Rivedi e ottimizza le regole del firewall

Questa pagina descrive alcune attività comuni di Firewall Insights per esaminare e ottimizzare l'utilizzo del firewall virtual private cloud (VPC). Esegui queste attività per ottimizzare le configurazioni delle regole firewall e rafforzare i limiti di sicurezza.

Ad esempio, sei un amministratore di rete o un ingegnere della sicurezza di rete che supporta diverse reti VPC condiviso di grandi dimensioni con molti progetti e applicazioni. Vuoi esaminare e ottimizzare un grande volume di regole firewall accumulate nel tempo per assicurarti che siano coerenti con lo stato previsto della tua rete. Puoi utilizzare le seguenti attività per esaminare e ottimizzare le regole firewall.

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni necessarie per utilizzare Firewall Insights, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare Firewall Insights. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per utilizzare Firewall Insights sono necessarie le seguenti autorizzazioni:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Visualizzare le regole applicate a una VM negli ultimi 30 giorni

Per esaminare le regole che ti aiutano a evitare configurazioni errate e regole ombreggiate non necessarie:

Console

  1. Nella Google Cloud console, vai alla pagina Istanze VM di Compute Engine.

    Vai a Istanze VM di Compute Engine

  2. Nel campo Filtra, filtra le istanze inserendo una delle seguenti coppie chiave-valore per trovare le VM pertinenti.

    Network tags:TAG_NAME

    Sostituisci TAG_NAME con un tag assegnato a una rete VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Sostituisci INTERNAL_IP_ADDRESS con un indirizzo IP interno per un'interfaccia VM.

    External IP:EXTERNAL_IP_ADDRESS

    Sostituisci EXTERNAL_IP_ADDRESS con un indirizzo IP esterno per un'interfaccia VM.

  3. Nei risultati di ricerca per un'interfaccia VM, seleziona una VM e fai clic sul Altre azioni menu.

  4. Nel menu, seleziona Visualizza dettagli di rete.

  5. Nella pagina Dettagli interfaccia di rete, completa i seguenti passaggi:

    1. Nella sezione Dettagli firewall e route, fai clic su Firewall e poi su Filtra.

    2. Inserisci last hit after:YYYY-MM-DD per filtrare le regole firewall. Questa espressione di filtro trova le regole firewall con hit recenti.

    3. Per una regola firewall, fai clic sul numero nella colonna Conteggio hit per aprire il log del firewall ed esaminare i dettagli del traffico, come nella seguente query di esempio. Per inserire una query, fai clic su Invia filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2")

    4. Aggiungi uno o più filtri di Cloud Logging aggiuntivi per filtrare ulteriormente i dettagli del log del firewall. Ad esempio, la seguente query di esempio aggiunge un filtro aggiuntivo che filtra in base all'indirizzo IP di origine (src_ip). Per inserire una query, fai clic su Invia filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2") AND
jsonPayload.connection.src_ip:("10.0.1.2")

Rilevare aumenti improvvisi del conteggio hit per le regole firewall deny

Puoi configurare Cloud Monitoring per rilevare le modifiche nel conteggio hit delle regole firewall deny del VPC. Ad esempio, puoi scegliere di ricevere un avviso quando il conteggio hit di una determinata regola aumenta di una certa percentuale. L'impostazione di questo avviso ti aiuta a rilevare possibili attacchi alle tue Google Cloud risorse.

Per impostare un avviso:

Console

  1. Nella Google Cloud console, vai alla pagina Monitoring.

    Vai a Monitoring

  2. Nel riquadro di navigazione, fai clic su Avvisi e poi su Crea policy.

  3. Nella pagina **Crea policy di avviso**, fai clic su **Aggiungi condizione di avviso**. Viene aggiunta una nuova condizione.

  4. Espandi la sezione Nuova condizione e seleziona Configura trigger. Viene visualizzata la pagina Configura trigger di avviso.

  5. Configura le condizioni di avviso. Ad esempio, utilizza i seguenti valori per attivare un avviso quando il conteggio hit della regola che hai identificato aumenta del 10% per sei ore:

    • Tipi di condizioni: imposta su Threshold.
    • Trigger di avviso: imposta su Any time series violates.
    • Posizione soglia: imposta su Above threshold.
    • Valore soglia: imposta su 10.

  6. Nella sezione Opzioni avanzate, inserisci un nome per la condizione e fai clic su Avanti.

  7. Nella pagina Trigger per più condizioni, specifica la condizione e fai clic su Avanti.

  8. Nella pagina Configura le notifiche, seleziona Canali di notifica e poi Gestisci canali di notifica.

  9. Nella finestra Canali di notifica, aggiungi il nuovo canale di notifica, ad esempio un indirizzo email, e fai clic su Salva.

  10. Nell'elenco Canali di notifica, seleziona le notifiche aggiunte e fai clic su Ok.

  11. Nella sezione Assegna un nome alla policy di avviso, inserisci il nome e fai clic su Avanti. Viene aggiunta la condizione di avviso.

Eseguire la pulizia delle regole firewall ombreggiate

Per eseguire la pulizia delle regole firewall ombreggiate da altre regole:

Console

  1. Nella console Google Cloud , vai alla pagina Policy del firewall.

    Vai a Criteri firewall

  2. Nella sezione Regole firewall VPC, fai clic su Filtra e poi seleziona Tipo di insight > Regole ombreggiate.

  3. Per ogni regola nei risultati di ricerca, fai clic sul Nome della regola e visualizza la pagina dei dettagli. Esamina e libera spazio per ogni regola in base alle esigenze.

