Cette page explique comment activer les API et les fonctionnalités requises pour utiliser Firewall Insights.
Avant d'utiliser Firewall Insights, sélectionnez un projet, assurez-vous de disposer des rôles et des autorisations requis, puis effectuez les tâches de configuration requises. Pour en savoir plus sur les deux premières étapes, consultez la section Rôles et autorisations.
Les tâches de configuration varient en fonction des métriques et des insights que vous souhaitez utiliser. Pour en savoir plus, consultez le tableau suivant.
Tâche | Toutes les métriques | Insights sur les règles bloquées | Insights sur les règles trop permissives | Règles "deny" ayant fait l'objet d'appels |
---|---|---|---|---|
Activer l'API Firewall Insights | ✔ | ✔ | ✔ | ✔ |
Activer la journalisation des règles de pare-feu | ✔ | ✔ | ✔ | |
Activer l'API Recommender | ✔ | ✔ | ||
Activer ce type d'insight | ✔ | ✔ | ||
Configurer une période d'observation | ✔ | ✔ | ||
Planifier un cycle d'actualisation personnalisé | ✔ |
Les sections suivantes décrivent comment activer les API et les fonctionnalités.
Activer l'API Firewall Insights
Avant d'effectuer des tâches à l'aide de Firewall Insights, vous devez activer l'API Firewall Insights.
Pour activer l'API, vous pouvez suivre les étapes ci-dessous ou utiliser la bibliothèque d'API de la console Google Cloud, décrite dans la section Activer des API de la documentation des APIs Cloud.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Sur la page API Firewall Insights, cliquez sur Activer.
gcloud
Exécutez la commande suivante :
gcloud services enable firewallinsights.googleapis.com
Activer la journalisation des règles de pare-feu
Si vous souhaitez afficher l'un des éléments suivants, vous devez activer la journalisation des règles de pare-feu :
- Métriques sur les règles de pare-feu
- Insights sur les règles trop permissives ou les règles
deny
. Ces insights sont collectivement appelés insights basés sur les journaux.
Firewall Insights ne génère des métriques et des insights basés sur les journaux que pour les règles pour lesquelles la journalisation est activée. Pour en savoir plus, consultez la page Présentation de la journalisation des règles de pare-feu.
Activez l'API Recommender
Activez l'API Recommender pour effectuer les opérations suivantes:
- Utiliser des insights sur les règles bloquées
- Utiliser des insights sur les règles trop permissives
Récupérez toutes les données en effectuant des appels d'API ou en utilisant Google Cloud CLI.
Console
Dans la console Google Cloud, accédez à la page Activer l'accès aux API.
Assurez-vous que le bon projet est sélectionné, puis cliquez sur Suivant.
Cliquez sur Activer.
gcloud
Exécutez la commande suivante :
gcloud services enable recommender.googleapis.com
Activer les règles bloquées ou les règles trop permissives
Firewall Insights ne génère pas de règles bloquées ou des insights sur des règles trop permissives, sauf si vous activez ces fonctionnalités sur la page "Firewall Insights".
Après avoir activé l'une de ces fonctionnalités, vous devrez peut-être attendre jusqu'à 48 heures avant de pouvoir consulter les insights générés.
Lorsque vous créez ou modifiez une règle de pare-feu, vous devrez peut-être attendre jusqu'à dix jours avant de voir des prédictions de machine learning pour des insights trop permissifs. En attendant, vous pouvez afficher les insights basés sur les données collectées à partir de la journalisation des règles de pare-feu.
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Cliquez sur Configuration
Cliquez sur Activation.
Le cas échéant, déplacez le curseur sur Activé ou Désactivé pour l'une des options suivantes, ou les deux :
Insights sur les règles bloquées
Insights sur les règles trop permissives
API
Vous pouvez utiliser l'outil de recommandation d'API pour activer ou désactiver les insights sur les règles bloquées et les insights sur les règles trop permissives. Vous pouvez également utiliser l'API pour définir la période d'observation des insights sur les règles trop permissives et récupérer les détails de la configuration.
Pour activer les insights sur les règles bloquées et les insights sur les règles trop permissives, utilisez la méthode updateConfig
.
Pour utiliser la méthode updateConfig
, vous devez définir des valeurs pour tous ses paramètres. Lorsque vous activez ou désactivez les insights, vous devez également configurer la période d'observation pour les insights trop permissifs.
Pour effectuer ce type de mise à jour, utilisez la requête suivante.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config { "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config", "insightTypeGenerationConfig": { "params": { "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE", "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED, "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE } }, "etag": "\"ETAG\"", }
Remplacez les valeurs suivantes :
- PROJECT_ID : ID de votre projet
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE : durée, en secondes, de la période d'observation pour les insights sur les règles trop permissives
- ENABLEMENT_SHADOWED : valeur booléenne indiquant si les insights sur les règles bloquées sont activés
- ENABLEMENT_OVERLY_PERMISSIVE : valeur booléenne indiquant si les insights sur les règles trop permissives sont activés
- ETAG : valeur de l'eTag de la stratégie IAM. Pour récupérer la valeur eTag, utilisez la méthode
getConfig
, comme décrit dans la section suivante.
Exemple
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config { "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config", "insightTypeGenerationConfig": { "params": { "observation_period": "604800s", "enable_shadowed_rule_insights": true, "enable_overly_permissive_rule_insights": true } }, "etag": "\"ETAG\"", }
Récupérer les détails de la configuration
Pour récupérer les détails de la configuration de Firewall Insights, utilisez la méthode getConfig
, comme indiqué dans l'exemple suivant.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Configurer une période d'observation
Pour certains insights, vous pouvez configurer une période d'observation, c'est-à-dire l'intervalle de temps couvert par l'insight. Pour en savoir plus, consultez la section Configurer la période d'observation dans Configurer la période d'observation et le cycle d'actualisation.
Planifier un cycle d'actualisation personnalisé
Vous pouvez configurer un cycle d'actualisation afin de générer des insights sur les règles bloquées pour votre projet. Pour en savoir plus, consultez la section Planifier un cycle d'actualisation personnalisé dans Configurer la période d'observation et le cycle d'actualisation.