In questa pagina viene descritto come abilitare le API e le funzionalità richieste per utilizzare Firewall Insights.
Prima di utilizzare Firewall Insights, seleziona un progetto, assicurati di disporre dei ruoli e delle autorizzazioni richiesti e completa le attività di configurazione necessarie. Per saperne di più sui primi due passaggi, consulta Ruoli e autorizzazioni.
Le attività di configurazione variano in base alle metriche e agli insight che vuoi utilizzare. Per maggiori dettagli consulta la tabella seguente.
| Attività | Tutte le metriche | Insight sulle regole oscurate | Insight sulle regole eccessivamente permissive | Regole di negazione con hit |
|---|---|---|---|---|
| Abilita Firewall Insights API | ✔ | ✔ | ✔ | ✔ |
| Abilita il logging delle regole firewall | ✔ | ✔ | ✔ | |
| Abilita l'API Recommender | ✔ | ✔ | ||
| Abilita questo tipo di insight | ✔ | ✔ | ||
| Configura un periodo di osservazione | ✔ | ✔ | ||
| Pianifica un ciclo di aggiornamento personalizzato | ✔ |
Nelle sezioni seguenti viene descritto come abilitare le API e le funzionalità.
Abilita Firewall Insights API
Prima di eseguire qualsiasi attività utilizzando Firewall Insights, devi abilitare la Firewall Insights API.
Per abilitare l'API, puoi seguire questi passaggi o utilizzare la Google Cloud libreria API della console, descritta in Abilitare le API nella documentazione delle API Cloud.
Console
Nella Google Cloud console, vai alla pagina Firewall Insights.
Nella pagina API Firewall Insights, fai clic su Abilita.
gcloud
Utilizza il seguente comando:
gcloud services enable firewallinsights.googleapis.com
Abilita il logging delle regole firewall
Se vuoi visualizzare uno dei seguenti elementi, devi abilitare il logging delle regole firewall:
- Metriche sulle regole firewall
- Insight sulle regole eccessivamente permissive o sulle regole
deny; questi insight sono noti collettivamente come insight basati sui log
Firewall Insights produce metriche e insight basati sui log solo per le regole per cui è abilitato il logging. Per saperne di più, consulta la panoramica del logging delle regole firewall.
Abilita l'API Recommender
Abilita l'API Recommender per:
- Utilizzare gli insight regola oscurata
- Utilizzare gli insight sulle regole eccessivamente permissive
Recuperare i dati effettuando chiamate API o utilizzando Google Cloud CLI
Console
Nella Google Cloud console, vai alla pagina Abilita l'accesso all'API.
Assicurati che sia selezionato il progetto corretto, quindi fai clic su Avanti.
Fai clic su Abilita.
gcloud
Utilizza il seguente comando:
gcloud services enable recommender.googleapis.com
Abilita gli insight sulle regola oscurata o eccessivamente permissive
Firewall Insights non genera insight sulle regole oscurate o eccessivamente permissive a meno che tu non abiliti attivamente queste funzionalità nella pagina Firewall Insights.
Dopo aver abilitato una delle due funzionalità, potrebbe essere necessario attendere fino a 48 ore per visualizzare gli insight generati.
Quando crei o aggiorni una regola firewall, potrebbe essere necessario attendere fino a dieci giorni per visualizzare le previsioni di machine learning per gli insight sulle regole eccessivamente permissive. Nel frattempo, puoi visualizzare gli insight basati sui dati raccolti dal logging delle regole firewall.
Console
Nella Google Cloud console, vai alla pagina Firewall Insights.
Fai clic su Configurazione.
Fai clic su Abilitazione.
Se necessario, sposta il dispositivo di scorrimento su Abilitato o Disabilitato per una o entrambe le seguenti opzioni:
Insight sulle regole oscurate
Insight sulle regole eccessivamente permissive
API
Puoi utilizzare l'API Recommender per abilitare o disabilitare gli insight regola oscurata e gli insight sulle regole eccessivamente permissive. Puoi anche utilizzare l'API per impostare il periodo di osservazione per gli insight sulle regole eccessivamente permissive e recuperare i dettagli di configurazione.
Per abilitare gli insight regola oscurata e gli insight sulle regole eccessivamente permissive, utilizza il
updateConfig metodo.
Per utilizzare il metodo updateConfig, devi impostare i valori di tutti i relativi parametri. Quando abiliti o disabiliti gli insight, devi anche configurare il periodo di osservazione per gli insight eccessivamente permissivi.
Per eseguire questo tipo di aggiornamento, utilizza la seguente richiesta.
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
Sostituisci i seguenti valori:
- PROJECT_ID: l'ID del progetto
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: il periodo di osservazione, in secondi, per gli insight sulle regole eccessivamente permissive
- ENABLEMENT_SHADOWED: un valore booleano che indica se gli insight regola oscurata sono abilitati
- ENABLEMENT_OVERLY_PERMISSIVE: un valore booleano che indica se gli insight sulle regole eccessivamente permissive sono abilitati
- ETAG: il valore etag del criterio IAM; per
recuperare il valore etag, utilizza il metodo
getConfig, come descritto nella sezione seguente
Esempio
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
Recupera i dettagli di configurazione
Per recuperare i dettagli sulla configurazione di Firewall Insights, utilizza il
getConfig metodo
come mostrato nell'esempio seguente.
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
Configura un periodo di osservazione
Per alcuni insight, puoi configurare un periodo di osservazione, ovvero l'intervallo di tempo coperto dall'insight. Per saperne di più, consulta Configurare il periodo di osservazione in Configurare il periodo di osservazione e il ciclo di aggiornamento.
Pianifica un ciclo di aggiornamento personalizzato
Puoi configurare un ciclo di aggiornamento per generare insight sulle regola oscurata per il tuo progetto. Per saperne di più, consulta Pianificare un ciclo di aggiornamento personalizzato in Configurare il periodo di osservazione e il ciclo di aggiornamento.