintes atributos:
Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80
Suponha que a regra B tem os seguintes atributos:
Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80
Estas duas regras partilham os mesmos atributos de etiquetas de destino, protocolo e porta. Só diferem nos atributos de origem. Por este motivo, são consideradas semelhantes.
Para regras allow com atributos não usados, a semelhança é determinada da mesma forma. Para esta estatística, o Firewall Insights considera as regras semelhantes quando a respetiva configuração inclui os mesmos atributos.