Revisar y optimizar las reglas de cortafuegos

En esta página se describen algunas tareas habituales de Estadísticas de cortafuegos para revisar y optimizar el uso del cortafuegos de tu nube privada virtual (VPC). Realiza estas tareas para optimizar las configuraciones de tus reglas de cortafuegos y reforzar los límites de seguridad.

Por ejemplo, eres administrador de redes o ingeniero de seguridad de redes y te encargas de varias redes de VPC compartidas grandes con muchos proyectos y aplicaciones. Quieres revisar y optimizar un gran volumen de reglas de cortafuegos acumuladas a lo largo del tiempo para asegurarte de que son coherentes con el estado esperado de tu red. Puedes usar las siguientes tareas para revisar y optimizar tus reglas de cortafuegos.

Roles y permisos necesarios

Para obtener los permisos que necesitas para usar Estadísticas de cortafuegos, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu proyecto:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para usar Firewall Insights. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para usar Firewall Insights, se necesitan los siguientes permisos:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Ver las reglas aplicadas a una máquina virtual en los últimos 30 días

Para revisar las reglas que te ayudan a evitar errores de configuración y reglas innecesarias, sigue estos pasos:

Consola

  1. En la Google Cloud consola, ve a la página Instancias de VM de Compute Engine.

    Ir a las instancias de VM de Compute Engine

  2. En el campo Filtrar filtra las instancias introduciendo uno de los siguientes pares clave-valor para encontrar las VMs pertinentes.

    Network tags:TAG_NAME

    Sustituye TAG_NAME por una etiqueta asignada a una red VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Sustituye INTERNAL_IP_ADDRESS por una dirección IP interna de una interfaz de VM.

    External IP:EXTERNAL_IP_ADDRESS

    Sustituye EXTERNAL_IP_ADDRESS por una dirección IP externa de una interfaz de VM.

  3. En los resultados de búsqueda de una interfaz de VM, selecciona una VM y haz clic en el menú más acciones.

  4. En el menú, selecciona Ver detalles de la red.

  5. En la página Detalles de la interfaz de red, sigue estos pasos:

    1. En la sección Detalles de cortafuegos y rutas, haga clic en Cortafuegos y, a continuación, en Filtrar.

    2. Introduce last hit after:YYYY-MM-DD para filtrar las reglas de cortafuegos. Esta expresión de filtro busca reglas de cortafuegos con hits recientes.

    3. En una regla de cortafuegos, haz clic en el número de la columna Recuento de aciertos para abrir el registro del cortafuegos y consultar los detalles del tráfico, como en la siguiente consulta de ejemplo. Para introducir una consulta, haz clic en Enviar filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2")

    4. Añade uno o varios filtros de Cloud Logging para filtrar aún más los detalles del registro del cortafuegos. Por ejemplo, la siguiente consulta añade un filtro adicional que filtra por dirección IP de origen (src_ip). Para introducir una consulta, haga clic en Enviar filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2") AND
jsonPayload.connection.src_ip:("10.0.1.2")

Detectar aumentos repentinos en el número de coincidencias de las reglas de cortafuegos deny

Puede configurar Cloud Monitoring para detectar cambios en el recuento de aciertos de sus reglas de cortafuegos de VPC deny. Por ejemplo, puedes elegir recibir una alerta cuando el recuento de aciertos de una regla concreta aumente en un determinado porcentaje. Configurar esta alerta te ayuda a detectar posibles ataques a tus recursos de Google Cloud.

Para definir una alerta, haz lo siguiente:

Consola

  1. En la Google Cloud consola, ve a la página Monitorización.

    Ir a Monitoring

  2. En el panel de navegación, haga clic en Alertas y, a continuación, en Crear política.

  3. En la página Crear política de alertas, haz clic en Añadir condición de alerta. Se añade una nueva condición.

  4. Despliega la sección Nueva condición y selecciona Configurar activador. Se abrirá la página Configurar activador de alerta.

  5. Configura las condiciones de la alerta. Por ejemplo, usa los siguientes valores para activar una alerta cuando el recuento de visitas de la regla que has identificado aumente un 10% durante seis horas:

    • Tipos de condición: el valor debe ser Threshold.
    • Activador de alerta: se ha configurado en Any time series violates.
    • Posición del umbral: se ha definido en Above threshold.
    • Valor del umbral: se ha definido en 10.

  6. En la sección Opciones avanzadas, introduce un nombre para la condición y haz clic en Siguiente.

  7. En la página Activador de varias condiciones, especifica la condición y haz clic en Siguiente.

  8. En la página Configurar notificaciones, selecciona Canales de notificación y, a continuación, Gestionar canales de notificación.

  9. En la ventana Canales de notificación, añade el nuevo canal de notificación (por ejemplo, una dirección de correo electrónico) y haz clic en Guardar.

  10. En la lista Canales de notificación, selecciona las notificaciones añadidas y, a continuación, haz clic en Aceptar.

  11. En la sección Dar nombre a la política de alertas, introduce el nombre y haz clic en Siguiente. Se añade la condición de alerta.

Limpiar las reglas de cortafuegos sustituidas

Para limpiar las reglas de cortafuegos que están ocultas por otras reglas, haz lo siguiente:

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En la sección Reglas de firewall de VPC, haga clic en Filtrar y, a continuación, seleccione Tipo de estadística > Reglas ocultas.

  3. En cada regla de los resultados de búsqueda, haz clic en el Nombre de la regla y consulta su página de detalles. Revisa y limpia cada regla según sea necesario.

