Firewall Insights ti aiuta a comprendere i pattern di utilizzo delle tue regole firewall. Puoi utilizzare queste informazioni per supportare le decisioni sulla rimozione o sulla modifica delle regole firewall al fine di semplificare e proteggere la configurazione del firewall.
Puoi visualizzare i seguenti approfondimenti nella pagina Approfondimenti sul firewall della console Google Cloud e in diversi altri punti della console:
- Regole firewall con shadowing:ti aiutano a identificare le regole firewall che si sovrappongono alle regole esistenti.
- Regole eccessivamente permissive: ti aiutano a identificare le regole
allowsenza corrispondenze, con attributi inutilizzati o con intervalli di porte o indirizzi IP eccessivamente permissivi. - Regole di rifiuto:forniscono dettagli sulle
denyregole che hanno avuto corrispondenze durante il periodo di osservazione configurato.
Gli insight per le regole eccessivamente permissive e per le regole di rifiuto vengono generati in base ai dati raccolti per la durata in cui è abilitato il logging delle regole firewall.
Nella pagina Firewall Insights della console Google Cloud, ogni scheda che mostra gli approfondimenti include un elenco di tutte le regole del progetto che soddisfano i criteri di approfondimento.
Se vuoi limitare i risultati a una rete VPC, utilizza la barra dei filtri nella parte superiore della pagina per selezionare una rete.
Per ulteriori informazioni, consulta Dove puoi visualizzare metriche e approfondimenti.
Le sezioni seguenti descrivono come visualizzare ogni informazione.
Ruoli e autorizzazioni richiesti
Per ottenere l'autorizzazione necessaria per visualizzare gli approfondimenti, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin) -
Visualizzatore del motore per suggerimenti firewall (
roles/recommender.firewallViewer)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene l'autorizzazione
recommender.computeFirewallInsights.list
necessaria per visualizzare gli approfondimenti.
Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.
Visualizzare le regole firewall oscurate
Per saperne di più su questo insight, consulta Regole con ombra.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti sul firewall.
Nella scheda Regole con ombreggiatura, fai clic su Visualizza elenco completo. La console Google Cloud mostra la pagina Regole con ombreggiatura, che elenca tutte le reti VPC.
Per ogni rete VPC del progetto, puoi visualizzare le informazioni relative ai criteri firewall gerarchici, ai criteri firewall di rete globale e alle regole firewall VPC, nonché la priorità della regola. La colonna Approfondimento per ogni regola fornisce un riepilogo del motivo per cui la regola è stata identificata come regola oscurata.
(Facoltativo) Utilizza i filtri per restringere i risultati nell'elenco in base al nome della regola, alla priorità e al nome del criterio.
Per visualizzare ulteriori dettagli sulla regola oscurata e sulle regole che la coprono, fai clic sull'informazione.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce consigli per l'utilizzo dei prodotti e dei servizi Google Cloud.
Visualizzare le regole allow senza corrispondenze
Per saperne di più su questo insight, consulta Regole di autorizzazione senza hit.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti sul firewall.
Nella scheda Regole di autorizzazione con attributi senza corrispondenze, fai clic su Visualizza elenco completo. La console Google Cloud mostra la pagina Regole consentite senza colpi. Questa pagina elenca tutte le reti VPC che avevano regole senza hit durante il periodo di osservazione.
La colonna Approfondimento per ogni regola indica se la regola firewall non ha avuto corrispondenze durante il periodo di osservazione. La colonna Previsione di hit futuri mostra una previsione dell'utilizzo futuro in base alle regole firewall nella stessa organizzazione.
(Facoltativo) Utilizza i filtri per restringere i risultati nell'elenco in base al nome della regola, alla priorità e al nome del criterio.
Per qualsiasi regola nell'elenco, esegui una delle seguenti operazioni, a seconda dei casi:
- Per visualizzare la pagina Dettagli regola firewall della regola, fai clic sul nome della regola.
- Per visualizzare i log per la regola, fai clic su Visualizza log di controllo.
- Per visualizzare i dettagli della previsione, fai clic sul link nella colonna Approfondimento. Viene visualizzato il riquadro Dettagli informazioni. Il riquadro descrive gli attributi principali della regola. Inoltre, descrive altre regole del progetto con attributi simili.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce consigli per l'utilizzo di prodotti e servizi Google Cloud.
