Visão geral da geração de registros de regras da política de firewall

A geração de registros de regras de política de firewall permite auditar, verificar e analisar os efeitos das suas regras de política de firewall. Por exemplo, é possível determinar se uma regra de política de firewall criada para negar tráfego está funcionando conforme o esperado. A geração de registros de regras de política de firewall também é útil quando é preciso determinar quantas conexões são afetadas por uma determinada regra de política de firewall.

Ative a geração de registros de regras de política de firewall individualmente para cada regra de política de firewall que tem as conexões que você precisa registrar. A geração de registros de regras de política de firewall é uma opção para qualquer regra de política de firewall, seja qual for a ação (allow ou deny) ou a direção (ingress ou egress) dela.

A geração de registros de regras de política de firewall documenta o tráfego de e para as instâncias de máquina virtual (VM) do Compute Engine. Isso inclui Google Cloud produtos criados em VMs do Compute Engine, como clusters do Google Kubernetes Engine (GKE) e instâncias do ambiente flexível do Google Kubernetes Engine.

Quando você ativa a geração de registros para uma regra de política de firewall, Google Cloud o Google Cloud cria uma entrada chamada registro de conexão toda vez que a regra permite ou nega tráfego. É possível ver esses registros no Cloud Logging, e exportá-los para qualquer destino compatível.

Cada registro de conexão contém os endereços IP de origem e de destino, o protocolo e as portas, a data e a hora e uma referência à regra de política de firewall aplicada ao tráfego.

Para mais informações sobre como visualizar registros, consulte Gerenciar a geração de registros de regras de política de firewall.

Especificações

A geração de registros de regras de política de firewall tem as seguintes especificações:

• Implantações compatíveis: é possível ativar a geração de registros de regras de política de firewall para regras de política de firewall em políticas de firewall hierárquicas, de rede global, de rede regional de rede e de sistema regional associadas a uma rede VPC normal e políticas de firewall de rede regional associadas a uma rede VPC RoCE.

• Regras não compatíveis: a geração de registros de regras de política de firewall não é compatível com regras em redes legadas, regras de negação de entrada implícita e permissão de saída implícita em uma rede VPC normal ou regras de permissão de entrada e saída implícitas de uma rede VPC RoCE.

• Suporte a protocolos: a geração de registros de regras de política de firewall só marca conexões TCP e UDP. Se você quiser monitorar outros protocolos, use a integração fora da banda.

• Geração de registros com base em conexão: a geração de registros de regras de política de firewall é criada quando uma conexão é estabelecida, não para cada pacote individual. Uma conexão permanece ativa enquanto os pacotes são trocados pelo menos uma vez a cada 10 minutos. Cada novo pacote redefine o timer de inatividade. Portanto, um fluxo contínuo de tráfego gera apenas uma entrada de registro para toda a duração. Se você precisar de visibilidade contínua em fluxos ativos, de longa duração sem períodos de inatividade, use os registros de fluxo da VPC.

• Conexões atuais: se você ativar a geração de registros em uma regra que corresponde a uma conexão já ativa TCP ou UDP, uma nova entrada de registro não será gerada. A regra de política de firewall registra a conexão somente se ela permanecer inativa por pelo menos 10 minutos e um novo pacote for enviado posteriormente.

• Comportamento de permissão e negação:

  • Permitir + geração de registros: uma conexão permitida é registrada apenas uma vez, e a entrada não é repetida mesmo que a conexão persista, porque as regras de firewall são com estado. O tráfego de resposta é permitido automaticamente e não é registrado.

  • Negar + geração de registros: cada pacote descartado correspondente a um hash de cinco tuplas único é registrado como uma tentativa com falha. A entrada de registro se repete a cada 5 segundos enquanto os pacotes são observados para essa conexão negada.

• Perspectiva de geração de registros: as entradas de registro só serão criadas se uma regra de política de firewall tiver a geração de registros ativada e for aplicável ao tráfego enviado de ou para a VM. As entradas são criadas sujeitas aos limites de geração de registros de conexão.

• Limites de taxa: o número de conexões registradas por unidade de tempo é determinado pelo tipo de máquina da VM para redes VPC normais ou pela ação de monitoramento ou geração de registros da regra para redes VPC RoCE. Para mais informações, consulte Limites de geração de registros de conexão e Monitoramento e geração de registros

• Lógica baseada em sessão para inspeção avançada: quando uma política de firewall usa a ação avançada apply_security_profile_group o comportamento de geração de registros muda da lógica baseada em conexão para a lógica baseada em sessão.

  O Cloud NGFW gera uma única entrada de registro de alto nível para a sessão inicial que corresponde à regra e é interceptada com sucesso para inspeção detalhada de pacotes, mesmo que várias conexões subjacentes pertençam à mesma sessão. Esse registro de firewall de alto nível é diferente dos registros detalhados da camada 7, como filtragem de URL ou registros de ameaças que são gerados para cada conexão inspecionada.

• Ações e disposições exclusivas: os registros de política do Cloud NGFW são os únicos que podem registrar a disposição INTERCEPTED e a APPLY_SECURITY_PROFILE_GROUP ação. Se essa ação for usada, o sistema registrará um campo adicional (apply_security_profile_fallback_action).

• Registros de auditoria: é possível visualizar as mudanças de configuração na regra de política de firewall nos registros de auditoria do Cloud NGFW. Para mais informações, consulte Geração de registros de auditoria do Cloud NGFW.

Limitações

• Quando você usa a ação apply_security_profile_group com a geração de registros ativada, o Cloud NGFW não captura registros de todas as sessões. Essa limitação não afeta a inspeção ou interceptação de tráfego.

• Se você ativar a geração de registros para uma regra de política de firewall que corresponde a conexões TCP ou UDP atuais, as entradas de registro não serão geradas para essas conexões ativas. A geração de registros para essas conexões começa somente depois que elas ficam inativas por pelo menos 10 minutos.

• Ao especificar o protocolo IP (IpPortInfo.ip_protocol), o valor não pode ser definido como ALL para regras de política de firewall.

• As regras de política de firewall não oferecem suporte à geração de registros para campos de metadados legados, especificamente source_tag, target_tag, source_service_account e target_service_accounts.

A seguir

• Gerenciar a geração de registros de regras de política de firewall.
• Exemplos de geração de registros de regras de política de firewall.
• Visão geral do Cloud Logging.
• Resolver problemas de registro de regras de política de firewall.