Meninjau dan mengoptimalkan aturan firewall

Halaman ini menjelaskan beberapa tugas umum Firewall Insights untuk meninjau dan mengoptimalkan penggunaan firewall Virtual Private Cloud (VPC) Anda. Lakukan tugas ini untuk mengoptimalkan konfigurasi aturan firewall Anda dan memperketat batas keamanan.

Misalnya, Anda adalah administrator jaringan atau engineer keamanan jaringan yang mendukung beberapa jaringan VPC Bersama besar dengan banyak project dan aplikasi. Anda ingin meninjau dan mengoptimalkan sejumlah besar aturan firewall yang terakumulasi dari waktu ke waktu untuk memastikan konsistensinya dengan status jaringan yang diharapkan. Anda dapat menggunakan tugas berikut untuk meninjau dan mengoptimalkan aturan firewall.

Peran dan izin yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk menggunakan Firewall Insights, minta administrator Anda untuk memberi Anda peran IAM berikut di project Anda:

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk menggunakan Firewall Insights. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk menggunakan Firewall Insights:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Melihat aturan yang diterapkan pada VM dalam 30 hari terakhir

Untuk meninjau aturan yang membantu Anda menghindari kesalahan konfigurasi dan aturan yang tidak perlu dibayangi, lakukan hal berikut:

Konsol

  1. Di Google Cloud konsol, buka halaman Compute Engine VM instances.

    Buka Compute Engine VM instances.

  2. Di kolom Filter , filter instance dengan memasukkan salah satu pasangan nilai kunci berikut untuk menemukan VM yang relevan.

    Network tags:TAG_NAME

    Ganti TAG_NAME dengan tag yang ditetapkan ke jaringan VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Ganti INTERNAL_IP_ADDRESS dengan alamat IP internal untuk antarmuka VM.

    External IP:EXTERNAL_IP_ADDRESS

    Ganti EXTERNAL_IP_ADDRESS dengan alamat IP eksternal untuk antarmuka VM.

  3. Di hasil penelusuran untuk antarmuka VM, pilih VM, lalu klik menu tindakan lainnya.

  4. Di menu, pilih View network details.

  5. Di halaman Network interface details, selesaikan langkah-langkah berikut:

    1. Di bagian Firewall and routes details, klik Firewalls, lalu Filter.

    2. Masukkan last hit after:YYYY-MM-DD untuk memfilter aturan firewall. Ekspresi filter ini menemukan aturan firewall dengan hit terbaru.

    3. Untuk aturan firewall, klik angka di kolom Jumlah hit untuk membuka log firewall dan meninjau detail traffic, seperti dalam contoh kueri berikut. Untuk memasukkan kueri, klik Kirim filter.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2")

    4. Tambahkan satu atau beberapa filter Cloud Logging tambahan untuk memfilter lebih lanjut detail log firewall. Misalnya, kueri contoh berikut menambahkan filter tambahan yang memfilter menurut alamat IP sumber (src_ip). Untuk memasukkan kueri, klik Kirim filter.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2") AND
jsonPayload.connection.src_ip:("10.0.1.2")

Mendeteksi peningkatan jumlah hit yang tiba-tiba untuk aturan firewall deny

Anda dapat mengonfigurasi Cloud Monitoring untuk mendeteksi perubahan jumlah hit aturan firewall VPC deny Anda. Misalnya, Anda dapat memilih untuk mendapatkan pemberitahuan saat jumlah hit aturan tertentu meningkat sebesar persentase tertentu. Menyetel pemberitahuan ini membantu Anda mendeteksi kemungkinan serangan terhadap resource Anda. Google Cloud

Untuk menyetel pemberitahuan, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman Monitoring.

    Buka Monitoring

  2. Di panel navigasi, klik Alerting lalu Create policy.

  3. Di halaman Create alerting policy, klik Add alert condition. Kondisi baru ditambahkan.

  4. Luaskan bagian Kondisi baru, lalu pilih Konfigurasi pemicu. Halaman Konfigurasi pemicu pemberitahuan akan terbuka.

  5. Konfigurasi kondisi pemberitahuan. Misalnya, gunakan nilai berikut untuk memicu pemberitahuan saat jumlah hit untuk aturan yang Anda identifikasi meningkat sebesar 10% selama enam jam:

    • Jenis kondisi: Tetapkan ke Threshold.
    • Pemicu notifikasi: Setel ke Any time series violates.
    • Posisi nilai minimum: Setel ke Above threshold.
    • Nilai minimum: Tetapkan ke 10.

  6. Di bagian Opsi lanjutan, masukkan nama untuk kondisi, lalu klik Berikutnya.

  7. Di halaman Multi-condition trigger, tentukan kondisi, lalu klik Next.

  8. Di halaman Configure notifications, pilih Notification channels, lalu Manage notification channels.

  9. Di jendela Notification channels, tambahkan saluran notifikasi baru—misalnya, alamat email, lalu klik Simpan.

  10. Dalam daftar Saluran notifikasi, pilih notifikasi yang ditambahkan, lalu klik OK.

  11. Di bagian Name the alert policy, masukkan nama dan klik Next. Kondisi pemberitahuan ditambahkan.

Menghapus aturan firewall yang di-shadow

Untuk membersihkan aturan firewall yang dibayangi oleh aturan lain, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di bagian VPC firewall rules, klik Filter lalu pilih Insight type > Shadowed rules.

  3. Untuk setiap aturan dalam hasil penelusuran, klik Nama aturan dan lihat halaman detailnya. Tinjau dan bersihkan setiap aturan sesuai kebutuhan.