Visualizza le regole allow obsolete in base all'analisi adattiva
Puoi visualizzare le regole allow meno propense ad essere attive in base ai pattern di utilizzo e all'analisi adattiva.
Per saperne di più su questo insight, consulta Consenti regole obsolete in base all'analisi adattiva.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti sul firewall.
Nella scheda Consenti regole senza hit (analisi adattiva), fai clic su Visualizza elenco completo. Viene visualizzata la pagina Regole di autorizzazione senza hit (analisi adattiva). La pagina elenca tutte le reti VPC con regole che probabilmente non vengono più utilizzate.
La colonna Approfondimento per ogni regola indica se la regola firewall non è più attiva in base all'analisi adattiva della cronologia del conteggio dei hit delle regole.
(Facoltativo) Utilizza i filtri per restringere i risultati nell'elenco in base al nome della regola, alla priorità e al nome del criterio.
Per qualsiasi regola nell'elenco, esegui una delle seguenti operazioni, a seconda dei casi:
- Per visualizzare la pagina Dettagli regola firewall della regola, fai clic sul nome della regola.
- Per visualizzare i log per la regola, fai clic su Visualizza log di controllo.
- Per visualizzare i dettagli della previsione, fai clic sul link nella colonna Approfondimento.
La pagina Dettagli informazioni descrive gli attributi principali della regola. Nella sezione Analisi adattiva, puoi vedere la data dell'ultimo hit della regola e il numero medio di hit giornalieri prima che la regola non fosse più attiva.
Per chiudere la pagina Dettagli approfondimenti, fai clic su Annulla.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce consigli per l'utilizzo di prodotti e servizi Google Cloud.
Visualizza le regole allow con attributi inutilizzati
Per saperne di più su questo insight, consulta Regole di autorizzazione con attributi inutilizzati.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti sul firewall.
Nella scheda Regole di autorizzazione con attributi inutilizzati, fai clic su Visualizza elenco completo. In risposta, la console Google Cloud mostra la pagina Regole consentite con attributi inutilizzati. Questa pagina elenca tutte le reti VPC con regole che avevano attributi non utilizzati durante il periodo di osservazione.
La colonna Approfondimento per ogni regola mostra il numero di attributi inutilizzati durante il periodo di osservazione.
(Facoltativo) Utilizza i filtri per restringere i risultati nell'elenco in base al nome della regola, alla priorità e al nome del criterio.
Per qualsiasi rete VPC nell'elenco, esegui una delle seguenti operazioni, come appropriato:
- Per visualizzare la pagina Dettagli regola firewall della regola, fai clic sul nome della regola.
- Per visualizzare i log per la regola, fai clic su Visualizza log di controllo.
- Per visualizzare i dettagli della previsione, fai clic sul link corrispondente. Viene visualizzato il riquadro Dettagli informazioni. Il riquadro descrive gli attributi principali della regola. Descrive anche altre regole nel progetto con attributi simili.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce consigli per l'utilizzo di prodotti e servizi Google Cloud.
Visualizzare le regole allow con intervalli di porte o indirizzi IP eccessivamente permissivi
Per saperne di più su questa informazione, consulta Regole di autorizzazione con intervalli di porte o indirizzi IP eccessivamente permissivi.
Tieni presente che il tuo progetto potrebbe avere regole firewall che consentono l'accesso da determinati blocchi di indirizzi IP per i controlli di integrità del bilanciatore del carico o per altre funzionalità di Google Cloud. Questi indirizzi IP potrebbero non essere raggiunti, ma non devono essere rimossi dalle regole del firewall. Per ulteriori informazioni su queste gamme, consulta la documentazione di Compute Engine.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti sul firewall.
Nella scheda Regole di autorizzazione con intervalli di porte o indirizzi IP eccessivamente permissivi, fai clic su Visualizza elenco completo. La console Google Cloud mostra un elenco di tutte le regole con intervalli eccessivamente permissivi durante il periodo di osservazione.
