Firewall Insights ti aiuta a comprendere i pattern di utilizzo delle tue regole firewall. Puoi utilizzare questi approfondimenti per supportare le decisioni relative alla rimozione o alla modifica delle regole firewall per semplificare e proteggere la configurazione del firewall.
Puoi visualizzare i seguenti approfondimenti nella console Google Cloud nella pagina Approfondimenti firewall e in diverse altre posizioni della console Google Cloud :
- Regole firewall con shadowing:ti aiutano a identificare le regole firewall che si sovrappongono a quelle esistenti.
- Regole eccessivamente permissive:ti aiutano a identificare le regole
allowsenza corrispondenze, con attributi inutilizzati o con intervalli di porte o indirizzi IP eccessivamente permissivi. - Regole di negazione:forniscono dettagli sulle regole
denyche hanno avuto corrispondenze durante il periodo di osservazione configurato.
Gli insight per le regole eccessivamente permissive e le regole di negazione vengono generati in base ai dati raccolti durante il periodo di tempo in cui è abilitato il logging delle regole firewall.
Nella pagina Firewall Insights della console Google Cloud , ogni scheda che mostra gli approfondimenti include un elenco di tutte le regole del tuo progetto che soddisfano i criteri degli approfondimenti.
Se vuoi limitare i risultati a una sola rete VPC, utilizza la barra dei filtri nella parte superiore della pagina per selezionare una rete.
Per ulteriori informazioni, consulta Dove puoi visualizzare metriche e approfondimenti.
Le sezioni seguenti descrivono come visualizzare ogni approfondimento.
Ruoli e autorizzazioni richiesti
Per ottenere l'autorizzazione necessaria per visualizzare gli approfondimenti, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin) -
Visualizzatore motore per suggerimenti firewall (
roles/recommender.firewallViewer)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene l'autorizzazione
recommender.computeFirewallInsights.list
necessaria per
visualizzare gli approfondimenti.
Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.
Visualizzare le regole firewall oscurate
Per scoprire di più su questo insight, vedi Regole in ombra.
Console
Nella console Google Cloud , vai alla pagina Firewall Insights.
Nella scheda Regole oscurate, fai clic su Visualizza elenco completo. La consoleGoogle Cloud mostra la pagina Regole oscurate, che elenca tutte le reti VPC.
Per ogni rete VPC nel tuo progetto, puoi visualizzare gli approfondimenti per i criteri firewall gerarchici, i criteri firewall di rete globali e le regole firewall VPC, insieme alla priorità della regola. La colonna Insight per ogni regola fornisce un riepilogo del motivo per cui la regola è stata identificata comeregola oscuratag.
(Facoltativo) Utilizza il filtro per restringere i risultati nell'elenco in base al nome della regola, alla priorità e al nome delle norme.
Per visualizzare maggiori dettagli sulla regola oscurata e sulle regole che la mettono in ombra, fai clic sull'approfondimento.
gcloud e API
Firewall Insights utilizza i comandi di Recommender. Recommender è un servizio che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud . Google Cloud
Visualizza le regole allow senza corrispondenze
Per saperne di più su questo insight, vedi Regole di autorizzazione senza hit.
Console
Nella console Google Cloud , vai alla pagina Firewall Insights.
Nella scheda Attiva regole di autorizzazione senza corrispondenze, fai clic su Visualizza elenco completo. La console Google Cloud visualizza la pagina Regole allow senza corrispondenze. Questa pagina elenca tutte le reti VPC che avevano regole senza corrispondenze durante il periodo di osservazione.
La colonna Insight per ogni regola mostra se la regola firewall non ha avuto corrispondenze durante il periodo di osservazione. La colonna Previsione corrispondenze future mostra una previsione dell'utilizzo futuro in base alle regole firewall nella stessa organizzazione.
(Facoltativo) Utilizza il filtro per restringere i risultati nell'elenco in base al nome della regola, alla priorità e al nome delle norme.
Per qualsiasi regola nell'elenco, esegui una delle seguenti operazioni, a seconda dei casi:
- Per visualizzare la pagina Dettagli regola firewall per la regola, fai clic sul nome della regola.
- Per visualizzare la registrazione della regola, fai clic su Visualizza log di controllo.
- Per visualizzare i dettagli della previsione, fai clic sul link nella colonna Insight. Viene visualizzato il riquadro Dettagli insight. Il riquadro descrive gli attributi principali della regola. Descrive anche altre regole nel progetto che hanno attributi simili.
gcloud e API
Firewall Insights utilizza i comandi di Recommender. Recommender è un servizio che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud. Google Cloud Google Cloud
Visualizza le regole allow obsolete in base all'analisi adattiva
Puoi visualizzare le regole allow che hanno meno probabilità di essere attive in base ai pattern di utilizzo e all'analisi adattiva.
