En esta página, se describe cómo habilitar las APIs y las funciones necesarias para usar Estadísticas de firewall.
Antes de usar Estadísticas de firewall, selecciona un proyecto, asegúrate de tener los roles y permisos necesarios y, luego, completa las tareas de configuración requeridas. Para obtener más información sobre los dos primeros pasos, consulta Roles y permisos.
Las tareas de configuración varían según las métricas y las estadísticas que desees usar. Para obtener más información, consulta la siguiente tabla:
| Tarea | Todas las métricas | Estadísticas de reglas bloqueadas | Estadísticas de reglas demasiado permisivas | Reglas de rechazo con hits |
|---|---|---|---|---|
| Habilita la API de Firewall Insights. | ✔ | ✔ | ✔ | ✔ |
| Habilita el registro de las reglas de firewall. | ✔ | ✔ | ✔ | |
| Habilita la API de Recommender. | ✔ | ✔ | ||
| Habilita este tipo de estadística. | ✔ | ✔ | ||
| Configura un período de observación. | ✔ | ✔ | ||
| Planifica un ciclo de actualización personalizado. | ✔ |
En las siguientes secciones, se describe cómo habilitar las APIs y las funciones.
Habilita la API de Firewall Insights
Antes de realizar cualquier tarea con Estadísticas de firewall, debes habilitar la API de Firewall Insights.
Para habilitar la API, puedes seguir estos pasos o usar la biblioteca de la API de la consola deGoogle Cloud , que se describe en Habilita las APIs en la documentación de las APIs de Cloud.
Consola
En la consola de Google Cloud , ve a la página Estadísticas de firewall.
En la página de la API de Firewall Insights, haz clic en Habilitar.
gcloud
Usa el siguiente comando:
gcloud services enable firewallinsights.googleapis.com
Habilita el registro de las reglas de firewall
Si deseas ver cualquiera de las siguientes opciones, debes habilitar el registro de las reglas de firewall:
- Métricas sobre las reglas de firewall
- Estadísticas sobre reglas demasiado permisivas o reglas
deny; estas estadísticas se conocen en conjunto como estadísticas basadas en registros
Estadísticas de firewall produce métricas y estadísticas basadas en registros solo para las reglas que tienen habilitado el registro. Para obtener más información, consulta Descripción general del registro de las reglas de firewall.
Habilita la API de Recommender
Habilita la API de Recommender para hacer lo siguiente:
- Usar estadísticas de reglas bloqueadas
- Usar estadísticas de reglas demasiado permisivas
Recuperar cualquier dato a través de llamadas a la API o de Google Cloud CLI
Consola
En la consola de Google Cloud , ve a la página Habilita el acceso a la API.
Asegúrate de que el proyecto correcto esté seleccionado y, luego, haz clic en Siguiente.
Haz clic en Habilitar.
gcloud
Usa el siguiente comando:
gcloud services enable recommender.googleapis.com
Habilita las estadísticas de reglas bloqueadas o de reglas demasiado permisivas
Estadísticas de firewall no genera reglas bloqueadas ni estadísticas de reglas demasiado permisivas, a menos que habilites de forma activa estas funciones en la página Estadísticas de firewall.
Después de habilitar cualquiera de las funciones, es posible que debas esperar hasta 48 horas para ver las estadísticas generadas.
Cuando creas o actualizas una regla de firewall, es posible que debas esperar hasta diez días para ver las predicciones del aprendizaje automático con respecto a las estadísticas de reglas demasiado permisivas. Mientras tanto, puedes ver las estadísticas basadas en los datos recopilados del registro de reglas de firewall.
Consola
En la consola de Google Cloud , ve a la página Estadísticas de firewall.
Haz clic en Configuración.
Haz clic en Habilitación.
Según corresponda, mueve el control deslizante a Habilitado o Inhabilitado de una de las siguientes opciones o ambas:
Estadísticas de reglas bloqueadas
Estadísticas de reglas demasiado permisivas
API
Puedes usar la API de Recommender para habilitar o inhabilitar las estadísticas de reglas bloqueadas o las estadísticas de reglas demasiado permisivas. También puedes usar la API para establecer el período de observación de las estadísticas de reglas demasiado permisivas y recuperar los detalles de la configuración.
Para habilitar las estadísticas de reglas bloqueadas y las estadísticas de reglas demasiado permisivas, usa el
método updateConfig.
Para usar el método updateConfig, debes establecer valores en todos sus
parámetros. Cuando habilitas o inhabilitas las estadísticas, también debes configurar el
período de observación para las estadísticas demasiado permisivas.
Para realizar este tipo de actualización, usa la siguiente solicitud.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
Reemplaza los siguientes valores:
- PROJECT_ID: Es el ID del proyecto.
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: Es el tiempo, en segundos, del período de observación de las estadísticas de reglas demasiado permisivas.
- ENABLEMENT_SHADOWED: Es un valor booleano que indica si las estadísticas de reglas bloqueadas están habilitadas.
- ENABLEMENT_OVERLY_PERMISSIVE: Es un valor booleano que indica si las estadísticas de reglas demasiado permisivas están habilitadas.
- ETAG: Es el valor de Etag de la política de IAM.
Para recuperar el valor de Etag, usa el método
getConfig, como se describe en la siguiente sección.
Ejemplo
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
Recupera detalles de configuración
Para recuperar detalles sobre cómo se configura Estadísticas de firewall, usa el
método getConfig,
como se muestra en el siguiente ejemplo.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Configura un período de observación
Para algunas estadísticas, puedes configurar un período de observación, es decir, el intervalo de tiempo que abarca la estadística. Para obtener más información, consulta Configura el período de observación en Configura el período de observación y el ciclo de actualización.
Planifica un ciclo de actualización personalizado
Puedes configurar un ciclo de actualización para generar estadísticas de reglas bloqueadas en tu proyecto. Para obtener más información, consulta Planifica un ciclo de actualización personalizado en Configura el período de observación y el ciclo de actualización.