Para obtener más información sobre las reglas ocultas, consulta los ejemplos de reglas ocultas.

Quitar una regla allow sin usar

Para evaluar y quitar una regla allow que no se use, haz lo siguiente:

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En la sección Reglas de firewall de VPC, haga clic en Filtrar y, a continuación, seleccione Tipo > Entrada > último acceso antes de MM/DD/YYYY.

    Sustituye MM/DD/YYYY por la fecha que quieras usar. Por ejemplo, 08/31/2021.

  3. En cada regla de los resultados de búsqueda, consulte la información de la columna Estadísticas. Esta columna proporciona un porcentaje que indica la probabilidad de que se aplique esta regla en el futuro. Si el porcentaje es alto, puede que te interese conservar esta regla. Sin embargo, si es bajo, sigue revisando la información generada por la estadística.

  4. Haz clic en el enlace de la estadística para mostrar el panel Detalles de la estadística.

  5. En el panel Detalles de la estadística, revise los atributos de esta regla y los de las reglas similares que se incluyan.

  6. Si la regla tiene una probabilidad baja de obtener coincidencias en el futuro y esa predicción se basa en el patrón de coincidencias de reglas similares, plantéate eliminarla. Para quitar la regla, haz clic en Nombre de la regla. Se abrirá la página Detalles de la regla de cortafuegos.

  7. Haz clic en Eliminar.

  8. En el cuadro de diálogo de confirmación, haz clic en Eliminar.

Quitar un atributo no utilizado de una regla allow

Para evaluar y quitar un atributo que no se usa, siga estos pasos:

Consola

  1. En la Google Cloud consola, ve a la página Estadísticas de cortafuegos.

    Ir a Estadísticas del cortafuegos

  2. En la tarjeta Reglas de autorización con atributos no utilizados, haga clic en Ver lista completa. En respuesta, la consola muestra la página Reglas de autorización con atributos no utilizados. Google Cloud En esta página se muestran todas las reglas que tenían atributos sin usar durante el periodo de observación.

  3. Haga clic en el texto que se muestra en la columna Información valiosa. Se abrirá la página Detalles de la estadística.

  4. Consulte los detalles en la parte superior de la página. En el resumen se incluye la siguiente información:

    • Nombre de la estadística.
    • Número de atributos no utilizados de esta regla.
    • Hora a la que se actualizó la estadística por última vez.
    • Los nombres de otras reglas del proyecto que usan atributos similares.
    • La duración del periodo de observación.

  5. Evalúa si puedes quitar el atributo:

    1. Consulte la tarjeta Regla de cortafuegos con atributos sin coincidencias. Busca el campo Atributo sin coincidencias (con predicción de coincidencias futuras). Este campo proporciona un porcentaje que describe la probabilidad de que el atributo se alcance en el futuro.
    2. Consulta la tarjeta Regla de cortafuegos similar en el mismo proyecto. Revisa los datos que se muestran sobre si se ha usado el atributo de esta regla.

  6. Si el atributo tiene una probabilidad baja de recibir una coincidencia en el futuro y esa predicción se basa en el patrón de coincidencias de reglas similares, considere la posibilidad de quitar el atributo de la regla. Para quitar el atributo, haga clic en el nombre de la regla, que aparece en la parte superior de la página Detalles de la estadística. Se abrirá la página Detalles de regla de cortafuegos.

  7. Haz clic en Editar, haz los cambios necesarios y, a continuación, haz clic en Guardar.

Acotar el intervalo de direcciones IP de una regla allow

Ten en cuenta que tu proyecto puede tener reglas de cortafuegos que permitan el acceso desde determinados bloques de direcciones IP para las comprobaciones de estado del balanceador de carga u otrasGoogle Cloud funciones. Es posible que no se acceda a estas direcciones IP, pero no se deben eliminar de las reglas de cortafuegos. Para obtener más información sobre estos intervalos, consulta la documentación de Compute Engine.

Para evaluar y restringir un intervalo de direcciones IP demasiado permisivo, siga estos pasos:

Consola

  1. En la Google Cloud consola, ve a la página Estadísticas de cortafuegos.

    Ir a Estadísticas del cortafuegos

  2. En la tarjeta Reglas de autorización con dirección IP o intervalos de puerto demasiado permisivos, haz clic en Ver lista completa. En respuesta, la consolaGoogle Cloud muestra una lista de todas las reglas que tenían intervalos demasiado permisivos durante el periodo de observación.

  3. Busque cualquier regla de la lista y haga clic en el texto que se muestra en la columna Información valiosa. Se abrirá la página Detalles de la estadística.

  4. Consulte los detalles en la parte superior de la página. En el resumen se incluye la siguiente información:

    • Nombre de la regla.
    • El número de intervalos de direcciones IP que se podrían acotar.
    • Hora a la que se actualizó la estadística por última vez.
    • La duración del periodo de observación.

  5. Evalúa si puedes acotar el intervalo de direcciones IP: consulta la tarjeta Regla de firewall con direcciones IP o intervalos de puertos demasiado permisivos. Revisa la lista propuesta de nuevos intervalos de direcciones IP.

  6. Si procede, considera la posibilidad de usar las recomendaciones de la estadística para acotar el intervalo de direcciones IP. Haga clic en el nombre de la regla, que aparece en la parte superior de la página Detalles de la estadística. Se abrirá la página Detalles de la regla de cortafuegos.

  7. Haz clic en Editar, haz los cambios necesarios y, a continuación, haz clic en Guardar.

Siguientes pasos