O Firewall Insights ajuda você a entender os padrões de uso das regras de firewall. Use esses insights para embasar decisões sobre como remover ou modificar regras de firewall para simplificar e proteger a configuração do firewall.
É possível conferir os seguintes insights na página Firewall Insights do console do Google Cloud e em vários outros lugares do console do Google Cloud :
- Regras de firewall sombreadas: ajudam a identificar regras de firewall que se sobrepõem às atuais.
- Regras excessivamente permissivas: ajudam a identificar regras
allowsem ocorrências, com atributos não utilizados ou com intervalos de portas ou endereços IP excessivamente permissivos. - Regras de negação: fornecem detalhes sobre as regras
denyque tiveram ocorrências durante o período de observação configurado.
Os insights para regras excessivamente permissivas e regras de negação são gerados com base nos dados coletados enquanto a Geração de Registros de Regras de Firewall permanece ativada.
Na página do Firewall Insights no console do Google Cloud , cada card que mostra os insights inclui uma lista de todas as regras no projeto que atendem aos critérios dos insights.
Para limitar os resultados a uma única rede VPC, use a barra de filtro na parte superior da página para selecionar uma rede.
Para mais informações, consulte Onde conferir métricas e insights.
As seções a seguir descrevem como visualizar cada insight.
Permissões e papéis necessários
Para receber a permissão necessária para visualizar insights, peça para o administrador conceder a você os seguintes papéis do IAM no projeto:
-
Administrador do recomendador de firewall (
roles/recommender.firewallAdmin) -
Leitor do recomendador de firewall (
roles/recommender.firewallViewer)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esse papel predefinido contém a
permissão
recommender.computeFirewallInsights.list,
que é necessária para
visualizar insights.
Também é possível receber essa permissão com papéis personalizados ou outros papéis predefinidos.
Exibir regras de firewall sombreadas
Para saber mais sobre esse insight, consulte Regras sombreadas.
Console
No console do Google Cloud , acesse a página Firewall Insights.
No card Regras sombreadas, clique em Exibir lista completa. O console do Google Cloud mostra a página Regras sombreadas, que lista todas as redes VPC.
Para cada rede VPC no projeto, é possível conferir os insights de políticas hierárquicas de firewall, políticas de firewall de rede global e regras de firewall de VPC, além da prioridade da regra. A coluna Insight de cada regra fornece um resumo do motivo pelo qual ela foi identificada como uma regra sombreada.
Opcional: use o filtro para restringir os resultados na lista com base no nome da regra, na prioridade e no nome da política.
Para mais detalhes sobre a regra sombreada e as regras que a sombreiam, clique no insight.
gcloud e API
O Firewall Insights usa os comandos do recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud .
Exibir regras allow sem ocorrências
Para saber mais sobre esse insight, consulte Regras de permissão sem ocorrências.
Console
No console do Google Cloud , acesse a página Firewall Insights.
No card Regras de permissão sem ocorrências, clique em Exibir lista completa. O console do Google Cloud exibe a página Regras de permissão sem ocorrências. Nessa página, listamos todas as redes VPC que tiveram regras sem ocorrências durante o período de observação.
A coluna Insight de cada regra mostra se a regra de firewall teve ou não ocorrências durante o período de observação. A coluna Previsão de ocorrências futuras mostra uma previsão de uso futuro com base em regras de firewall da mesma organização.
Opcional: use o filtro para restringir os resultados na lista com base no nome da regra, na prioridade e no nome da política.
Para qualquer regra na lista, siga um destes procedimentos:
- Para exibir a página Detalhes da regra de firewall, clique no nome da regra.
- Para exibir a geração de registros da regra, clique em Exibir registro de auditoria.
- Para mais detalhes sobre a previsão, clique no link da coluna Insight. O painel Detalhes do insight é exibido. Ele descreve os principais atributos da regra. Além disso, ele descreve outras regras do projeto com atributos semelhantes.
gcloud e API
O Firewall Insights usa os comandos do recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud .
Exibir regras allow obsoletas com base na análise adaptativa
Você pode exibir regras allow que têm menor chance de estarem ativas com base em
padrões de uso e na análise adaptativa.
Para saber mais sobre esse insight, consulte Regras de permissão obsoletas com base na análise adaptativa.
Console
No console do Google Cloud , acesse a página Firewall Insights.
No card Regras de permissão sem ocorrências (análise adaptativa), clique em Exibir lista completa. A página Regras de permissão sem ocorrências (análise adaptativa) é aberta. Essa página lista todas as redes VPC que tiveram regras que provavelmente não são mais usadas.
