Analisar e otimizar regras de firewall

Nesta página, descrevemos algumas tarefas comuns do Firewall Insights para analisar e otimizar o uso do firewall na nuvem privada virtual (VPC). Realize essas tarefas para otimizar as configurações de regras de firewall e fortalecer limites de segurança.

Por exemplo, suponha que você seja um admin de rede ou um engenheiro de segurança de rede responsável por várias redes VPC grandes e compartilhadas entre vários projetos e aplicativos. Você quer analisar e otimizar um grande volume de regras de firewall acumuladas ao longo do tempo para garantir que elas sejam consistentes com o estado esperado da sua rede. Use as tarefas a seguir para revisar e otimizar suas regras de firewall.

Permissões e papéis necessários

Para receber as permissões necessárias a fim de usar o Firewall Insights, peça que o admin conceda a você os seguintes papéis do IAM no projeto:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para usar o Firewall Insights. Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As permissões a seguir são necessárias para usar o Firewall Insights:

  • recommender.computeFirewallInsights.list
  • recommender.computeFirewallInsights.update

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Confira as regras aplicadas a uma VM nos últimos 30 dias

Para analisar as regras que ajudam a evitar configurações incorretas e regras sombreadas desnecessárias, faça o seguinte:

Console

  1. No Console do Google Cloud , acesse a página Instâncias de VM do Compute Engine:

    Acesse as instâncias de VM do Compute Engine

  2. No campo Filtrar, filtre as instâncias inserindo um dos pares de chave-valor a seguir para encontrar as VMs relevantes.

    Network tags:TAG_NAME

    Substitua TAG_NAME por uma tag atribuída a uma rede VPC.

    Internal IP:INTERNAL_IP_ADDRESS

    Substitua INTERNAL_IP_ADDRESS por um endereço IP interno de uma interface de VM.

    External IP:EXTERNAL_IP_ADDRESS

    Substitua EXTERNAL_IP_ADDRESS por um endereço IP externo de uma interface de VM.

  3. Nos resultados da pesquisa de uma interface de VM, selecione uma VM e clique no menu mais ações.

  4. No menu, selecione Exibir detalhes da rede.

  5. Na página Detalhes da interface de rede, execute estas etapas:

    1. Na seção Detalhes de firewall e rotas, clique em Firewalls e, em seguida, em Filtrar.

    2. Insira last hit after:YYYY-MM-DD para filtrar as regras de firewall. Essa expressão de filtro encontra regras de firewall com ocorrências recentes.

    3. Para uma regra de firewall, clique no número na coluna Contagem de ocorrências para abrir o log do firewall e revisar os detalhes do tráfego, como no exemplo de consulta a seguir. Para inserir uma consulta, clique em Enviar filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2")

    4. Adicione um ou mais filtros adicionais do Cloud Logging para filtrar ainda mais os detalhes do log do firewall. Por exemplo, o exemplo de consulta a seguir adiciona um filtro que filtra por endereço IP de origem (src_ip). Para inserir uma consulta, clique em Enviar filtro.

      jsonPayload.rule_details.reference:("network:network1/firewall:allow-tcp") AND
jsonPayload.instance.project_id:("p6ntest-firewall-intelligence") AND
jsonPayload.instance.zone:("us-central1-c") AND
jsonPayload.instance.vm_name:("instance2") AND
jsonPayload.connection.src_ip:("10.0.1.2")

Detectar aumentos repentinos na contagem de ocorrências para regras de firewall deny

Você pode configurar o Cloud Monitoring para detectar alterações na contagem de ocorrências das suas regras de firewall deny da VPC. Por exemplo, você tem a opção de receber um alerta quando a contagem de ocorrências de uma regra específica aumentar em determinada porcentagem. A configuração desse alerta ajuda a detectar possíveis ataques nos recursos do Google Cloud.

Para definir um alerta, faça o seguinte:

Console

  1. No console do Google Cloud , acesse a página Monitoring.

    Acessar Monitoring

  2. No painel de navegação, clique em Alertas e, em seguida, em Criar política.

  3. Na página Criar política de alertas, clique em Adicionar condições de alerta. Uma nova condição será adicionada.

  4. Expanda a seção Nova condição e selecione Configurar acionador. A página Configurar gatilho de alerta será aberta.

  5. Configure as condições de alerta. Por exemplo, use os seguintes valores para acionar um alerta quando a contagem de ocorrências da regra identificada aumentar em 10% por seis horas:

    • Tipos de condição: defina como Threshold.
    • Gatilho de alerta: defina como Any time series violates.
    • Posição do limite: defina como Above threshold.
    • Valor do limite: defina como 10.

  6. Na seção Opções avançadas, insira um nome para a condição e clique em Próxima.

  7. Na página Gatilho de várias condições, especifique a condição e clique em Próxima.

  8. Na página Configurar notificações, selecione Canais de notificação e, em seguida, Gerenciar canais de notificação.

  9. Na janela Canais de notificação, adicione o novo canal de notificação (por exemplo, um endereço de e-mail) e clique em Salvar.