Untuk mengetahui informasi selengkapnya tentang aturan yang dibayangi, lihat Contoh aturan yang dibayangi.

Menghapus aturan allow yang tidak digunakan

Untuk mengevaluasi dan menghapus aturan allow yang tidak digunakan, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di bagian Aturan firewall VPC, klik Filter, lalu pilih Jenis > Masuk > hit terakhir sebelum MM/DD/YYYY.

    Ganti MM/DD/YYYY dengan tanggal yang ingin Anda gunakan. Contoh, 08/31/2021.

  3. Untuk setiap aturan dalam hasil penelusuran, tinjau informasi di kolom Insight. Kolom ini memberikan persentase yang menunjukkan kemungkinan aturan ini akan ditemukan di masa mendatang. Jika persentasenya tinggi, sebaiknya pertahankan aturan ini. Namun, jika rendah, lanjutkan meninjau informasi yang dihasilkan oleh insight.

  4. Klik link insight untuk menampilkan panel Detail insight.

  5. Di panel Detail insight, tinjau atribut aturan ini dan atribut aturan serupa yang tercantum.

  6. Jika aturan memiliki probabilitas rendah untuk ditemukan di masa mendatang, dan jika prediksi tersebut didukung oleh pola hit aturan serupa, pertimbangkan untuk menghapus aturan tersebut. Untuk menghapus aturan, klik Nama aturan. Halaman Detail aturan firewall akan terbuka.

  7. Klik Hapus.

  8. Pada dialog konfirmasi, klik Delete.

Menghapus atribut yang tidak digunakan dari aturan allow

Untuk mengevaluasi dan menghapus atribut yang tidak digunakan, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman Analisis Firewall.

    Buka Analisis Firewall

  2. Pada kartu bernama Izinkan aturan dengan atribut yang tidak digunakan, klik Lihat daftar lengkap. Sebagai respons, Google Cloud konsol akan menampilkan halaman Izinkan aturan dengan atribut yang tidak digunakan. Halaman ini mencantumkan semua aturan yang memiliki atribut yang tidak digunakan selama periode pengamatan.

  3. Klik teks yang ditampilkan di kolom Insight. Halaman Detail Insight akan terbuka.

  4. Tinjau detail di bagian atas halaman. Ringkasan mencakup detail berikut:

    • Nama insight.
    • Jumlah atribut yang tidak digunakan yang dimiliki aturan ini.
    • Waktu saat insight terakhir diperbarui.
    • Nama aturan lain dalam project yang menggunakan atribut serupa.
    • Durasi periode observasi.

  5. Menilai apakah Anda dapat menghapus atribut:

    1. Tinjau kartu Aturan firewall dengan atribut tanpa hit. Lihat kolom berlabel Atribut tanpa hit (dengan prediksi hit di masa mendatang). Kolom ini memberikan persentase yang menjelaskan kemungkinan apakah atribut akan digunakan di masa mendatang.
    2. Tinjau kartu Aturan firewall serupa dalam project yang sama. Tinjau data yang ditampilkan tentang apakah atribut aturan ini digunakan.

  6. Jika atribut memiliki kemungkinan kecil untuk mendapatkan hit pada masa mendatang, dan jika prediksi tersebut didukung oleh pola hit aturan serupa, pertimbangkan untuk menghapus atribut dari aturan. Untuk menghapus atribut, klik nama aturan, yang muncul di bagian atas halaman Detail Insight. Halaman Detail aturan firewall akan terbuka.

  7. Klik Edit, lakukan perubahan yang diperlukan, lalu klik Simpan.

Mempersempit rentang alamat IP aturan allow

Perhatikan bahwa project Anda mungkin memiliki aturan firewall yang mengizinkan akses dari blok alamat IP tertentu untuk health check load balancer atau untuk fungsiGoogle Cloud lainnya. Alamat IP ini mungkin tidak diakses, tetapi tidak boleh dihapus dari aturan firewall Anda. Untuk mengetahui informasi selengkapnya tentang rentang ini, lihat dokumentasi Compute Engine.

Untuk mengevaluasi dan mempersempit rentang alamat IP yang terlalu permisif, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman Analisis Firewall.

    Buka Analisis Firewall

  2. Pada kartu bernama Izinkan aturan dengan alamat IP atau rentang port yang terlalu permisif, klik Lihat daftar lengkap. Sebagai respons, konsol Google Cloud menampilkan daftar semua aturan yang memiliki rentang izin yang terlalu luas selama periode pengamatan.

  3. Temukan aturan apa pun dalam daftar, lalu klik teks yang ditampilkan di kolom Insight. Halaman Detail Insight akan terbuka.

  4. Tinjau detail di bagian atas halaman. Ringkasan mencakup detail berikut:

    • Nama aturan.
    • Jumlah rentang alamat IP yang dapat dipersempit.
    • Waktu saat insight terakhir diperbarui.
    • Durasi periode observasi.

  5. Menilai apakah Anda dapat mempersempit rentang alamat IP: Tinjau kartu Aturan firewall dengan alamat IP atau rentang port yang terlalu permisif. Tinjau daftar rentang alamat IP baru yang diusulkan.

  6. Jika sesuai, pertimbangkan untuk menggunakan rekomendasi dalam insight untuk mempersempit rentang alamat IP. Klik nama aturan, yang muncul di bagian atas halaman Detail Insight. Halaman Firewall rule details akan terbuka.

  7. Klik Edit, lakukan perubahan yang diperlukan, lalu klik Simpan.

Langkah berikutnya