Halaman ini menjelaskan cara mengaktifkan API dan fitur yang diperlukan untuk menggunakan Insight Firewall.
Sebelum menggunakan Analisis Firewall, pilih project, pastikan Anda memiliki peran dan izin yang diperlukan, lalu selesaikan tugas penyiapan yang diperlukan. Untuk mengetahui informasi selengkapnya tentang dua langkah pertama, lihat Peran dan izin.
Tugas penyiapan bervariasi berdasarkan metrik dan insight yang ingin Anda gunakan. Untuk mengetahui detailnya, lihat tabel berikut.
| Tugas | Semua metrik | Insight aturan yang dibayangi | Analisis aturan yang terlalu permisif | Aturan tolak dengan hit |
|---|---|---|---|---|
| Mengaktifkan Firewall Insights API | ✔ | ✔ | ✔ | ✔ |
| Mengaktifkan Firewall Rules Logging | ✔ | ✔ | ✔ | |
| Aktifkan Recommender API | ✔ | ✔ | ||
| Mengaktifkan jenis insight ini | ✔ | ✔ | ||
| Mengonfigurasi periode pengamatan | ✔ | ✔ | ||
| Menjadwalkan siklus muat ulang kustom | ✔ |
Bagian berikut menjelaskan cara mengaktifkan API dan fitur.
Aktifkan Firewall Insights API
Sebelum melakukan tugas apa pun menggunakan Analisis Firewall, Anda harus mengaktifkan Firewall Insights API.
Untuk mengaktifkan API, Anda dapat menggunakan langkah-langkah berikut atau Google Cloud Library API konsol, yang dijelaskan dalam Mengaktifkan API di dokumentasi Cloud API.
Konsol
Di konsol Google Cloud , buka halaman Firewall Insights.
Di halaman Firewall Insights API, klik Enable.
gcloud
Gunakan perintah berikut:
gcloud services enable firewallinsights.googleapis.com
Mengaktifkan Firewall Rules Logging
Jika ingin melihat salah satu hal berikut, Anda harus mengaktifkan Logging Aturan Firewall:
- Metrik tentang aturan firewall
- Insight tentang aturan yang terlalu permisif
atau aturan
deny; insight ini secara kolektif dikenal sebagai insight berbasis log
Analisis Firewall menghasilkan metrik dan insight berbasis log hanya untuk aturan yang mengaktifkan logging. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Logging Aturan Firewall.
Aktifkan Recommender API
Aktifkan Recommender API untuk melakukan hal berikut:
- Menggunakan insight aturan bayangan
- Menggunakan insight aturan yang terlalu permisif
Mengambil data apa pun dengan melakukan panggilan API atau menggunakan Google Cloud CLI
Konsol
Di konsol Google Cloud , buka halaman Enable access to API.
Pastikan project yang dipilih sudah benar, lalu klik Berikutnya.
Klik Enable.
gcloud
Gunakan perintah berikut:
gcloud services enable recommender.googleapis.com
Mengaktifkan insight aturan yang dibayangi atau aturan yang terlalu permisif
Firewall Insights tidak menghasilkan insight aturan yang tidak digunakan atau terlalu permisif kecuali Anda secara aktif mengaktifkan fitur ini di halaman Firewall Insights.
Setelah mengaktifkan salah satu fitur, Anda mungkin harus menunggu hingga 48 jam untuk melihat hasil analisis yang dihasilkan.
Saat membuat atau memperbarui aturan firewall, Anda mungkin harus menunggu hingga sepuluh hari untuk melihat prediksi machine learning untuk insight aturan yang terlalu permisif. Sementara itu, Anda dapat melihat insight berdasarkan data yang dikumpulkan dari Logging Aturan Firewall.
Konsol
Di konsol Google Cloud , buka halaman Firewall Insights.
Klik Konfigurasi.
Klik Enablement.
Sesuai kebutuhan, pindahkan penggeser ke Diaktifkan atau Dinonaktifkan untuk salah satu atau kedua opsi berikut:
Insight aturan yang dibayangi
Insight aturan yang terlalu permisif
API
Anda dapat menggunakan Recommender API untuk mengaktifkan atau menonaktifkan insight aturan yang dibayangi dan insight aturan yang terlalu permisif. Anda juga dapat menggunakan API untuk menetapkan periode observasi untuk insight aturan yang terlalu permisif dan mengambil detail konfigurasi.
Untuk mengaktifkan insight aturan bayangan dan insight aturan yang terlalu permisif, gunakan
metode updateConfig.
Untuk menggunakan metode updateConfig, Anda harus menetapkan nilai untuk semua
parameternya. Saat mengaktifkan atau menonaktifkan insight, Anda juga harus mengonfigurasi
periode pengamatan untuk insight yang terlalu permisif.
Untuk melakukan jenis pembaruan ini, gunakan permintaan berikut.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
Ganti nilai berikut:
- PROJECT_ID: ID project Anda
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: waktu, dalam detik, dari periode observasi untuk insight aturan yang terlalu permisif
- ENABLEMENT_SHADOWED: nilai boolean yang merepresentasikan apakah insight aturan yang dibayangi diaktifkan
- ENABLEMENT_OVERLY_PERMISSIVE: nilai boolean yang merepresentasikan apakah insight aturan yang terlalu permisif diaktifkan
- ETAG: nilai etag kebijakan IAM; untuk
mengambil nilai etag, gunakan metode
getConfig, seperti yang dijelaskan di bagian berikut
Contoh
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
Mengambil detail konfigurasi
Untuk mengambil detail tentang cara Analisis Firewall dikonfigurasi, gunakan
metode getConfig
seperti yang ditunjukkan dalam contoh berikut.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Mengonfigurasi periode pengamatan
Untuk beberapa insight, Anda dapat mengonfigurasi periode observasi, atau interval waktu yang dicakup oleh insight. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi periode observasi di Menyiapkan periode observasi dan siklus refresh.
Menjadwalkan siklus refresh kustom
Anda dapat menyiapkan siklus refresh untuk menghasilkan insight aturan yang dibayangi untuk project Anda. Untuk mengetahui informasi selengkapnya, lihat Menjadwalkan siklus pemuatan ulang kustom di Menyiapkan periode observasi dan siklus pemuatan ulang.