Nesta página, descrevemos as categorias e os estados do Firewall Insights.
Os insights analisam a configuração e o uso da regra de firewall com
o tipo de insight google.compute.firewall.Insight.
Categorias de insight
No Firewall Insights, os insights se enquadram nas duas categorias gerais descritas na tabela a seguir.
| Categoria | Descrição | Insights |
|---|---|---|
| Com base em configuração | Os insights são gerados com base nos dados sobre como você configurou as regras de firewall. | Regras sombreadas |
| Com base em registros | Os insights são gerados com base na geração de registros sobre o uso das regras de firewall e em informações sobre como você as configurou. |
Regras excessivamente permissivas
Regras |
Cada subtipo de insight tem um nível de gravidade. Por exemplo, para insights de regras
sombreadas, o nível de gravidade é medium. Para mais informações, consulte
Gravidade na
documentação do recomendador.
Estados de insight
Cada insight pode ter um dos seguintes estados, que podem ser alterados conforme descrito na tabela a seguir.
| Estado | Descrição |
|---|---|
ACTIVE |
O insight está ativo. O Google continua a atualizar o conteúdo de
insights ACTIVE com base nas informações mais recentes. |
DISMISSED |
O insight foi dispensado e não é mais exibido para os usuários nas
listas de insights ativos. É possível restaurar o estado Para mais informações, consulte Como marcar um insight como descartado. |
Regras sombreadas
As regras sombreadas compartilham atributos, como endereços IP, com outras regras com prioridade mais alta ou igual, chamadas de regras de sombreamento. O Firewall Insights analisa as regras de firewall de VPC e as políticas de firewall para detectar essas regras sombreadas.
- No caso de políticas de firewall atribuídas a uma rede VPC, é possível conferir insights sobre uma regra de política sombreada por uma regra de VPC na mesma política ou em outra.
- As políticas de firewall hierárquicas, as políticas de firewall de rede global e as regras de firewall de VPC são avaliadas com base na ordem de avaliação das políticas e regras. Por exemplo, no caso de políticas de firewall de rede global, é possível acessar insights sobre qual regra da política de firewall de rede global é sombreada por uma regra de firewall de VPC com base na ordem de avaliação das regras.
- Se você tiver regras de firewall com tags seguras em uma política de firewall de rede global, será possível conferir insights sobre essas regras que sombreiam umas às outras na mesma política. Para mais informações, consulte Tags para firewalls.
O Firewall Insights não identifica todas as regras de sombreamento possíveis. Especificamente, ele não identifica que várias tags de outras regras de firewall sombrearam as tags de uma específica.
Exemplos de regras sombreadas
Neste exemplo, algumas regras sombreadas e de sombreamento têm filtros de intervalo de IP de origem sobrepostos e outras têm prioridades de regra diferentes.
A tabela a seguir mostra as regras de firewall A a E. Para diferentes cenários de regras sombreadas,
consulte as seções que seguem a tabela.
| Política de firewall |
Tipo | Destinos | Filtros | Protocolos ou portas |
Ação | Prioridade | |
|---|---|---|---|---|---|---|---|
| Regra de firewall A | X | Entrada | Aplicar a tudo | 10.10.0.0/16 | tcp:80 | Permitir | 1000 |
| Regra de firewall B | Y | Entrada | Aplicar a tudo | 10.10.0.0/24 | tcp:80 | Permitir | 1000 |
| Regra de firewall C | - | Entrada | Web | 10.10.2.0/24 | tcp:80 tcp:443 | Permitir | 1000 |
| Regra de firewall D | - | Entrada | Web | 10.10.2.0/24 | tcp:80 | Negar | 900 |
| Regra de firewall E | - | Entrada | Web | 10.10.2.0/24 | tcp:443 | Negar | 900 |
Exemplo 1: a regra de firewall B é sombreada pela regra de firewall A
Neste exemplo, há duas regras de firewall, A e B. Essas regras são quase
idênticas, exceto pelos filtros de intervalo de endereços IP de origem. Por exemplo, o intervalo de endereços IP de A
é 10.10.0.0/16, enquanto
o de B é 10.10.0.0/24. Assim, a regra de firewall B é sombreada pela regra de firewall A.
Em geral, o insight shadowed firewall rules indica uma configuração
incorreta de firewall. Por exemplo, a configuração do filtro de endereços IP de A é ampla
ou a configuração de filtro de B é muito restritiva e desnecessária.
Exemplo 2: a regra de firewall C é sombreada pelas regras de firewall D e E
Neste exemplo, há três regras de firewall: C, D e E. A regra de firewall C
permite a entrada do tráfego da Web das portas HTTP 80 e HTTPS 443 e tem uma
prioridade 1000 (prioridade padrão). Por outro lado, as regras de firewall D e E negam
a entrada do tráfego da Web HTTP e HTTPS,
respectivamente, e têm uma prioridade 900 (alta prioridade). Assim, a regra de firewall C é sombreada pelas regras de firewall D e E combinadas.
