Panoramica del logging delle regole dei criteri firewall

Il logging delle regole delle policy del firewall consente di controllare, verificare e analizzare gli effetti delle regole delle policy del firewall. Ad esempio, puoi determinare se una regola delle policy del firewall progettata per negare il traffico funziona come previsto. Il logging delle regole delle policy del firewall è utile anche se devi determinare quante connessioni sono interessate da una determinata regola delle policy del firewall.

Abiliti il logging delle regole delle policy del firewall singolarmente per ogni regola delle policy del firewall di cui devi registrare le connessioni. Il logging delle regole delle policy del firewall è un'opzione per qualsiasi regola delle policy del firewall, indipendentemente dall'azione (allow o deny) o dalla direzione (ingress o egress) della regola.

Il logging delle regole delle policy del firewall registra il traffico da e verso le istanze di macchine virtuali (VM) di Compute Engine. Sono inclusi i Google Cloud prodotti basati su VM di Compute Engine, come i cluster Google Kubernetes Engine (GKE) e le istanze dell'ambiente flessibile di Google Kubernetes Engine.

Quando abiliti il logging per una regola delle policy del firewall, Google Cloud viene creata una voce chiamata record di connessione ogni volta che la regola consente o nega il traffico. Puoi visualizzare questi record in Cloud Logging, ed esportare i log in qualsiasi destinazione supportata dalle funzionalità di esportazione di Cloud Logging

Ogni record di connessione contiene gli indirizzi IP di origine e di destinazione, il protocollo e le porte, la data e l'ora e un riferimento alla regola della policy del firewall applicata al traffico.

Il logging delle regole delle policy del firewall è disponibile sia per le regole delle policy del firewall gerarchiche sia per quelle di rete. Per informazioni sulla visualizzazione dei log, consulta Gestire il logging delle regole delle policy del firewall.

Specifiche

Il logging delle regole delle policy del firewall presenta le seguenti specifiche:

• Deployment supportati: puoi abilitare il logging delle regole delle policy firewall per le regole delle policy firewall all'interno di policy firewall gerarchiche, di rete globali, regionali di rete e di sistema regionali associate a una rete VPC standard e per le policy firewall di rete regionali associate a una rete VPC RoCE.

• Regole non supportate: il logging delle policy del firewall non è supportato per le regole in reti legacy, per le regole di negazione implicita in entrata e di autorizzazione implicita in uscita in una rete VPC standard o per le regole di autorizzazione implicita in entrata e in uscita di una rete VPC RoCE.

• Supporto dei protocolli: il logging delle regole delle policy del firewall registra solo le connessioni TCP e UDP. Se vuoi monitorare altri protocolli, valuta la possibilità di utilizzare l'integrazione out-of-band.

• Logging basato sulla connessione: il logging delle regole delle policy del firewall viene creato quando viene stabilita una connessione, non per ogni singolo pacchetto. Una connessione rimane attiva finché i pacchetti vengono scambiati almeno una volta ogni 10 minuti. Ogni nuovo pacchetto reimposta il timer di inattività. Di conseguenza, un flusso continuo di traffico genera una sola voce di log per l'intera durata. Se hai bisogno di una visibilità continua sui flussi attivi, di lunga durata senza periodi di inattività, utilizza i log di flusso VPC.

• Connessioni esistenti: se abiliti il logging su una regola che corrisponde a una connessione già attiva TCP o UDP, non viene generata una nuova voce di log. La regola della policy del firewall registra la connessione solo se rimane inattiva per almeno 10 minuti e successivamente viene inviato un nuovo pacchetto.

• Comportamento di autorizzazione e negazione:

  • Autorizzazione + logging: una connessione consentita viene registrata una sola volta e la voce non viene ripetuta anche se la connessione continua, perché le regole firewall sono stateful, il traffico di risposta è consentito automaticamente e non viene registrato.

  • Negazione + logging: ogni pacchetto eliminato corrispondente a una tupla a 5 elementi univoca viene registrato come tentativo non riuscito. La voce di log viene ripetuta ogni 5 secondi finché vengono rilevati pacchetti per la connessione negata.

• Prospettiva di generazione dei log: le voci di log vengono create solo se il logging è abilitato per una regola delle policy del firewall e se la regola si applica al traffico inviato da o verso la VM. Le voci vengono create in base ai limiti di logging delle connessioni.

• Limiti di frequenza: il numero di connessioni registrate per unità di tempo è determinato dal tipo di macchina della VM per le reti VPC standard, o dall'azione di monitoraggio o logging della regola per le reti VPC RoCE VPC. Per saperne di più, consulta Limiti di logging delle connessioni e Monitoraggio e logging

• Logica basata sulla sessione per l'ispezione avanzata: quando una policy del firewall utilizza l'azione avanzata apply_security_profile_group il comportamento di logging passa dalla logica basata sulla connessione a quella basata sulla sessione.

  Cloud NGFW genera una singola voce di log di alto livello per la sessione iniziale che corrisponde alla regola e viene intercettata correttamente per l'ispezione approfondita dei pacchetti, anche se più connessioni sottostanti appartengono alla stessa sessione. Questo log firewall di alto livello è diverso dai log dettagliati di livello 7, come i log di filtro URL o di minacce generati per ogni connessione ispezionata.

• Azioni e disposizioni univoche: i log delle policy Cloud NGFW sono gli unici log in grado di registrare la disposizione INTERCEPTED e l'azione APPLY_SECURITY_PROFILE_GROUP. Se viene utilizzata questa azione, il sistema registra un campo aggiuntivo (apply_security_profile_fallback_action).

• Log di controllo: puoi visualizzare le modifiche alla configurazione della regola delle policy del firewall in Cloud NGFW nei log di controllo. Per saperne di più, consulta Log di controllo di Cloud NGFW.

Limitazioni

• Quando utilizzi l'azione apply_security_profile_group con il logging abilitato, Cloud NGFW non acquisisce i log di tutte le sessioni. Questa limitazione non influisce sull'ispezione o sull'intercettazione del traffico.

• Se abiliti il logging per una regola della policy del firewall che corrisponde a connessioni TCP o UDP esistenti, non vengono generate voci di log per queste connessioni attive. Il logging per queste connessioni inizia solo dopo che sono rimaste inattive per almeno 10 minuti.

• Quando specifichi il protocollo IP (IpPortInfo.ip_protocol), il valore non può essere impostato su ALL per le regole delle policy del firewall.

• Le regole delle policy del firewall non supportano il logging per i campi dei metadati legacy, in particolare source_tag, target_tag, source_service_account e target_service_accounts.

Passaggi successivi

• Gestire il logging delle regole delle policy del firewall.
• Esempi di logging delle regole delle policy del firewall.
• Panoramica di Cloud Logging.
• Risolvere i problemi relativi ai log delle regole delle policy del firewall.