  10. Na lista Canais de notificação, selecione as notificações adicionadas e clique em OK.

  11. Na seção Nomear a política de alertas, insira um nome e clique em Próxima. A condição de alerta será adicionada.

Limpar regras de firewall sombreadas

Para limpar regras de firewall sombreadas por outras regras, faça o seguinte:

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. Na seção Regras de firewall da VPC, clique em Filtrar e selecione Tipo de insight > Regras sombreadas.

  3. Para cada regra nos resultados da pesquisa, clique no Nome da regra e veja a página de detalhes. Revise e limpe cada regra, conforme necessário.

Para mais informações sobre regras sombreadas, consulte Exemplos de regras sombreadas.

Remover uma regra allow não utilizada

Para avaliar e remover uma regra allow não utilizada, faça o seguinte:

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. Na seção Regras de firewall da VPC, clique em Filtrar e selecione Tipo > Entrada > última ocorrência antes de MM/DD/YYYY.

    Substitua MM/DD/YYYY pela data que você quer usar. Por exemplo, 08/31/2021.

  3. Para cada regra nos resultados da pesquisa, revise as informações na coluna Insights. Essa coluna fornece uma porcentagem que indica a probabilidade de haver uma ocorrência dessa regra no futuro. Se a porcentagem for alta, convém manter essa regra. No entanto, se ela for baixa, continue analisando as informações geradas pelo insight.

  4. Clique no link do insight para mostrar o painel Detalhes do insight.

  5. No painel Detalhes do Insight, analise os atributos dessa regra e os atributos das regras semelhantes listadas.

  6. Se a regra tiver uma baixa probabilidade de ser atingida no futuro e se essa previsão for compatível com o padrão de ocorrências de regras semelhantes, considere remover a regra. Para remover a regra, clique em Nome da regra. A página Detalhes da regra de firewall será aberta.

  7. Clique em Excluir.

  8. Na caixa de diálogo de confirmação, clique em Excluir.

Remover um atributo não utilizado de uma regra allow

Para avaliar e remover um atributo não utilizado, faça o seguinte:

Console

  1. No console do Google Cloud , acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. No card Permitir regras com atributos não utilizados, clique em Ver lista completa. Em resposta, o console do Google Cloud vai exibir a página Permitir regras com atributos não utilizados. Esta página lista todas as regras que tiveram atributos não utilizados durante o período de observação.

  3. Clique no texto exibido na coluna Insight. A página Detalhes do insight é aberta.

  4. Revise os detalhes na parte superior da página. O resumo inclui os seguintes detalhes:

    • O nome do insight.
    • O número de atributos não utilizados que a regra tem.
    • A hora em que o insight foi atualizado pela última vez.
    • Os nomes de outras regras no projeto que usam atributos semelhantes.
    • A duração do período de observação.

  5. Avalie se é possível remover o atributo:

    1. Confira o card Regra de firewall com atributos sem ocorrências. Observe o campo rotulado Atributo sem ocorrências (com previsão de ocorrências futuras). Esse campo fornece uma porcentagem que descreve a probabilidade de haver uma ocorrência do atributo no futuro.
    2. Revise o card Regra de firewall semelhante no mesmo projeto. Revise os dados exibidos sobre se o atributo dessa regra foi usado.

  6. Se houver uma baixa probabilidade de ocorrência do atributo no futuro e se essa previsão for compatível com o padrão de ocorrências de regras semelhantes, considere remover o atributo da regra. Para remover o atributo, clique no nome da regra, que aparece na parte superior da página Detalhes do insight. A página Detalhes da regra de firewall será aberta.

  7. Clique em Editar, faça as alterações necessárias e clique em Salvar.

Restringir o intervalo de endereços IP de uma regra allow

Tenha em mente que o projeto pode ter regras de firewall que permitem o acesso de determinados blocos de endereços IP para verificações de integridade do balanceador de carga ou para outra funcionalidade doGoogle Cloud . Esses endereços IP podem não ocorrer, mas não devem ser removidos das suas regras de firewall. Para mais informações sobre esses intervalos, consulte a documentação do Compute Engine.

Para avaliar e restringir um intervalo de endereços IP permissivo demais, faça o seguinte:

Console

  1. No console do Google Cloud , acesse a página Firewall Insights.

    Acesse o Firewall Insights

  2. No card Permitir regras com intervalos de portas ou endereços IP excessivamente permissivos, clique em Ver lista completa. Em resposta, o console doGoogle Cloud exibe uma lista de todas as regras que tinham intervalos muito permissivos durante o período de observação.

  3. Encontre qualquer regra na lista e clique no texto exibido na coluna Insight. A página Detalhes do insight é aberta.

  4. Revise os detalhes na parte superior da página. O resumo inclui os seguintes detalhes:

    • O nome da regra.
    • O número de intervalos de endereços IP que podem ser restritos.
    • A hora em que o insight foi atualizado pela última vez.
    • A duração do período de observação.

  5. Avalie se é possível restringir o intervalo de endereços IP: consulte o card Regra de firewall com intervalos de portas ou endereços IP excessivamente permissivos. Analise a lista proposta de novos intervalos de endereços IP.

  6. Se apropriado, use as recomendações apresentadas no insight para reduzir ainda mais o intervalo de endereços IP. Clique no nome da regra, que aparece na parte superior da página Detalhes do insight. A página Detalhes da regra de firewall será aberta.

  7. Clique em Editar, faça as alterações necessárias e clique em Salvar.

A seguir