Activer les API et les fonctionnalités

Cette page explique comment activer les API et les fonctionnalités requises pour utiliser Firewall Insights.

Avant d'utiliser Firewall Insights, sélectionnez un projet, assurez-vous de disposer des rôles et des autorisations requis, puis effectuez les tâches de configuration requises. Pour en savoir plus sur les deux premières étapes, consultez la section Rôles et autorisations.

Les tâches de configuration varient en fonction des métriques et des insights que vous souhaitez utiliser. Pour en savoir plus, consultez le tableau suivant.

Tâche Toutes les métriques Insights sur les règles bloquées Insights sur les règles trop permissives Règles "deny" ayant fait l'objet d'appels
Activer l'API Firewall Insights
Activer la journalisation des règles de pare-feu
Activer l'API Recommender
Activer ce type d'insight
Configurer une période d'observation
Planifier un cycle d'actualisation personnalisé


Les sections suivantes décrivent comment activer les API et les fonctionnalités.

Activer l'API Firewall Insights

Avant d'effectuer des tâches à l'aide de Firewall Insights, vous devez activer l'API Firewall Insights.

Pour activer l'API, vous pouvez suivre les étapes ci-dessous ou utiliser la bibliothèque d'API de la console Google Cloud, décrite dans la section Activer des API de la documentation des APIs Cloud.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Sur la page API Firewall Insights, cliquez sur Activer.

gcloud

Exécutez la commande suivante :

gcloud services enable firewallinsights.googleapis.com

Activer la journalisation des règles de pare-feu

Si vous souhaitez afficher l'un des éléments suivants, vous devez activer la journalisation des règles de pare-feu :

  • Métriques sur les règles de pare-feu
  • Insights sur les règles trop permissives ou les règles deny. Ces insights sont collectivement appelés insights basés sur les journaux.

Firewall Insights ne génère des métriques et des insights basés sur les journaux que pour les règles pour lesquelles la journalisation est activée. Pour en savoir plus, consultez la page Présentation de la journalisation des règles de pare-feu.

Activez l'API Recommender

Activez l'API Recommender pour effectuer les opérations suivantes:

  • Utiliser des insights sur les règles bloquées
  • Utiliser des insights sur les règles trop permissives
  • Récupérez toutes les données en effectuant des appels d'API ou en utilisant Google Cloud CLI.

Console

  1. Dans la console Google Cloud, accédez à la page Activer l'accès aux API.

    Activer l'accès à l'API

  2. Assurez-vous que le bon projet est sélectionné, puis cliquez sur Suivant.

  3. Cliquez sur Activer.

gcloud

Exécutez la commande suivante :

gcloud services enable recommender.googleapis.com

Activer les règles bloquées ou les règles trop permissives

Firewall Insights ne génère pas de règles bloquées ou des insights sur des règles trop permissives, sauf si vous activez ces fonctionnalités sur la page "Firewall Insights".

Après avoir activé l'une de ces fonctionnalités, vous devrez peut-être attendre jusqu'à 48 heures avant de pouvoir consulter les insights générés.

Lorsque vous créez ou modifiez une règle de pare-feu, vous devrez peut-être attendre jusqu'à dix jours avant de voir des prédictions de machine learning pour des insights trop permissifs. En attendant, vous pouvez afficher les insights basés sur les données collectées à partir de la journalisation des règles de pare-feu.

Console

  1. Dans Google Cloud Console, accédez à la page Firewall Insights.

    Accéder à Firewall Insights

  2. Cliquez sur Configuration

  3. Cliquez sur Activation.

  4. Le cas échéant, déplacez le curseur sur Activé ou Désactivé pour l'une des options suivantes, ou les deux :

    • Insights sur les règles bloquées

    • Insights sur les règles trop permissives

API

Vous pouvez utiliser l'outil de recommandation d'API pour activer ou désactiver les insights sur les règles bloquées et les insights sur les règles trop permissives. Vous pouvez également utiliser l'API pour définir la période d'observation des insights sur les règles trop permissives et récupérer les détails de la configuration.

Pour activer les insights sur les règles bloquées et les insights sur les règles trop permissives, utilisez la méthode updateConfig.

Pour utiliser la méthode updateConfig, vous devez définir des valeurs pour tous ses paramètres. Lorsque vous activez ou désactivez les insights, vous devez également configurer la période d'observation pour les insights trop permissifs.

Pour effectuer ce type de mise à jour, utilisez la requête suivante.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

Remplacez les valeurs suivantes :

  • PROJECT_ID : ID de votre projet
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE : durée, en secondes, de la période d'observation pour les insights sur les règles trop permissives
  • ENABLEMENT_SHADOWED : valeur booléenne indiquant si les insights sur les règles bloquées sont activés
  • ENABLEMENT_OVERLY_PERMISSIVE : valeur booléenne indiquant si les insights sur les règles trop permissives sont activés
  • ETAG : valeur de l'eTag de la stratégie IAM. Pour récupérer la valeur eTag, utilisez la méthode getConfig, comme décrit dans la section suivante.

Exemple

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

Récupérer les détails de la configuration

Pour récupérer les détails de la configuration de Firewall Insights, utilisez la méthode getConfig, comme indiqué dans l'exemple suivant.

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

Configurer une période d'observation

Pour certains insights, vous pouvez configurer une période d'observation, c'est-à-dire l'intervalle de temps couvert par l'insight. Pour en savoir plus, consultez la section Configurer la période d'observation dans Configurer la période d'observation et le cycle d'actualisation.

Planifier un cycle d'actualisation personnalisé

Vous pouvez configurer un cycle d'actualisation afin de générer des insights sur les règles bloquées pour votre projet. Pour en savoir plus, consultez la section Planifier un cycle d'actualisation personnalisé dans Configurer la période d'observation et le cycle d'actualisation.

Étape suivante