Cette page explique comment configurer une période d'observation et un cycle d'actualisation dans Firewall Insights.
Pour obtenir un aperçu des insights disponibles, consultez la section Catégories et états de Firewall Insights.
Pour obtenir la liste des métriques d'utilisation du pare-feu, consultez la section Afficher les métriques Firewall Insights.
Rôles et autorisations requis
Pour obtenir l'autorisation nécessaire pour configurer la période d'observation et le cycle d'actualisation, demandez à votre administrateur de vous accorder le rôle IAM Administrateur du Recommandeur de pare-feu (roles/recommender.firewallAdmin
) sur votre projet.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ce rôle prédéfini contient l'autorisation recommender.computeFirewallInsightTypeConfigs.update
, qui est nécessaire pour configurer la période d'observation et le cycle d'actualisation.
Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.
Configurer la période d'observation
Pour certains insights, vous pouvez configurer une période d'observation, c'est-à-dire l'intervalle de temps couvert par l'insight. Par exemple, vous pouvez configurer la période d'observation des insights sur les règles trop permissives et les règles deny
. La période d'observation par défaut est de six semaines. Vous pouvez configurer la période d'observation entre sept jours et un an.
Par exemple, si vous définissez la période d'observation des insights sur les règles deny
sur deux mois, lorsque vous examinez la liste des règles deny
utilisées après la période d'observation, Firewall Insights n'affiche que celles qui ont été appelées au cours des deux derniers mois. Supposons que vous modifiiez la période d'observation sur un mois. Firewall Insights peut identifier un nombre différent de règles, car il analysera un intervalle de temps plus court.
Lorsque vous examinez des insights et configurez des périodes d'observation, tenez compte des points suivants :
Lorsque vous configurez la période d'observation des règles
deny
avec des appels, Firewall Insights met immédiatement à jour les résultats des insights.Lorsque vous mettez à jour la période d'observation pour des insights sur des règles trop permissives, la mise à jour des résultats existants par Firewall Insights peut prendre jusqu'à 48 heures. En attendant, la période d'observation des résultats existants correspond à la période d'observation précédemment configurée.
Pour les insights trop permissifs, si l'insight n'a identifié aucune règle de pare-feu, Firewall Insights n'affiche pas la période d'observation pour identifier les insights utilisés.
Les insights sur les règles bloquées ne présentent pas de période d'observation, car ils n'évaluent pas les données de l'historique. L'analyse des règles bloquées évalue la configuration de vos règles de pare-feu existantes toutes les 24 heures.
Les données des journaux de trafic des dernières 24 heures peuvent ne pas être incluses lors de la génération des insights.
Console
Configurez une période d'observation:
Dans Google Cloud Console, accédez à la page Firewall Insights.
Cliquez sur Configuration
Cliquez sur Période d'observation.
Le cas échéant, définissez la liste déroulante Période d'observation sur l'heure appropriée pour chacun des éléments suivants :
Insights sur les règles trop permissives
Insights sur les règles de refus
API
Pour définir la période d'observation des règles deny
avec des appels, vous devez utiliser la console Google Cloud. Cependant, vous pouvez utiliser l'API Recommender pour définir la période d'observation des insights de règles trop permissives. Vous pouvez également utiliser l'API pour activer les insights et récupérer les détails de la configuration.
Pour définir la période d'observation des insights sur les règles trop permissives, utilisez la méthode updateConfig
.
Pour utiliser la méthode updateConfig
, définissez des valeurs pour tous ses paramètres. Spécifiez également si les insights sur les règles bloquées et les règles trop permissives sont activés ou désactivés.
Pour effectuer ce type de mise à jour, utilisez la requête suivante.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config { "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config", "insightTypeGenerationConfig": { "params": { "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE", "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED, "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE } }, "etag": "\"ETAG\"", }
Remplacez les valeurs suivantes :
- PROJECT_ID : ID de votre projet
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE : durée, en secondes, de la période d'observation pour les insights sur les règles trop permissives
- ENABLEMENT_SHADOWED : valeur booléenne indiquant si les insights sur les règles bloquées sont activés
- ENABLEMENT_OVERLY_PERMISSIVE : valeur booléenne indiquant si les insights sur les règles trop permissives sont activés
- ETAG : valeur de l'eTag de la stratégie IAM. Pour récupérer la valeur eTag, utilisez la méthode
getConfig
, comme décrit dans la section suivante.
Exemple
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config { "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config", "insightTypeGenerationConfig": { "params": { "observation_period": "604800s", "enable_shadowed_rule_insights": true, "enable_overly_permissive_rule_insights": true } }, "etag": "\"ETAG\"", }
Récupérer les détails de la configuration
Pour récupérer les détails de la configuration de Firewall Insights, utilisez la méthode getConfig
, comme indiqué dans l'exemple suivant.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Planifier un cycle d'actualisation personnalisé
Configurez un cycle d'actualisation afin de générer des insights sur les règles bloquées pour votre projet.
Vous pouvez planifier le cycle d'actualisation pour qu'il commence à une date spécifiée et personnaliser sa fréquence. La fréquence par défaut du cycle est d'un jour (24 heures).
Console
Configurez un cycle d'actualisation personnalisé pour les insights :
Dans Google Cloud Console, accédez à la page Firewall Insights.
Cliquez sur Configuration
Cliquez sur Activation.
Pour activer les insights sur les règles bloquées, cliquez sur la bascule d'activation.
Dans le champ Démarrer le, saisissez la date à partir de laquelle le cycle d'actualisation personnalisé doit démarrer.
Dans le champ Répéter chaque, sélectionnez la fréquence du cycle d'actualisation à partir de la date de début du cycle :
- jour : toutes les 24 heures
- semaine : toutes les semaines, les jours que vous choisissez
- mois : tous les mois
- trimestre : tous les trimestres
Le nouveau calendrier de génération d'insights prend effet 24 heures après l'enregistrement des modifications apportées à la planification.