Ringkasan logging aturan kebijakan firewall

Logging aturan kebijakan firewall memungkinkan Anda mengaudit, memverifikasi, dan menganalisis efek aturan kebijakan firewall Anda. Misalnya, Anda dapat menentukan apakah aturan kebijakan firewall yang dirancang untuk menolak traffic berfungsi sebagaimana mestinya. Logging aturan kebijakan firewall juga berguna jika Anda perlu menentukan jumlah koneksi yang terpengaruh oleh aturan kebijakan firewall tertentu.

Anda mengaktifkan logging aturan kebijakan firewall satu per satu untuk setiap aturan kebijakan firewall yang koneksinya perlu Anda catat. Logging aturan kebijakan firewall adalah opsi untuk setiap aturan kebijakan firewall, terlepas dari tindakan (allow atau deny) atau arah (ingress atau egress) aturan tersebut.

Pencatatan aturan kebijakan firewall mencatat traffic ke dan dari instance virtual machine (VM) Compute Engine. Hal ini mencakup Google Cloud produk yang dibangun di VM Compute Engine, seperti cluster Google Kubernetes Engine (GKE) dan instance lingkungan fleksibel Google Kubernetes Engine.

Saat Anda mengaktifkan logging untuk aturan kebijakan firewall, Google Cloud akan membuat entri yang disebut catatan koneksi setiap kali aturan mengizinkan atau menolak traffic. Anda dapat melihat catatan ini di Cloud Logging, dan mengekspor log ke tujuan mana pun yang didukung oleh ekspor Cloud Logging.

Setiap kumpulan data koneksi berisi alamat IP sumber dan tujuan, protokol dan port, tanggal dan waktu, serta referensi ke aturan kebijakan firewall yang diterapkan ke traffic.

Logging aturan kebijakan firewall tersedia untuk aturan kebijakan firewall hierarkis dan jaringan. Untuk mengetahui informasi tentang cara melihat log, lihat Mengelola logging aturan kebijakan firewall.

Spesifikasi

Logging aturan kebijakan firewall memiliki spesifikasi berikut:

  • Deployment yang didukung: Anda dapat mengaktifkan logging aturan kebijakan firewall untuk aturan kebijakan firewall dalam kebijakan firewall hierarkis, jaringan global, jaringan regional, dan sistem regional yang terkait dengan jaringan VPC reguler, serta kebijakan firewall jaringan regional yang terkait dengan jaringan VPC RoCE.

  • Aturan yang tidak didukung: logging aturan kebijakan firewall tidak didukung untuk aturan di jaringan lama, Aturan tolak traffic masuk yang tersirat dan izinkan traffic keluar yang tersirat di jaringan VPC reguler, atau Aturan izinkan traffic masuk dan keluar yang tersirat di jaringan VPC RoCE.

  • Dukungan protokol: logging aturan kebijakan firewall hanya mencatat koneksi TCP dan UDP. Jika Anda ingin memantau protokol lain, pertimbangkan untuk menggunakan Integrasi di luar band.

  • Logging berbasis koneksi: logging aturan kebijakan firewall dibuat saat koneksi dibuat, bukan untuk setiap paket individual. Koneksi tetap aktif selama paket dipertukarkan setidaknya sekali setiap 10 menit. Setiap paket baru akan mereset timer idle. Oleh karena itu, aliran traffic berkelanjutan hanya menghasilkan satu entri log selama durasinya. Jika Anda memerlukan visibilitas berkelanjutan ke aliran aktif yang berumur panjang tanpa periode tidak ada aktivitas, gunakan Log Aliran VPC.

  • Koneksi yang ada: jika Anda mengaktifkan logging pada aturan yang cocok dengan koneksi TCP atau UDP yang sudah aktif, entri log baru tidak akan dibuat. Aturan kebijakan firewall mencatat koneksi hanya jika koneksi tetap tidak ada aktivitas selama setidaknya 10 menit dan paket baru dikirim setelahnya.

  • Perilaku mengizinkan dan menolak:

    • Izinkan + Logging: koneksi yang diizinkan hanya dicatat satu kali, dan entri tidak diulang meskipun koneksi berlanjut, karena aturan firewall bersifat stateful, traffic balasan diizinkan secara otomatis dan tidak dicatat.

    • Tolak + Pencatatan Aktivitas: setiap paket yang dibatalkan yang sesuai dengan 5-tuple unik dicatat sebagai upaya yang gagal. Entri log berulang setiap 5 detik selama paket diamati untuk koneksi yang ditolak tersebut.

  • Perspektif pembuatan log: entri log hanya dibuat jika aturan kebijakan firewall mengaktifkan logging dan jika aturan berlaku untuk traffic yang dikirim ke atau dari VM. Entri dibuat tunduk pada batas logging koneksi.

  • Batas kecepatan: jumlah koneksi yang dicatat per unit waktu ditentukan oleh jenis mesin VM untuk jaringan VPC reguler, atau oleh tindakan pemantauan atau pencatatan log aturan untuk jaringan VPC RoCE. Untuk mengetahui informasi selengkapnya, lihat Batas logging koneksi dan Pemantauan dan logging

  • Logika berbasis sesi untuk inspeksi lanjutan: saat kebijakan firewall menggunakan tindakan apply_security_profile_group lanjutan, perilaku logging berubah dari logika berbasis koneksi menjadi logika berbasis sesi.

    Cloud NGFW menghasilkan satu entri log tingkat tinggi untuk sesi awal yang cocok dengan aturan dan berhasil dicegat untuk inspeksi paket mendalam, meskipun beberapa koneksi yang mendasarinya termasuk dalam sesi yang sama. Log firewall tingkat tinggi ini berbeda dengan log Layer 7 yang mendetail, seperti pemfilteran URL atau log ancaman yang dibuat untuk setiap koneksi yang diperiksa.

  • Tindakan dan disposisi unik: Log kebijakan Cloud NGFW adalah satu-satunya log yang dapat mencatat disposisi INTERCEPTED dan tindakan APPLY_SECURITY_PROFILE_GROUP. Jika tindakan ini digunakan, sistem akan mencatat kolom tambahan (apply_security_profile_fallback_action).

  • Log audit: Anda dapat melihat perubahan konfigurasi pada aturan kebijakan firewall di log audit Cloud NGFW. Untuk mengetahui informasi selengkapnya, lihat Logging audit Cloud NGFW.

Batasan

  • Saat Anda menggunakan tindakan apply_security_profile_group dengan logging diaktifkan, Cloud NGFW tidak mencatat log semua sesi. Batasan ini tidak memengaruhi pemeriksaan atau penyadapan traffic.

  • Jika Anda mengaktifkan logging untuk aturan kebijakan firewall yang cocok dengan koneksi TCP atau UDP yang ada, entri log tidak akan dibuat untuk koneksi aktif tersebut. Pencatatan log untuk koneksi ini hanya dimulai setelah koneksi tersebut tidak aktif selama setidaknya 10 menit.

  • Saat menentukan protokol IP (IpPortInfo.ip_protocol), nilai tidak dapat ditetapkan ke ALL untuk aturan kebijakan firewall.

  • Aturan kebijakan firewall tidak mendukung logging untuk kolom metadata lama, khususnya source_tag, target_tag, source_service_account, dan target_service_accounts.

Langkah berikutnya