A geração de registros de regras da política de firewall permite auditar, verificar e analisar os efeitos das regras da política de firewall. Por exemplo, é possível determinar se uma regra de política de firewall criada para negar tráfego está funcionando conforme o esperado. A geração de registros de regras de política de firewall também é útil quando é preciso determinar quantas conexões são afetadas por uma determinada regra de política de firewall.
Ative a geração de registros de regras da política de firewall individualmente para cada regra que tem as conexões que você precisa registrar. A geração de registros de regras de política de firewall é uma opção
para qualquer regra de política de firewall, seja qual for a ação (allow ou deny) ou
direção (ingress ou egress) dela.
A geração de registros de regras da política de firewall documenta o tráfego de e para as instâncias de máquina virtual (VM) do Compute Engine. Isso inclui produtos Google Cloud criados em VMs do Compute Engine, como clusters do Google Kubernetes Engine (GKE) e instâncias do ambiente flexível do Google Kubernetes Engine.
Quando você ativa a geração de registros para uma regra de política de firewall,o Google Cloud cria uma entrada chamada registro de conexão toda vez que a regra permite ou nega o tráfego. É possível ver esses registros no Cloud Logging e exportá-los para qualquer destino compatível.
Cada registro de conexão contém os endereços IP de origem e de destino, o protocolo e as portas, a data e a hora e uma referência à regra da política de firewall aplicada ao tráfego.
A geração de registros de regras de política de firewall está disponível para regras de política de firewall hierárquicas e de firewall de rede. Para mais informações sobre como visualizar registros, consulte Gerenciar a geração de registros de regras da política de firewall.
Especificações
A geração de registros de regras da política de firewall tem as seguintes especificações:
Implantações compatíveis: é possível ativar o registro em registros de regras de política de firewall para regras de política de firewall em políticas hierárquicas, de rede global, de rede regional e de firewall de sistema regional associadas a uma rede VPC regular e políticas de firewall de rede regional associadas a uma rede VPC RoCE.
Regras não compatíveis: o registro em registros de regras de política de firewall não é compatível com regras em redes legadas, regras de negação de entrada implícita e permissão de saída implícita em uma rede VPC regular ou regras de permissão de entrada e saída implícitas de uma rede VPC RoCE.
Suporte a protocolos: a geração de registros de regras da política de firewall só registra conexões
TCPeUDP. Se você quiser monitorar outros protocolos, use a integração fora da banda.Geração de registros com base em conexão: a geração de registros de regras de política de firewall é criada quando uma conexão é estabelecida, não para cada pacote individual. Uma conexão permanece ativa enquanto os pacotes são trocados pelo menos uma vez a cada 10 minutos. Cada novo pacote redefine o timer de inatividade. Portanto, um fluxo contínuo de tráfego gera apenas uma entrada de registro durante toda a duração. Se você precisar de visibilidade contínua em fluxos ativos e de longa duração sem períodos ociosos, use os registros de fluxo da VPC.
Conexões atuais: se você ativar o registro em uma regra que corresponda a uma conexão
TCPouUDPjá ativa, uma nova entrada de registro não será gerada. A regra de política de firewall registra a conexão somente se ela permanecer inativa por pelo menos 10 minutos e um novo pacote for enviado posteriormente.Comportamento de permitir e negar:
Permitir + geração de registros: uma conexão permitida é registrada apenas uma vez, e a entrada não é repetida mesmo que a conexão persista, porque as regras de firewall têm estado. O tráfego de resposta é permitido automaticamente e não é registrado.
Negar + registro em log: cada pacote descartado correspondente a uma tupla de cinco elementos exclusiva é registrado como uma tentativa com falha. A entrada de registro se repete a cada cinco segundos enquanto houver pacotes observados nessa conexão negada.
Perspectiva de geração de registros: as entradas de registro só serão criadas se uma regra de política de firewall tiver a geração de registros ativada e se a regra se aplicar ao tráfego enviado para a VM ou a partir dela. As entradas são criadas de acordo com os limites de geração de registros de conexão.
Limites de taxa: o número de conexões registradas por unidade de tempo é determinado pelo tipo de máquina da VM para redes VPC regulares ou pela ação de monitoramento ou registro em log da regra para redes VPC RoCE. Para mais informações, consulte Limites de geração de registros de conexão e Monitoramento e geração de registros
Lógica baseada em sessão para inspeção avançada: quando uma política de firewall usa a ação avançada
apply_security_profile_group, o comportamento de geração de registros muda da lógica baseada em conexão para a lógica baseada em sessão.O Cloud NGFW gera uma única entrada de registro de alto nível para a sessão inicial que corresponde à regra e é interceptada com sucesso para inspeção detalhada de pacotes, mesmo que várias conexões subjacentes pertençam à mesma sessão. Esse registro de firewall de alto nível é diferente dos registros detalhados da camada 7, como filtragem de URL ou registros de ameaças gerados para cada conexão inspecionada.
Ações e disposições únicas: os registros de política do Cloud NGFW são os únicos que podem registrar a disposição
INTERCEPTEDe a açãoAPPLY_SECURITY_PROFILE_GROUP. Se essa ação for usada, o sistema vai registrar um campo adicional (apply_security_profile_fallback_action).Registros de auditoria: é possível conferir as mudanças de configuração na regra da política de firewall nos registros de auditoria do Cloud NGFW. Para mais informações, consulte Registro de auditoria do Cloud NGFW.
Limitações
Quando você usa a ação
apply_security_profile_groupcom a geração de registros ativada, o Cloud NGFW não captura registros de todas as sessões. Essa limitação não afeta a inspeção ou interceptação de tráfego.Se você ativar a geração de registros para uma regra de política de firewall que corresponda a conexões
TCPouUDPatuais, as entradas de registro não serão geradas para essas conexões ativas. O registro dessas conexões só começa depois que elas ficam inativas por pelo menos 10 minutos.Ao especificar o protocolo IP (
IpPortInfo.ip_protocol), o valor não pode ser definido comoALLpara regras de política de firewall.As regras de política de firewall não oferecem suporte ao registro em campos de metadados legados, especificamente
source_tag,target_tag,source_service_accountetarget_service_accounts.
A seguir
- Gerenciar a geração de registros de regras da política de firewall.
- Exemplos de geração de registros de regras de política de firewall.
- Visão geral do Cloud Logging.
- Resolver problemas de registros de regras da política de firewall.