Per qualsiasi regola nell'elenco, esegui una delle seguenti operazioni, a seconda dei casi:
- Per visualizzare la pagina Dettagli regola firewall di qualsiasi regola, fai clic sul nome della regola.
- Per visualizzare i log per la regola, fai clic su Visualizza log di controllo.
- Per visualizzare suggerimenti su come restringere l'intervallo, fai clic sul link nella colonna Approfondimenti. Viene visualizzato il riquadro Dettagli insight. Il riquadro descrive gli attributi principali della regola. Suggerisce intervalli di indirizzi IP o porte definiti in modo più limitato che potresti utilizzare.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce consigli per l'utilizzo di prodotti e servizi Google Cloud.
Visualizzare le regole deny con corrispondenze
Per saperne di più su questo insight, consulta Regole di negazione con hit.
Console
Nella console Google Cloud, vai alla pagina Approfondimenti sul firewall.
Nella scheda Regole di negazione con hit, fai clic su Visualizza elenco completo. In risposta, la console Google Cloud mostra la pagina Regole di rifiuto con hit. Questa pagina elenca tutte le reti VPC con regole
denyche hanno registrato hit durante il periodo di osservazione.Per esaminare i pacchetti eliminati da un firewall, fai clic su Conteggio hit.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce consigli per l'utilizzo di prodotti e servizi Google Cloud.
Visualizzare gli approfondimenti nella pagina dei dettagli dell'interfaccia di rete della VM
Visualizza l'utilizzo del firewall nella pagina Dettagli interfaccia di rete per una VM.
Per ulteriori informazioni, consulta Elenca le regole del firewall per un'interfaccia di rete di un'istanza VM.
Visualizzare le regole con corrispondenze negli ultimi 24 mesi
Console
Nella console Google Cloud, vai alla pagina Istanze VM Compute Engine.
Nei risultati di ricerca per un'interfaccia VM, seleziona una VM e fai clic sul menu Altre azioni.
Nel menu, seleziona Visualizza dettagli della rete.
Nella pagina Dettagli firewall e route, fai clic sulla scheda Regole firewall.
Nella colonna Conteggio hit, visualizza i conteggi hit per il traffico
allowedenynegli ultimi 24 mesi per tutte le regole del firewall associate a un'interfaccia di rete specifica.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce consigli per l'utilizzo di prodotti e servizi Google Cloud.
Visualizzare gli approfondimenti nella pagina Firewall
Per ulteriori informazioni sulla pagina Firewall, consulta Elenco delle regole firewall VPC per una rete VPC.
Elencare gli approfondimenti per un progetto
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Per ogni regola firewall, visualizza il nome degli approfondimenti disponibili nella colonna Approfondimenti.
Puoi fare clic sul nome di un'intuizione per visualizzarne i dettagli.
Le sezioni seguenti descrivono come visualizzare e interpretare i dettagli di ogni tipo di informazione.
Visualizza le regole allow senza corrispondenze negli ultimi 24 mesi
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nella colonna Ultimo hit, controlla l'ultima volta che una determinata regola firewall è stata utilizzata negli ultimi 24 mesi.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce consigli per l'utilizzo di prodotti e servizi Google Cloud.
Visualizzare il grafico della cronologia dell'utilizzo di una regola
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Fai clic sul nome di una regola firewall.
Nella sezione Monitoraggio del conteggio hit della pagina, visualizza il grafico risultante che mostra il conteggio hit del firewall per un determinato periodo di tempo. Puoi selezionare un intervallo di tempo per il grafico di monitoraggio del conteggio dei hit.
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce consigli per l'utilizzo di prodotti e servizi Google Cloud.
Visualizzare le regole deny con corrispondenze per un periodo di osservazione
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Nella colonna Conteggio hit, visualizza il numero di connessioni univoche utilizzate per una determinata regola firewall negli ultimi 24 mesi (valore predefinito).
gcloud e API
Firewall Insights utilizza i comandi Recommender. Il motore per suggerimenti è un servizio Google Cloud che fornisce consigli per l'utilizzo di prodotti e servizi Google Cloud.
Passaggi successivi
- Gestire ed esportare gli approfondimenti
- Rivedi e ottimizza le regole del firewall
- Visualizzare gli approfondimenti nella dashboard dell'hub dei suggerimenti