Descripción general del registro de reglas de políticas de firewall

El registro de reglas de la política de firewall te permite auditar, verificar y analizar los efectos de tus reglas de la política de firewall. Por ejemplo, puedes determinar si una regla de política de firewall diseñada para denegar tráfico está funcionando según lo previsto. El registro de reglas de políticas de firewall también es útil si necesitas determinar cuántas conexiones se ven afectadas por una regla de política de firewall determinada.

Habilita el registro de las reglas de política de firewall de forma individual para las reglas cuyas conexiones debas registrar. El registro de las reglas de políticas de firewall es una opción para cualquier regla de política de firewall, independientemente de la acción (allow o deny) o la dirección (ingress o egress) de la regla.

El registro de reglas de políticas de firewall registra el tráfico desde y hacia las instancias de máquina virtual (VM) de Compute Engine. Esto incluye los Google Cloud productos compilados en VMs de Compute Engine, como los clústeres de Google Kubernetes Engine (GKE) y las instancias del entorno flexible de Google Kubernetes Engine.

Cuando habilitas el registro para una regla de política de firewall, Google Cloud crea una entrada llamada registro de conexión cada vez que la regla permite o rechaza tráfico. Puedes ver estos registros en Cloud Logging y exportarlos a cualquier destino que admita la exportación de Cloud Logging.

Cada registro de conexión contiene las direcciones IP de origen y destino, el protocolo y los puertos, la fecha y la hora, y una referencia a la regla de política de firewall que se aplicó al tráfico.

Para obtener información sobre cómo ver los registros, consulta Administra el registro de reglas de política de firewall.

Especificaciones

El registro de las reglas de la política de firewall tiene las siguientes especificaciones:

  • Implementaciones admitidas: Puedes habilitar el registro de reglas de políticas de firewall para las reglas de políticas de firewall dentro de políticas de firewall jerárquicas, de red globales, de red regionales y de sistema regionales asociadas con una red de VPC normal, y políticas de firewall de red regionales asociadas con una red de VPC de RoCE.

  • Reglas no admitidas: El registro de reglas de políticas de firewall no se admite para las reglas en redes heredadas, las reglas de denegación de entrada implícitas y de permiso de salida implícitas en una red de VPC normal, ni las reglas de permiso de entrada y salida implícitas de una red de VPC de RoCE.

  • Compatibilidad con protocolos: El registro de reglas de política de firewall solo registra conexiones TCP y UDP. Si deseas supervisar otros protocolos, considera usar la integración fuera de banda.

  • Registro basado en conexiones: Los registros de las reglas de política de firewall se crean cuando se establece una conexión, no para cada paquete individual. Una conexión permanece activa siempre que se intercambien paquetes al menos una vez cada 10 minutos. Cada paquete nuevo restablece el temporizador de inactividad. Por lo tanto, un flujo continuo de tráfico genera solo una entrada de registro durante toda su duración. Si necesitas visibilidad continua de transmisiones activas y de larga duración sin períodos de inactividad, usa los registros de flujo de VPC.

  • Conexiones existentes: Si habilitas el registro en una regla que coincide con una conexión TCP o UDP ya activa, no se generará una nueva entrada de registro. La regla de la política de firewall registra la conexión solo si permanece inactiva durante al menos 10 minutos y, luego, se envía un paquete nuevo.

  • Comportamiento de permitir y rechazar:

    • Permitir y registrar: Una conexión permitida se registra solo una vez, y la entrada no se repite, incluso si la conexión perdura, porque las reglas de firewall son con estado, el tráfico de respuesta se permite automáticamente y no se registra.

    • Deny + Logging: Cada paquete descartado que corresponde a una tupla única de 5 se registra como un intento fallido. La entrada de registro se repite cada 5 segundos mientras se observen paquetes para esa conexión denegada.

  • Perspectiva de generación de registros: Las entradas de registro solo se crean si una regla de política de firewall tiene habilitado el registro y si la regla se aplica al tráfico que se envía a la VM o desde esta. Las entradas se crean sujetas a los límites de registros de conexiones.

  • Límites de frecuencia: La cantidad de conexiones registradas por unidad de tiempo se determina según el tipo de máquina de la VM para las redes de VPC normales o según la acción de supervisión o registro de la regla para las redes de VPC de RoCE. Para obtener más información, consulta Límites de registro de conexiones y Supervisión y registro.

  • Lógica basada en sesiones para la inspección avanzada: Cuando una política de firewall usa la acción apply_security_profile_group avanzada, el comportamiento de registro cambia de una lógica basada en conexiones a una lógica basada en sesiones.

    Cloud NGFW genera una sola entrada de registro de alto nivel para la sesión inicial que coincide con la regla y se intercepta correctamente para la inspección profunda de paquetes, incluso si varias conexiones subyacentes pertenecen a la misma sesión. Este registro de firewall de alto nivel se distingue de los registros detallados de la capa 7, como los registros de filtrado de URL o de amenazas que se generan para cada conexión inspeccionada.

  • Acciones y disposiciones únicas: Los registros de políticas de Cloud NGFW son los únicos que pueden registrar la disposición INTERCEPTED y la acción APPLY_SECURITY_PROFILE_GROUP. Si se usa esta acción, el sistema registra un campo adicional (apply_security_profile_fallback_action).

  • Registros de auditoría: Puedes ver los cambios de configuración en la regla de la política de firewall en los registros de auditoría de Cloud NGFW. Para obtener más información, consulta Registros de auditoría de Cloud NGFW.

Limitaciones

  • Cuando usas la acción apply_security_profile_group con el registro habilitado, Cloud NGFW no captura los registros de todas las sesiones. Esta limitación no afecta la inspección ni la interceptación del tráfico.

  • Si habilitas el registro para una regla de política de firewall que coincide con conexiones TCP o UDP existentes, no se generarán entradas de registro para esas conexiones activas. El registro de estas conexiones comienza solo después de que hayan estado inactivas durante al menos 10 minutos.

  • Cuando se especifica el protocolo IP (IpPortInfo.ip_protocol), el valor no se puede establecer en ALL para las reglas de política de firewall.

  • Las reglas de políticas de firewall no admiten el registro de campos de metadatos heredados, específicamente source_tag, target_tag, source_service_account y target_service_accounts.

¿Qué sigue?