Panoramica del logging delle regole firewall VPC

Il logging delle regole firewall VPC consente di controllare, verificare e analizzare gli effetti delle regole firewall VPC. Ad esempio, puoi determinare se una regola firewall VPC progettata per negare il traffico funziona come previsto. Il logging delle regole firewall VPC è utile anche se devi determinare quante connessioni sono interessate da una determinata regola firewall VPC.

Abiliti il logging delle regole firewall VPC singolarmente per ogni regola firewall VPC di cui devi registrare le connessioni. Il logging delle regole firewall VPC è un'opzione per qualsiasi regola firewall VPC, indipendentemente dall'azione (allow o deny) o dalla direzione (ingress o egress) della regola.

Il logging delle regole firewall VPC registra il traffico da e verso le istanze di macchine virtuali (VM) di Compute Engine. Sono inclusi i Google Cloud prodotti basati su VM di Compute Engine, come i cluster Google Kubernetes Engine (GKE) e le istanze dell'ambiente flessibile di Google Kubernetes Engine.

Quando abiliti il logging per una regola firewall VPC, Google Cloud viene creata una voce denominata record di connessione ogni volta che la regola consente o nega il traffico. Puoi visualizzare questi record in Cloud Logging, ed esportare i log in qualsiasi destinazione supportata dalle funzionalità di esportazione di Cloud Logging

Ogni record di connessione contiene gli indirizzi IP di origine e di destinazione, il protocollo e le porte, la data e l'ora e un riferimento alla regola firewall VPC applicata al traffico.

Per informazioni sulla visualizzazione dei log, consulta Gestire il logging delle regole firewall VPC.

Specifiche

Il logging delle regole firewall VPC presenta le seguenti specifiche:

• Deployment supportati: puoi abilitare il logging delle regole firewall VPC per le regole firewall VPC all'interno di policy firewall gerarchiche, di rete globali, regionali di rete e di sistema regionali associate a una rete VPC standard e per le policy firewall di rete regionali associate a una rete VPC RoCE.

• Regole non supportate: il logging delle regole firewall VPC non è supportato per le regole in reti legacy, regole di negazione implicita in entrata e di autorizzazione implicita in uscita in una rete VPC standard o regole di autorizzazione implicita in entrata e in uscita di una rete VPC RoCE.

• Supporto dei protocolli: il logging delle regole firewall VPC registra solo le connessioni TCP e UDP. Se vuoi monitorare altri protocolli, valuta la possibilità di utilizzare l'integrazione out-of-band.

• Logging basato sulla connessione: il logging delle regole firewall VPC viene creato quando viene stabilita una connessione, non per ogni singolo pacchetto. Una connessione rimane attiva finché i pacchetti vengono scambiati almeno una volta ogni 10 minuti. Ogni nuovo pacchetto reimposta il timer di inattività. Di conseguenza, un flusso continuo di traffico genera una sola voce di log per l'intera durata. Se hai bisogno di una visibilità continua sui flussi attivi, di lunga durata senza periodi di inattività, utilizza i log di flusso VPC.

• Connessioni esistenti: se abiliti il logging su una regola che corrisponde a una connessione già attiva TCP o UDP, non viene generata una nuova voce di log. La regola firewall VPC registra la connessione solo se rimane inattiva per almeno 10 minuti e successivamente viene inviato un nuovo pacchetto.

• Comportamento di autorizzazione e negazione:

  • Autorizzazione + logging: una connessione consentita viene registrata una sola volta e la voce non viene ripetuta anche se la connessione persiste, perché le regole firewall sono stateful, il traffico di risposta è consentito automaticamente e non viene registrato.

  • Negazione + logging: ogni pacchetto eliminato corrispondente a una tupla a 5 elementi univoca viene registrato come tentativo non riuscito. La voce di log viene ripetuta ogni 5 secondi finché vengono osservati i pacchetti per la connessione negata.

• Prospettiva di generazione dei log: le voci di log vengono create solo se una regola firewall VPC ha il logging abilitato e se la regola si applica al traffico inviato da o verso la VM. Le voci vengono create in base ai limiti di logging delle connessioni.

• Limiti di frequenza: il numero di connessioni registrate per unità di tempo è determinato dal tipo di macchina della VM per le reti VPC standard, o dall'azione di monitoraggio o logging della regola per le reti VPC RoCE VPC. Per saperne di più, consulta Limiti di logging delle connessioni e Monitoraggio e logging

• Ambito legacy: il logging delle regole firewall VPC si applica solo alle regole firewall VPC legacy che operano all'interno di una rete VPC standard.

• Limiti dei protocolli: il logging delle regole firewall VPC legacy supporta l'impostazione del campo del protocollo IP su ALL.

• Audit log: puoi visualizzare le modifiche alla configurazione della regola firewall VPC negli audit log VPC. Per saperne di più, consulta Audit log VPC.

Limitazioni

Il logging delle regole firewall VPC è un formato legacy e non supporta il logging per i campi di metadati avanzati di Cloud NGFW, come i seguenti:

• source_region_code
• destination_region_code
• source_fqdn
• destination_fqdn
• source_threat_intelligence
• destination_threat_intelligence
• source_address_groups
• destination_address_groups
• source_secure_tag
• target_secure_tag

Passaggi successivi

• Gestisci il logging delle regole firewall VPC.
• Esempi di logging delle regole firewall VPC.
• Formato di logging delle regole firewall VPC.
• Panoramica di Cloud Logging.