Exemplo 3: a regra de firewall B na política de firewall Y é sombreada pela regra de firewall A na política X
Neste exemplo, há duas regras de firewall, A e B. A regra de firewall A está na política X associada a Folder1, enquanto a regra de firewall B está na política Y associada a Folder2. Folder1 e Folder2 estão no mesmo nó da organização, sendo Folder2 filha de Folder1. Essas duas regras são idênticas, exceto pelo intervalo de endereços IP de origem. Esse insight indica que a regra de firewall B na política Y é desnecessária porque já foi coberta pela regra de firewall A na política X. Assim, a regra de firewall B na política Y é sombreada pela regra de firewall A na política X.
Exemplo 4: a regra de firewall B na política de firewall de rede global Y é sombreada pela regra de firewall A
Neste exemplo, há duas regras de firewall, A e B. As regras de firewall A e B
estão em Network1, mas a regra de firewall B está na política de firewall de rede global Y.
A ordem de aplicação da política de firewall Y é AFTER_CLASSIC_FIREWALLS.
Essas duas regras são quase idênticas, exceto pelo intervalo de endereços IP de origem.
Esse insight indica que a regra B na política Y é
desnecessária, porque já está coberta pela regra A. Assim, a regra de firewall B na política Y
é sombreada pela regra de firewall A.
Negar regras com ocorrências
Esse insight fornece detalhes sobre as
regras deny que tiveram ocorrências durante o
período de observação.
Esses insights fornecem sinais de descarte de pacotes do firewall. É possível verificar se os pacotes descartados são esperados devido a proteções de segurança ou se resultam de configurações incorretas da rede.
Regras excessivamente permissivas
O Firewall Insights fornece uma análise abrangente sobre o nível de permissão das regras de firewall. Essa análise inclui os seguintes insights:
- Regras de permissão sem ocorrências
- Regras de permissão obsoletas com base na análise adaptativa
- Regras de permissão com atributos não utilizados
- Regras de permissão com intervalos de portas ou endereços IP excessivamente permissivos
Os dados fornecidos por esses insights são da Geração de Registros de Regras de Firewall. Portanto, esses dados só serão precisos se você tiver ativado a Geração de Registros de Regras de Firewall durante todo o período de observação. Caso contrário, o número de regras em cada categoria de insight poderá ser maior que o indicado.
Os insights de regras excessivamente permissivas avaliam o tráfego TCP e UDP. Outros tipos de tráfego não são analisados. Para mais detalhes, consulte a descrição de cada insight.
Cada subtipo de insight tem um nível de gravidade. Por exemplo, o nível de gravidade é high
para insights de regras excessivamente permissivas. Para mais informações, consulte
Gravidade na
documentação do recomendador.
Regras de permissão sem ocorrências
Esse insight identifica regras allow que não tiveram ocorrências durante o
período de observação.
É possível conferir as previsões de machine learning para cada regra, a fim de analisar a probabilidade de ocorrência futura de uma regra ou um atributo. Essa previsão é produzida por uma análise de machine learning que considera o padrão de tráfego histórico dessa regra e de regras semelhantes na mesma organização.
Para ajudar você a entender a previsão, esse insight identifica regras semelhantes no mesmo projeto da regra identificada pelo insight. O insight lista a contagem de ocorrências dessas regras e resume os detalhes de configuração delas. Esses detalhes incluem a prioridade e os atributos de cada regra, como endereço IP e intervalos de portas.
Allow rules with no hits avalia as regras de firewall aplicadas ao
tráfego TCP e UDP. Se uma regra de firewall permitir qualquer outro
tipo de tráfego, ela não será incluída na análise.
Regras de permissão obsoletas com base na análise adaptativa
Esse insight identifica regras allow que têm menor chance de estarem ativas com base
em padrões de uso e na análise adaptativa. O insight é produzido por uma análise de
machine learning que considera a contagem média de ocorrências nas últimas seis semanas e a
análise adaptativa de contagens de ocorrências recentes. No entanto, se a regra nunca esteve ativa desde
que o monitoramento de contagens de ocorrências começou, ela também poderá ser incluída
no insight até ficar ativa novamente.
Por exemplo, suponha que aconteceram ocorrências frequentes de uma regra de firewall durante as últimas semanas do período de observação e essas ocorrências pararam por vários dias. Nesse caso, talvez você observe o insight sobre essa regra indicando uma alteração no padrão de uso. No entanto, as regras de firewall são analisadas para identificar ocorrências infrequentes, mas ativas. Essas regras ativas não aparecem no insight.
Para cada regra, se a análise de machine learning identificá-la como inativa, será possível conferir insights com base na análise adaptativa mais rapidamente e antes do final do período de observação. Por exemplo, você pode começar a receber insights com base na análise adaptativa após a primeira semana do período de observação, mesmo que ele seja de 12 meses.
