Usar a geração de registros de regras da política de firewall

A geração de registros de regras da política de firewall permite auditar, verificar e analisar os efeitos das suas regras de firewall. Por exemplo, você pode determinar se uma regra de firewall criada para negar tráfego está funcionando conforme o esperado. A geração de registros também é útil quando é preciso determinar quantas conexões são afetadas por uma determinada regra de firewall.

Saiba como ativar e desativar a geração de registros de regras de política de firewall para regras de firewall da nuvem privada virtual (VPC). Veja instruções sobre a geração de registros de regras de política de firewall em Usar políticas e regras de firewall hierárquicas.

Você também pode aprender a visualizar registros gerados. Para mais informações sobre o que é registrado, exemplos de geração de registros e formatos de registro, consulte a visão geral da geração de registros de regras da política de firewall.

Se a geração de registros for ativada em uma regra de firewall, será possível ter acesso a insights e recomendações relacionadas no Firewall Insights. Para mais informações, consulte Firewall Insights na documentação do Network Intelligence Center.

Permissões

Para modificar regras de firewall ou registros de acesso, os membros do IAM precisam de um dos papéis a seguir.

Ativar e desativar a geração de registros de regras da política de firewall

Ao criar uma regra de firewall, é possível ativar a geração de registros dela. Para mais informações, consulte Criar regras de firewall.

Para ativar ou desativar a geração de registros de regras de política de firewall para uma regra de firewall atual, siga estas instruções. Ao ativar a geração de registros, é possível controlar se os campos de metadados serão incluídos. Se omiti-los, você economiza custos de armazenamento.

Ativar a geração de registros de regras da política de firewall

gcloud compute firewall-rules update RULE_NAME \
    --enable-logging \
    --logging-metadata=LOGGING_METADATA

resource "google_compute_firewall" "rules" {
  project     = var.project_id # Replace this with your project ID in quotes
  name        = "my-firewall-rule"
  network     = "default"
  description = "Creates firewall rule targeting tagged instances"

  log_config {
    metadata = "INCLUDE_ALL_METADATA"
  }

  allow {
    protocol = "tcp"
    ports    = ["80", "8080", "1000-2000"]
  }
  target_tags = ["web"]
}

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/RULE_NAME
{
  "name": "RULE_NAME",
  "logConfig": {
    "enable": true,
    "metadata": "LOGGING_METADATA"
  }
}

Desativar a geração de registros de regras da política de firewall

gcloud compute firewall-rules update RULE_NAME \
    --no-enable-logging

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/RULE_NAME
{
  "name": "RULE_NAME",
  "logConfig": {
    "enable": false
  }
}

Ver registros

Os registros de regras de firewall são criados no projeto que hospeda a rede contendo as instâncias de VM e as regras de firewall. Com a VPC compartilhada, as instâncias de VM são criadas em projetos de serviço, mas usam uma rede VPC compartilhada localizada no projeto host. Os registros de regras de firewall são armazenados nesse projeto host.

Para ver os registros de regras de firewall, use a seção Explorador de registros do console Google Cloud .

As consultas a seguir demonstram como pesquisar eventos de firewall específicos.

Ver todos os registros de firewall

Para ver os registros de firewall, escolha a opção 1 ou 2.

Ver registros de sub-redes específicas

Para conferir os registros de firewall de sub-redes específicas, faça a opção 1 ou 2.

Ver registros de VMs específicas

Para conferir os registros de firewall de VMs específicas, faça a opção 1 ou 2.

Ver registros de conexões de um país específico

Para conferir os registros de firewall de um país específico, faça o seguinte:

1. No console do Google Cloud , acesse a página Análise de registros.

   Acessar a Análise de registros

2. Clique em Consulta.

3. Se você não vir o campo do editor de consultas no painel Consulta, clique no botão de alternância Mostrar consulta.

4. Cole o seguinte no campo do editor de consultas no painel Query. Substitua PROJECT_ID pelo ID do projeto e COUNTRY pelo código ISO 3166-1alpha-3.

   resource.type="gce_subnetwork"
   logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
   jsonPayload.remote_location.country=COUNTRY
   

Exportar registros

Para exportar os registros de regras de firewall, consulte Configurar e gerenciar coletores.

Use as consultas de exemplo para restringir os registros exportados.

Tabela de interações

• No caso de comunicação de VM para VM, os registros podem ser gerados pelas duas VMs, dependendo das regras de firewall de cada uma.
• A conexão registrada inclui pacotes fluindo nos dois sentidos caso o pacote inicial tenha obtido permissão do firewall.
• Para uma determinada VM, as conexões de entrada são correspondidas às regras de firewall configuradas nessas VMs e as conexões de saída são correspondidas à regra de firewall de saída configurada nessa VM.
• Uma conexão permitida que corresponde a uma regra de firewall com “permitir e gerar registros” é registrada apenas uma vez. A entrada de registro não é repetida a cada cinco segundos, mesmo que a conexão persista.
• Uma conexão negada que corresponde a uma regra de firewall com “negado e gerando registros” repete a entrada de registro a cada cinco segundos enquanto houver pacotes observados nessa conexão negada.
• Se você ativar a geração de registros em uma regra de firewall que corresponda a uma conexão TCP ou UDP já ativa, uma nova entrada de registro não será gerada. Uma entrada de registro só é criada se a conexão permanecer inativa por pelo menos 10 minutos e um novo pacote for enviado na mesma conexão. Para tráfego contínuo com períodos de inatividade menores que 10 minutos, apenas uma entrada de registro é gerada para a conexão.

Esta tabela mostra o comportamento de geração de registros de firewall pela perspectiva de uma única VM.

Em um cenário em que uma VM1 tem uma regra de entrada R1 que corresponde aos pacotes e uma regra de saída R2 que também corresponde aos pacotes, o comportamento de geração de registros de firewall é o seguinte:

Observe que a entrada e a saída são simétricas.

Esta é a descrição detalhada da semântica dos registros de firewall:

• Permitir + gerar registros (a geração de registros é compatível com TCP e UDP)

  • A conexão iniciada na direção à qual a regra se aplica faz com que um único registro seja criado.
  • O tráfego de resposta é permitido devido ao rastreamento de conexão. O tráfego de resposta não faz com que a geração de registros ocorra, independentemente das regras de firewall nessa direção.
  • Se a conexão expirar a partir do firewall (inativa por 10 minutos ou TCP RST recebido), outro pacote em qualquer direção poderá acionar a geração de registros.
  • A geração de registros é baseada em cinco tuplas. Os flags TCP não afetam o comportamento de geração de registros.

• Negar + gerar registros (a geração de registros é compatível com TCP e UDP)

  • Os pacotes são descartados (não é iniciada nenhuma conexão).
  • Cada pacote que corresponde a um hash de cinco tuplas único é registrado como uma tentativa de conexão com falha.
  • O mesmo hash de cinco tuplas é registrado novamente a cada cinco segundos caso continue recebendo pacotes.

A seguir

• Visão geral do Logging
• Encaminhar registros para destinos compatíveis
• Resolver problemas de registros de políticas de firewall