הפעלת ממשקי API ותכונות

בדף הזה מוסבר איך להפעיל את ממשקי ה-API והתכונות שנדרשים לשימוש ב-Firewall Insights.

לפני שמשתמשים ב-תובנות לגבי חומת האש, צריך לבחור פרויקט, לוודא שיש לכם את התפקידים וההרשאות הנדרשים, ואז לבצע את משימות ההגדרה הנדרשות. מידע נוסף על שני השלבים הראשונים זמין במאמר תפקידים והרשאות.

משימות ההגדרה משתנות בהתאם למדדים ולתובנות שבהם רוצים להשתמש. פרטים נוספים מופיעים בטבלה הבאה.

משימה כל המדדים תובנות לגבי כללים מוכפפים תובנות לגבי כללים מתירניים מדי כללי דחייה עם התאמות
הפעלת Firewall Insights API
הפעלת ניהול כללי חומת אש
הפעלת Recommender API
הפעלת סוג התובנה הזה
הגדרת תקופת תצפית
תזמון של מחזור רענון בהתאמה אישית


בקטעים הבאים מוסבר איך להפעיל את ממשקי ה-API והתכונות.

הפעלת Firewall Insights API

לפני שמבצעים משימות באמצעות תובנות לגבי חומת האש, צריך להפעיל את Firewall Insights API.

כדי להפעיל את ה-API, אפשר לבצע את השלבים הבאים או להשתמש בGoogle Cloud API Library במסוף, כפי שמתואר במאמר הפעלת ממשקי API במסמכי התיעוד של Cloud APIs.

המסוף

  1. במסוף Google Cloud , נכנסים לדף תובנות לגבי חומת האש.

    לדף תובנות לגבי חומת האש

  2. בדף Firewall Insights API, לוחצים על Enable.

gcloud

משתמשים בפקודה הבאה:

gcloud services enable firewallinsights.googleapis.com

הפעלת ניהול כללי חומת אש

כדי לראות את אחד מהנתונים הבאים, צריך להפעיל את ניהול כללי חומת האש:

  • מדדים לגבי כללים של חומת אש
  • תובנות לגבי כללים עם הרשאות רחבות מדי או כללי deny. התובנות האלה נקראות ביחד תובנות מבוססות-יומן

התובנות לגבי חומת האש מפיקות מדדים ותובנות שמבוססות על יומנים רק לגבי כללים שהופעלה עבורם התכונה 'רישום ביומן'. מידע נוסף מופיע במאמר בנושא סקירה כללית על ניהול כללי חומת אש.

הפעלת Recommender API

מפעילים את Recommender API כדי לבצע את הפעולות הבאות:

  • שימוש בתובנות לגבי כללים מוכפפים
  • שימוש בתובנות לגבי כללים מתירניים מדי

  • אחזור נתונים באמצעות קריאות API או באמצעות Google Cloud CLI

המסוף

  1. במסוף Google Cloud , עוברים לדף Enable access to API.

    הפעלת גישה ל-API

  2. מוודאים שבחרתם בפרויקט הנכון ולוחצים על הבא.

  3. לוחצים על Enable.

gcloud

משתמשים בפקודה הבאה:

gcloud services enable recommender.googleapis.com

הפעלת תובנות לגבי כלל מוכפף או כלל מתירני מדי

התובנות לגבי חומת האש לא יוצרות תובנות לגבי כללים מוצללים או כללים מתירים מדי, אלא אם מפעילים את התכונות האלה באופן אקטיבי בדף התובנות לגבי חומת האש.

אחרי שמפעילים את אחת מהתכונות, יכול להיות שיידרשו עד 48 שעות עד שהתובנות שנוצרו יופיעו.

כשיוצרים או מעדכנים כלל חומת אש, יכול להיות שתצטרכו להמתין עד עשרה ימים כדי לראות חיזויים של למידת מכונה לגבי תובנות לגבי כללים עם הרשאות רחבות מדי. בינתיים, אפשר לעיין בתובנות שמבוססות על נתונים שנאספו מניהול כללי חומת אש.

המסוף

  1. במסוף Google Cloud , נכנסים לדף תובנות לגבי חומת האש.

    לדף תובנות לגבי חומת האש

  2. לוחצים על הגדרה.

  3. לוחצים על הפעלה.

  4. בהתאם לצורך, מזיזים את פס ההזזה למצב מופעל או מושבת עבור אחת מהאפשרויות הבאות או שתיהן:

    • תובנות לגבי כללים מוכפפים

    • תובנות לגבי כללים עם הרשאות רחבות מדי

API

אתם יכולים להשתמש ב-Recommender API כדי להפעיל או להשבית תובנות לגבי כללים מוצללים ותובנות לגבי כללים עם הרשאות רחבות מדי. אפשר גם להשתמש ב-API כדי להגדיר את תקופת התצפית לתובנות לגבי כללים מתירים מדי, ולאחזר פרטי הגדרה.

כדי להפעיל את התובנות לגבי כללים מוצללים ואת התובנות לגבי כללים מתירנים מדי, משתמשים ב-method ‏updateConfig.

כדי להשתמש בשיטה updateConfig, צריך להגדיר ערכים לכל הפרמטרים שלה. כשמפעילים או משביתים תובנות, צריך גם להגדיר את תקופת התצפית לתובנות עם הרשאות רחבות מדי.

כדי לבצע עדכון מהסוג הזה, משתמשים בבקשה הבאה.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

מחליפים את הערכים הבאים:

  • PROJECT_ID: מזהה הפרויקט
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE: משך הזמן בשניות של תקופת התצפית לגבי תובנות לגבי כללים עם הרשאות רחבות מדי
  • ENABLEMENT_SHADOWED: ערך בוליאני שמייצג את המצב של התובנות לגבי כללים מוצלים
  • ENABLEMENT_OVERLY_PERMISSIVE: ערך בוליאני שמייצג אם התובנות לגבי כללים מתירים מדי מופעלות
  • ETAG: ערך IAM policy etag. כדי לאחזר את ערך ה-etag, משתמשים בשיטת getConfig, כפי שמתואר בקטע הבא

דוגמה

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

אחזור פרטי ההגדרה

כדי לאחזר פרטים על האופן שבו מוגדר תובנות לגבי חומת האש, משתמשים בשיטה getConfig כמו בדוגמה הבאה. 

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

הגדרת תקופת תצפית

לגבי חלק מהתובנות, אפשר להגדיר תקופת תצפית, או את מרווח הזמן שהתובנה מתייחסת אליו. מידע נוסף מופיע במאמר הגדרה של תקופת התצפית ומחזור הרענון בקטע הגדרת תקופת התצפית.

תזמון של מחזור רענון בהתאמה אישית

אתם יכולים להגדיר מחזור רענון כדי ליצור תובנות לגבי כללים מוצללים בפרויקט. מידע נוסף זמין במאמר קביעת מחזור רענון מותאם אישית שבמאמר הגדרת תקופת התצפית ומחזור הרענון.

המאמרים הבאים