Per saperne di più su questo insight, vedi Consenti regole obsolete in base all'analisi adattiva.
Console
Nella console Google Cloud , vai alla pagina Firewall Insights.
Nella scheda denominata Consenti regole senza hit (analisi adattiva), fai clic su Visualizza elenco completo. Si apre la pagina Consenti regole senza hit (analisi adattiva). La pagina elenca tutte le reti VPC che avevano regole che probabilmente non vengono più utilizzate.
La colonna Insight per ogni regola mostra se la regola firewall non è più attiva in base all'analisi adattiva della cronologia del conteggio degli hit della regola.
(Facoltativo) Utilizza il filtro per restringere i risultati nell'elenco in base al nome della regola, alla priorità e al nome delle norme.
Per qualsiasi regola nell'elenco, esegui una delle seguenti operazioni, a seconda dei casi:
- Per visualizzare la pagina Dettagli regola firewall per la regola, fai clic sul nome della regola.
- Per visualizzare la registrazione della regola, fai clic su Visualizza log di controllo.
- Per visualizzare i dettagli della previsione, fai clic sul link nella colonna Insight.
La pagina Dettagli approfondimento descrive gli attributi principali della regola. Nella sezione Analisi adattiva, puoi vedere la data dell'ultimo hit della regola e il numero medio di hit giornalieri prima che la regola non fosse più attiva.
Per chiudere la pagina Dettagli approfondimento, fai clic su Annulla.
gcloud e API
Firewall Insights utilizza i comandi di Recommender. Recommender è un servizio che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud. Google Cloud Google Cloud
Visualizza le regole allow con attributi inutilizzati
Per saperne di più su questo insight, consulta Regole di autorizzazione con attributi inutilizzati.
Console
Nella console Google Cloud , vai alla pagina Firewall Insights.
Nella scheda Regole di autorizzazione con attributi inutilizzati, fai clic su Visualizza elenco completo. In risposta, la console Google Cloud visualizza la pagina Regole di autorizzazione con attributi inutilizzati. Questa pagina elenca tutte le reti VPC che hanno regole con attributi inutilizzati durante il periodo di osservazione.
La colonna Insight per ogni regola mostra il numero di attributi inutilizzati durante il periodo di osservazione.
(Facoltativo) Utilizza il filtro per restringere i risultati nell'elenco in base al nome della regola, alla priorità e al nome delle norme.
Per qualsiasi rete VPC nell'elenco, esegui una delle seguenti operazioni in base alle esigenze:
- Per visualizzare la pagina Dettagli regola firewall per la regola, fai clic sul nome della regola.
- Per visualizzare la registrazione della regola, fai clic su Visualizza log di controllo.
- Per visualizzare i dettagli della previsione, fai clic sul relativo link. Viene visualizzato il riquadro Dettagli insight. Il riquadro descrive gli attributi principali della regola. Descrive anche altre regole nel progetto che hanno attributi simili.
gcloud e API
Firewall Insights utilizza i comandi di Recommender. Recommender è un servizio che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud. Google Cloud Google Cloud
Visualizza le regole allow con intervalli di porte o indirizzi IP eccessivamente permissivi
Per saperne di più su questo approfondimento, consulta Regole di autorizzazione con intervalli di porte o indirizzi IP eccessivamente permissivi.
Tieni presente che il tuo progetto potrebbe avere regole firewall che consentono l'accesso da determinati blocchi di indirizzi IP per i controlli di integrità del bilanciatore del carico o per altre funzionalitàGoogle Cloud . Questi indirizzi IP potrebbero non essere raggiunti, ma non devono essere rimossi dalle regole firewall. Per ulteriori informazioni su questi intervalli, consulta la documentazione di Compute Engine.
Console
Nella console Google Cloud , vai alla pagina Firewall Insights.
Nella scheda Regole di autorizzazione con intervalli di porte o indirizzi IP eccessivamente permissivi, fai clic su Visualizza elenco completo. La console Google Cloud mostra un elenco di tutte le regole che avevano intervalli eccessivamente permissivi durante il periodo di osservazione.
Per qualsiasi regola nell'elenco, esegui una delle seguenti operazioni, a seconda dei casi:
- Per visualizzare la pagina Dettagli regola firewall di una regola, fai clic sul nome della regola.
- Per visualizzare la registrazione della regola, fai clic su Visualizza log di controllo.
