Questa pagina descrive come attivare le API e le funzionalità necessarie per utilizzare Firewall Insights.
Prima di utilizzare Firewall Insights, seleziona un progetto, assicurati di disporre dei ruoli e delle autorizzazioni richiesti e poi completa le attività di configurazione necessarie. Per ulteriori informazioni sui primi due passaggi, consulta Ruoli e autorizzazioni.
Le attività di configurazione variano in base alle metriche e alle informazioni che vuoi utilizzare. Per maggiori dettagli consulta la tabella seguente.
| Attività | Tutte le metriche | Insight sulle regole oscurate | Insight sulle regole eccessivamente permissive | Regole di negazione con hit |
|---|---|---|---|---|
| Abilita l'API Firewall Insights | ✔ | ✔ | ✔ | ✔ |
| Attivare il logging delle regole firewall | ✔ | ✔ | ✔ | |
| Attiva l'API Recommender | ✔ | ✔ | ||
| Attivare questo tipo di approfondimenti | ✔ | ✔ | ||
| Configurare un periodo di osservazione | ✔ | ✔ | ||
| Pianificare un ciclo di aggiornamento personalizzato | ✔ |
Le sezioni seguenti descrivono come attivare le API e le funzionalità.
Abilita l'Firewall Insights API
Prima di eseguire qualsiasi attività utilizzando Firewall Insights, devi attivare l'Firewall Insights API.
Per attivare l'API, puoi utilizzare i passaggi che seguono o la libreria API della console Google Cloud, descritta in Attivare le API nella documentazione delle API Cloud.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti sul firewall.
Nella pagina Firewall Insights API, fai clic su Attiva.
gcloud
Utilizza il seguente comando:
gcloud services enable firewallinsights.googleapis.com
Attivare il logging delle regole firewall
Se vuoi visualizzare uno dei seguenti elementi, devi abilitare il logging delle regole firewall:
- Metriche sulle regole firewall
- Approfondimenti sulle regole eccessivamente permissive o sulle regole
deny; questi approfondimenti sono noti collettivamente come approfondimenti basati su log
Firewall Insights produce metriche e approfondimenti basati su log solo per le regole per le quali è attivo il logging. Per ulteriori informazioni, consulta la panoramica del logging delle regole firewall.
Abilita l'API Recommender
Abilita l'API Recommender per eseguire le seguenti operazioni:
- Utilizzare gli insight regola oscurata
- Utilizzare gli insight sulle regole eccessivamente permissive
Recupera i dati effettuando chiamate API o utilizzando Google Cloud CLI
Console
Nella console Google Cloud, vai alla pagina Abilita l'accesso all'API.
Assicurati di aver selezionato il progetto corretto e poi fai clic su Avanti.
Fai clic su Attiva.
gcloud
Utilizza il seguente comando:
gcloud services enable recommender.googleapis.com
Attivare gli insight sulle regola oscurata o eccessivamente permissive
Firewall Insights non genera insight sulle regole oscurate o eccessivamente permissive, a meno che tu non abiliti attivamente queste funzionalità nella pagina Firewall Insights.
Dopo aver attivato una delle funzionalità, potresti dover attendere fino a 48 ore per visualizzare gli approfondimenti generati.
Quando crei o aggiorni una regola firewall, potresti dover attendere fino a dieci giorni per visualizzare le previsioni del machine learning per gli approfondimenti sulle regole eccessivamente permissive. Nel frattempo, puoi visualizzare gli insight basati sui dati raccolti dal logging delle regole firewall.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti sul firewall.
Fai clic su Configurazione.
Fai clic su Abilitazione.
A seconda dei casi, sposta il cursore su Attivato o Disattivato per una o entrambe le seguenti opzioni:
Insight sulle regole oscurate
Insight sulle regole eccessivamente permissive
API
Puoi utilizzare l'API Recommender per attivare o disattivare gli insight regola oscurata e sulle regole eccessivamente permissive. Puoi anche utilizzare l'API per impostare il periodo di osservazione per gli insight sulle regole eccessivamente permissive e recuperare i dettagli di configurazione.
Per attivare gli insight regola oscurata e sulle regole eccessivamente permissive, utilizza il
metodo updateConfig.
Per utilizzare il metodo updateConfig, devi impostare i valori per tutti i suoi parametri. Quando attivi o disattivi gli insight, devi anche configurare il periodo di osservazione per gli insight eccessivamente permissivi.
Per eseguire questo tipo di aggiornamento, utilizza la seguente richiesta.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
Sostituisci i seguenti valori:
- PROJECT_ID: l'ID del progetto
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: il tempo, in secondi, del periodo di osservazione per gli insight sulle regole eccessivamente permissive
- ENABLEMENT_SHADOWED: un valore booleano che indica se gli insight regola oscurata sono abilitati
- ENABLEMENT_OVERLY_PERMISSIVE: un valore booleano che indica se gli insight sulle regole eccessivamente permissive sono abilitati
- ETAG: il valore dell'etag del criterio IAM. Per recuperare il valore dell'etag, utilizza il metodo
getConfig, come descritto nella sezione seguente
Esempio
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
Recupera i dettagli di configurazione
Per recuperare i dettagli sulla configurazione di Firewall Insights, utilizza il metodo getConfig come mostrato nell'esempio seguente.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Configurare un periodo di osservazione
Per alcuni approfondimenti, puoi configurare un periodo di osservazione o l'intervallo di tempo coperto dall'approfondimento. Per ulteriori informazioni, consulta Configurare il periodo di osservazione in Configurare il periodo di osservazione e il ciclo di aggiornamento.
Pianificare un ciclo di aggiornamento personalizzato
Puoi configurare un ciclo di aggiornamento per generare approfondimenti sulle regola oscurata per il tuo progetto. Per ulteriori informazioni, consulta Pianificare un ciclo di aggiornamento personalizzato in Configurare il periodo di osservazione e il ciclo di aggiornamento.