Per saperne di più sulle regole ombreggiate, consulta Esempi di regole ombreggiate.

Rimuovere una regola allow inutilizzata

Per valutare e rimuovere una regola allow inutilizzata:

Console

  1. Nella console Google Cloud , vai alla pagina Policy del firewall.

    Vai a Criteri firewall

  2. Nella sezione Regole firewall VPC, fai clic Filtra e poi seleziona Tipo > Traffico in entrata > ultimo hit prima di MM/DD/YYYY.

    Sostituisci MM/DD/YYYY con la data che vuoi utilizzare. Ad esempio, 08/31/2021.

  3. Per ogni regola nei risultati di ricerca, esamina le informazioni nella colonna Insight. Questa colonna fornisce una percentuale che indica la probabilità che questa regola venga colpita in futuro. Se la percentuale è elevata, potresti voler conservare questa regola. Tuttavia, se è bassa, continua a esaminare le informazioni generate dall'insight.

  4. Fai clic sul link dell'insight per visualizzare il riquadro Dettagli insight.

  5. Nel riquadro Dettagli insight, esamina gli attributi di questa regola e gli attributi di eventuali regole simili elencate.

  6. Se la probabilità che la regola venga colpita in futuro è bassa e se questa previsione è supportata dal pattern di hit di regole simili, valuta la possibilità di rimuovere la regola. Per rimuovere la regola, fai clic su Nome regola. Viene visualizzata la pagina Dettagli regola firewall.

  7. Fai clic su Elimina.

  8. Nella finestra di dialogo di conferma, fai clic su Elimina.

Rimuovere un attributo inutilizzato da una regola allow

Per valutare e rimuovere un attributo inutilizzato:

Console

  1. Nella Google Cloud console, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Nella scheda Regole di autorizzazione con attributi inutilizzati, fai clic Visualizza elenco completo. In risposta, la Google Cloud console visualizza la pagina Regole di autorizzazione con attributi inutilizzati. Questa pagina elenca tutte le regole che avevano attributi inutilizzati durante il periodo di osservazione.

  3. Fai clic sul testo visualizzato nella colonna Insight. Viene visualizzata la pagina Dettagli insight.

  4. Esamina i dettagli nella parte superiore della pagina. Il riepilogo include i seguenti dettagli:

    • Il nome dell'insight.
    • Il numero di attributi inutilizzati di questa regola.
    • L'ora dell'ultimo aggiornamento dell'insight.
    • I nomi di altre regole nel progetto che utilizzano attributi simili.
    • La durata del periodo di osservazione.

  5. Valuta se puoi rimuovere l'attributo:

    1. Esamina la scheda Regola firewall con attributi non colpiti. Esamina il campo con l'etichetta Attributo senza hit (con previsione di hit future). Questo campo fornisce una percentuale che descrive la probabilità che l'attributo venga colpito in futuro.
    2. Esamina la scheda Regola firewall simile nello stesso progetto. Esamina i dati visualizzati per verificare se l'attributo di questa regola è stato utilizzato.

  6. Se la probabilità che l'attributo venga colpito in futuro è bassa e se questa previsione è supportata dal pattern di hit di regole simili, valuta la possibilità di rimuovere l'attributo dalla regola. Per rimuovere l'attributo, fai clic sul nome della regola, che viene visualizzato nella parte superiore della pagina Dettagli insight. Viene visualizzata la pagina Dettagli regola firewall.

  7. Fai clic su Modifica, apporta le modifiche necessarie e poi fai clic su Salva.

Restringere l'intervallo di indirizzi IP di una regola allow

Tieni presente che il tuo progetto potrebbe avere regole firewall che consentono l'accesso da determinati blocchi di indirizzi IP per i controlli di integrità del bilanciatore del carico o per altre Google Cloud funzionalità. Questi indirizzi IP potrebbero non essere colpiti, ma non devono essere rimossi dalle regole firewall. Per saperne di più su questi intervalli, consulta la documentazione di Compute Engine.

Per valutare e restringere un intervallo di indirizzi IP eccessivamente permissivo:

Console

  1. Nella Google Cloud console, vai alla pagina Firewall Insights.

    Vai a Firewall Insights

  2. Nella scheda Regole di autorizzazione con intervalli di porte o indirizzi IP eccessivamente permissivi, fai clic su Visualizza elenco completo. In risposta, la Google Cloud console visualizza un elenco di tutte le regole che avevano intervalli eccessivamente permissivi durante il periodo di osservazione.

  3. Trova una regola nell'elenco e fai clic sul testo visualizzato nella colonna Insight. Viene visualizzata la pagina Dettagli insight.

  4. Esamina i dettagli nella parte superiore della pagina. Il riepilogo include i seguenti dettagli:

    • Il nome della regola.
    • Il numero di intervalli di indirizzi IP che potrebbero essere ristretti.
    • L'ora dell'ultimo aggiornamento dell'insight.
    • La durata del periodo di osservazione.

  5. Valuta se puoi restringere l'intervallo di indirizzi IP: esamina la scheda Regola firewall con intervalli di porte o indirizzi IP eccessivamente permissivi. Esamina l'elenco proposto di nuovi intervalli di indirizzi IP.

  6. Se appropriato, valuta la possibilità di utilizzare i suggerimenti nell'insight per restringere l'intervallo di indirizzi IP. Fai clic sul nome della regola, che viene visualizzato nella parte superiore della pagina Dettagli insight. Viene visualizzata la pagina Dettagli regola firewall.

  7. Fai clic su Modifica, apporta le modifiche necessarie e poi fai clic su Salva.

Passaggi successivi