Panoramica del logging delle regole dei criteri firewall

Il logging delle regole dei criteri firewall consente di controllare, verificare e analizzare gli effetti delle regole dei criteri firewall. Ad esempio, puoi determinare se una policy del firewall progettata per negare il traffico funziona come previsto. Il logging delle regole dei criteri firewall è utile anche se devi determinare quante connessioni sono interessate da una determinata regola dei criteri firewall.

Abiliti il logging delle regole dei criteri del firewall singolarmente per ogni regola dei criteri del firewall di cui devi registrare le connessioni. Il logging delle regole dei criteri firewall è un'opzione per qualsiasi regola dei criteri firewall, indipendentemente dall'azione (allow o deny) o dalla direzione (ingress o egress) della regola.

Il logging delle regole dei criteri firewall registra il traffico da e verso le istanze di macchine virtuali (VM) di Compute Engine. Sono inclusi i Google Cloud prodotti basati su VM di Compute Engine, come i cluster Google Kubernetes Engine (GKE) e le istanze dell'ambiente flessibile di Google Kubernetes Engine.

Quando abiliti il logging per una regola dei criteri firewall, Google Cloud viene creata una voce denominata record di connessione ogni volta che la regola consente o nega il traffico. Puoi visualizzare questi record in Cloud Logging, ed esportare i log in qualsiasi destinazione supportata dalle funzionalità di esportazione di Cloud Logging

Ogni record di connessione contiene gli indirizzi IP di origine e di destinazione, il protocollo e le porte, la data e l'ora e un riferimento alla regola della policy del firewall applicata al traffico.

Per informazioni sulla visualizzazione dei log, consulta Gestire il logging delle regole dei criteri del firewall.

Specifiche

Il logging delle regole dei criteri del firewall presenta le seguenti specifiche:

• Deployment supportati: puoi abilitare il logging delle regole dei criteri firewall per le regole dei criteri firewall all'interno di criteri firewall gerarchici, di rete globali, di rete regionali e di sistema regionali associati a una rete VPC standard e per i criteri firewall di rete regionali associati a una rete VPC RoCE.

• Regole non supportate: il logging delle regole delle policy del firewall non è supportato per le regole nelle reti legacy, per le regole di negazione implicita in entrata e di autorizzazione implicita in uscita in una rete VPC standard o per le regole di autorizzazione implicita in entrata e in uscita di una rete VPC RoCE.

• Supporto dei protocolli: il logging delle regole dei criteri firewall registra solo le connessioni TCP e UDP. Se vuoi monitorare altri protocolli, valuta la possibilità di utilizzare l'integrazione out-of-band.

• Logging basato sulla connessione: il logging delle regole dei criteri firewall viene creato quando viene stabilita una connessione, non per ogni singolo pacchetto. Una connessione rimane attiva finché i pacchetti vengono scambiati almeno una volta ogni 10 minuti. Ogni nuovo pacchetto reimposta il timer di inattività. Di conseguenza, un flusso continuo di traffico genera una sola voce di log per l'intera durata. Se hai bisogno di una visibilità continua sui flussi attivi, di lunga durata senza periodi di inattività, utilizza i log di flusso VPC.

• Connessioni esistenti: se abiliti il logging su una regola che corrisponde a una connessione già attiva TCP o UDP, non viene generata una nuova voce di log. La policy del firewall registra la connessione solo se rimane inattiva per almeno 10 minuti e successivamente viene inviato un nuovo pacchetto.

• Comportamento di autorizzazione e negazione:

  • Autorizzazione + logging: una connessione consentita viene registrata una sola volta e la voce non viene ripetuta anche se la connessione persiste, perché le regole firewall sono stateful, il traffico di risposta è consentito automaticamente e non viene registrato.

  • Negazione + logging: ogni pacchetto eliminato corrispondente a una tupla a 5 elementi univoca viene registrato come tentativo non riuscito. La voce di log viene ripetuta ogni 5 secondi finché vengono rilevati pacchetti per la connessione negata.

• Prospettiva di generazione dei log: le voci di log vengono create solo se il logging è abilitato per una regola dei criteri firewall e se la regola si applica al traffico inviato da o verso la VM. Le voci vengono create in base ai limiti di logging delle connessioni.

• Limiti di frequenza: il numero di connessioni registrate per unità di tempo è determinato dal tipo di macchina della VM per le reti VPC standard, o dall'azione di monitoraggio o logging della regola per le reti VPC RoCE VPC. Per saperne di più, consulta Limiti di logging delle connessioni e Monitoraggio e logging

• Logica basata sulla sessione per l'ispezione avanzata: quando una policy del firewall utilizza l'azione avanzata apply_security_profile_group il comportamento di logging passa dalla logica basata sulla connessione a quella basata sulla sessione.

  Cloud NGFW genera una singola voce di log di alto livello per la sessione iniziale che corrisponde alla regola e viene intercettata correttamente per l'ispezione approfondita dei pacchetti, anche se più connessioni sottostanti appartengono alla stessa sessione. Questo log firewall di alto livello è diverso dai log dettagliati del livello 7, come i log di filtro URL o di minacce generati per ogni connessione ispezionata.

• Azioni e disposizioni univoche: i log dei criteri Cloud NGFW sono gli unici log in grado di registrare la disposizione INTERCEPTED e l'azione APPLY_SECURITY_PROFILE_GROUP. Se viene utilizzata questa azione, il sistema registra un campo aggiuntivo (apply_security_profile_fallback_action).

• Log di controllo: puoi visualizzare le modifiche alla configurazione della regola dei criteri del firewall nei log di controllo di Cloud NGFW. Per saperne di più, consulta Log di controllo di Cloud NGFW.

Limitazioni

• Quando utilizzi l'azione apply_security_profile_group con il logging abilitato, Cloud NGFW non acquisisce i log di tutte le sessioni. Questa limitazione non influisce sull'ispezione o sull'intercettazione del traffico.

• Se abiliti il logging per una policy del firewall che corrisponde a connessioni TCP o UDP esistenti, non vengono generate voci di log per queste connessioni attive. Il logging per queste connessioni inizia solo dopo che sono rimaste inattive per almeno 10 minuti.

• Quando specifichi il protocollo IP (IpPortInfo.ip_protocol), il valore non può essere impostato su ALL per le regole dei criteri del firewall.

• Le regole dei criteri firewall non supportano il logging per i campi dei metadati legacy, in particolare source_tag, target_tag, source_service_account e target_service_accounts.

Passaggi successivi

• Gestisci il logging delle regole dei criteri firewall.
• Esempi di logging delle regole dei criteri firewall.
• Panoramica di Cloud Logging.
• Risolvi i problemi relativi ai log delle regole dei criteri del firewall.