- Per visualizzare suggerimenti su come restringere l'intervallo, fai clic sul link nella colonna Insight. Viene visualizzato il riquadro Dettagli insight. Il riquadro descrive gli attributi principali della regola. Suggerisce intervalli di indirizzi IP o porte definiti in modo più ristretto che potresti utilizzare.
gcloud e API
Firewall Insights utilizza i comandi di Recommender. Recommender è un servizio che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud. Google Cloud Google Cloud
Visualizza le regole deny con corrispondenze
Per saperne di più su questo insight, vedi Regole di negazione con hit.
Console
Nella console Google Cloud , vai alla pagina Firewall Insights.
Nella scheda Regole di negazione con hit, fai clic su Visualizza elenco completo. In risposta, la console Google Cloud visualizza la pagina Regole di negazione con corrispondenze. Questa pagina elenca tutte le reti VPC che hanno regole
denyche hanno avuto hit durante il periodo di osservazione.Per esaminare i pacchetti eliminati da un firewall, fai clic su Conteggio hit.
gcloud e API
Firewall Insights utilizza i comandi di Recommender. Recommender è un servizio che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud. Google Cloud Google Cloud
Visualizza gli approfondimenti nella pagina dei dettagli dell'interfaccia di rete della VM
Visualizza l'utilizzo del firewall nella pagina Dettagli interfaccia di rete di una VM.
Per ulteriori informazioni, vedi Elencare le regole firewall per un'interfaccia di rete di un'istanza VM.
Visualizza le regole con corrispondenze negli ultimi 24 mesi
Console
Nella console Google Cloud , vai alla pagina Istanze VM di Compute Engine.
Nei risultati di ricerca di un'interfaccia VM, seleziona una VM e fai clic sul menu Altre azioni.
Nel menu, seleziona Visualizza dettagli rete.
Nella pagina Dettagli firewall e route, fai clic sulla scheda Regole firewall.
Nella colonna Conteggio hit, visualizza i conteggi hit per il traffico
allowedenynegli ultimi 24 mesi per tutte le regole firewall associate a un'interfaccia di rete specifica.
gcloud e API
Firewall Insights utilizza i comandi di Recommender. Recommender è un servizio che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud. Google Cloud Google Cloud
Visualizzare gli approfondimenti nella pagina Firewall
Per ulteriori informazioni sulla pagina Firewall, consulta Elenca le regole firewall VPC per una rete VPC.
Elencare gli approfondimenti per un progetto
Console
Nella console Google Cloud , vai alla pagina Policy firewall.
Per ogni regola firewall, visualizza il nome degli approfondimenti disponibili nella colonna Approfondimenti.
Puoi fare clic sul nome di un approfondimento per visualizzarne i dettagli.
Le sezioni seguenti descrivono come visualizzare e interpretare i dettagli per ogni tipo di approfondimento.
Visualizza le regole allow senza corrispondenze negli ultimi 24 mesi
Console
Nella console Google Cloud , vai alla pagina Policy firewall.
Nella colonna Ultima corrispondenza, esamina l'ultima volta che una determinata regola firewall è stata utilizzata negli ultimi 24 mesi.
gcloud e API
Firewall Insights utilizza i comandi di Recommender. Recommender è un servizio che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud. Google Cloud Google Cloud
Visualizzare il grafico della cronologia di utilizzo di una regola
Console
Nella console Google Cloud , vai alla pagina Policy firewall.
Fai clic sul nome di una regola firewall.
Nella sezione Monitoraggio del conteggio degli hit della pagina, visualizza il grafico risultante che mostra il conteggio degli hit del firewall per un determinato periodo di tempo. Puoi selezionare un intervallo di tempo per il grafico di monitoraggio del conteggio degli hit.
gcloud e API
Firewall Insights utilizza i comandi di Recommender. Recommender è un servizio che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud. Google Cloud Google Cloud
Visualizzare le regole deny con hit per un periodo di osservazione
Console
Nella console Google Cloud , vai alla pagina Policy firewall.
Nella colonna Conteggio corrispondenze, visualizza il numero di connessioni uniche utilizzate per una determinata regola firewall negli ultimi 24 mesi (impostazione predefinita).
gcloud e API
Firewall Insights utilizza i comandi di Recommender. Recommender è un servizio che fornisce suggerimenti per l'utilizzo di prodotti e servizi Google Cloud. Google Cloud Google Cloud
Passaggi successivi
- Gestire ed esportare gli approfondimenti
- Rivedi e ottimizza le regole firewall
- Visualizzare gli approfondimenti nella dashboard dell'hub dei suggerimenti