Após o final do período de observação, é possível conferir insights com base nos dados coletados pela Geração de Registros de Regras de Firewall durante todo o período de observação.
Regras de permissão com atributos não utilizados
Esse insight identifica regras allow que têm atributos como endereços IP e intervalos de portas
sem ocorrências durante o período de observação.
Para cada regra identificada, esse insight também informa a probabilidade de ocorrência no futuro. Essa previsão é baseada em previsões de machine learning que consideram os padrões históricos de tráfego dessa regra e de regras semelhantes na mesma organização.
Para ajudar você a entender a previsão, o insight resume outras regras de firewall no mesmo projeto com atributos semelhantes. Esse resumo inclui dados sobre a ocorrência dos atributos dessas regras.
Allow rules with unused attributes avalia apenas os atributos definidos
para o tráfego TCP e UDP. Se uma regra permitir outros tipos de tráfego
além de TCP e UDP, ela poderá ser incluída na análise. No entanto, os atributos relacionados
a outros tipos de tráfego não são analisados.
Por exemplo, imagine que uma regra permite o tráfego TCP e ICMP. Se o intervalo de endereços IP permitido parecer não utilizado, ele não será considerado não utilizado porque poderá ser usado para o tráfego ICMP. No entanto, se a mesma regra tiver um intervalo de portas TCP não utilizado, ela será sinalizada como excessivamente permissiva.
Regras de permissão com intervalos de portas ou endereços IP excessivamente permissivos
Esse insight identifica regras allow que podem ter
endereços IP ou intervalos de portas muito amplos.
As regras de firewall geralmente são criadas com um escopo mais amplo do que o necessário. Um escopo excessivamente amplo pode resultar em riscos de segurança.
Esse insight ajuda a reduzir o problema analisando o uso real do endereço IP e dos intervalos de portas das regras de firewall. Ele também sugere uma combinação alternativa de endereços IP e intervalos de portas para regras com intervalos muito amplos. Com esse conhecimento, é possível remover os intervalos de portas desnecessários com base em padrões de tráfego durante o período de observação.
Allow rules with overly permissive IP address or port ranges avalia apenas
os atributos definidos para o tráfego TCP e UDP. Se uma regra permitir outros tipos
de tráfego além de TCP e UDP, ela poderá ser incluída na análise.
No entanto, os atributos relacionados a outros tipos de tráfego não serão analisados.
Por exemplo, imagine que uma regra permite o tráfego TCP e ICMP. Se o intervalo de endereços IP permitido parecer usado apenas parcialmente, o insight não vai sinalizar o intervalo como excessivamente amplo porque ele poderá ser usado para o tráfego ICMP. No entanto, se a mesma regra tiver um intervalo de portas TCP usado apenas parcialmente, ela será sinalizada como excessivamente permissiva.
Tenha em mente que o projeto pode ter regras de firewall que permitem o acesso de determinados blocos de endereços IP para verificações de integridade do balanceador de carga ou para outra funcionalidade doGoogle Cloud . Esses endereços IP podem não ter ocorrências, mas não devem ser removidos das regras de firewall. Para mais informações sobre esses intervalos, consulte a documentação do Compute Engine.
Previsões de machine learning
Conforme descrito nas seções anteriores, dois insights (regras allow sem ocorrências e
regras allow com atributos não utilizados) usam
previsões de machine learning.
Para gerar previsões, o Firewall Insights treina um modelo de machine learning usando regras de firewall na mesma organização. Dessa forma, o Firewall Insights aprende padrões comuns. Por exemplo, o Firewall Insights aprende sobre combinações de atributos que podem ter ocorrências. Esses atributos podem incluir intervalos de endereços IP, intervalos de portas e protocolos de IP.
Se a regra de firewall contiver padrões comuns mostrando que ela provavelmente ocorrerá, o Firewall Insights terá mais confiança de que ela poderá acontecer no futuro. O inverso também é verdadeiro.
Para cada insight que usa previsões, o Firewall Insights mostra detalhes sobre as regras que foram consideradas semelhantes à regra identificada pelo insight. Por exemplo, no painel Detalhes do insight, é possível conferir detalhes sobre as três regras mais semelhantes à regra da previsão. Quanto maior for a sobreposição entre os atributos das duas regras, mais semelhantes elas serão consideradas.
Para regras allow sem ocorrências, considere este exemplo:
Imagine que a regra A tem os seguintes atributos:
Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80
Imagine que a regra B tem os seguintes atributos:
Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80
Essas duas regras compartilham as mesmas tags de destino, o mesmo protocolo e os mesmos atributos de porta. Elas diferem apenas nos atributos de origem. Por esse motivo, elas são consideradas semelhantes.
Para regras allow com atributos não utilizados, a
semelhança é determinada da mesma maneira. Para esse insight, o Firewall Insights considera regras semelhantes quando a configuração
delas inclui os mesmos atributos.