A coluna Insight de cada regra mostra se a regra de firewall não está mais ativa com base na análise adaptativa do histórico de contagem de ocorrências da regra.
Opcional: use o filtro para restringir os resultados na lista com base no nome da regra, na prioridade e no nome da política.
Para qualquer regra na lista, siga um destes procedimentos:
- Para exibir a página Detalhes da regra de firewall, clique no nome da regra.
- Para exibir a geração de registros da regra, clique em Exibir registro de auditoria.
- Para mais detalhes sobre a previsão, clique no link da coluna Insight.
A página Detalhes do insight descreve os principais atributos da regra. Na seção Análise adaptativa, você pode notar a data da última ocorrência da regra e a contagem média diária de ocorrências até ela se tornar inativa.
Para fechar a página Detalhes do Insight, clique em Cancelar.
gcloud e API
O Firewall Insights usa os comandos do recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud .
Exibir regras allow com atributos não utilizados
Para saber mais sobre esse insight, consulte Regras de permissão com atributos não utilizados.
Console
No console do Google Cloud , acesse a página Firewall Insights.
No card Regras de permissão com atributos não utilizados, clique em Exibir lista completa. Em resposta, o console do Google Cloud vai exibir a página Regras de permissão com atributos não utilizados. Nessa página, listamos todas as redes VPC com regras que tiveram atributos não utilizados durante o período de observação.
A coluna Insight de cada regra mostra o número de atributos não utilizados durante o período de observação.
Opcional: use o filtro para restringir os resultados na lista com base no nome da regra, na prioridade e no nome da política.
Para qualquer rede VPC na lista, siga um destes procedimentos conforme apropriado:
- Para exibir a página Detalhes da regra de firewall, clique no nome da regra.
- Para exibir a geração de registros da regra, clique em Exibir registro de auditoria.
- Para mais detalhes sobre a previsão, clique no link dela. O painel Detalhes do insight é exibido. Ele descreve os principais atributos da regra. Ele também descreve outras regras do projeto com atributos semelhantes.
gcloud e API
O Firewall Insights usa os comandos do recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud .
Exibir regras allow com intervalos de portas ou endereços IP excessivamente permissivos
Para saber mais sobre esse insight, consulte Regras de permissão com intervalos de portas ou endereços IP excessivamente permissivos.
Tenha em mente que o projeto pode ter regras de firewall que permitem o acesso de determinados blocos de endereços IP para verificações de integridade do balanceador de carga ou para outra funcionalidade doGoogle Cloud . Esses endereços IP podem não ter ocorrências, mas não devem ser removidos das regras de firewall. Para mais informações sobre esses intervalos, consulte a documentação do Compute Engine.
Console
No console do Google Cloud , acesse a página Firewall Insights.
No card Regras de permissão com intervalos de portas ou endereços IP excessivamente permissivos, clique em Exibir lista completa. O console doGoogle Cloud vai exibir uma lista com todas as regras que tinham intervalos excessivamente permissivos durante o período de observação.
Para qualquer regra na lista, siga um destes procedimentos:
- Para exibir a página Detalhes da regra de firewall, clique no nome da regra.
- Para exibir a geração de registros da regra, clique em Exibir registro de auditoria.
- Para conferir sugestões sobre como restringir o intervalo, clique no link da coluna Insight. O painel Detalhes do insight é exibido. Ele descreve os principais atributos da regra. Ele sugere endereços IP ou intervalos de portas mais definidos para uso.
gcloud e API
O Firewall Insights usa os comandos do recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud .
Exibir regras deny com ocorrências
Para saber mais sobre esse insight, consulte Regras de negação com ocorrências.
Console
No console do Google Cloud , acesse a página Firewall Insights.
No card Regras de negação com ocorrências, clique em Exibir lista completa. Em resposta, o console do Google Cloud vai exibir a página Regras de negação com ocorrências. Nesta página, listamos todas as redes VPC que têm regras
denycom ocorrências durante o período de observação.Para conferir os pacotes descartados por um firewall, clique em Contagem de ocorrências.
gcloud e API
O Firewall Insights usa os comandos do recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud .
Exibir insights na página de detalhes da interface de rede da VM
Confira o uso do firewall na página Detalhes da interface de rede de uma VM.
Para mais informações, consulte Listar regras de firewall para a interface de rede de uma instância de VM.
Exibir regras com ocorrências nos últimos 24 meses
Console
No console do Google Cloud , acesse a página Instâncias de VM do Compute Engine.
Nos resultados da pesquisa de uma interface de VM, selecione uma VM e clique no menu Mais ações.
No menu, selecione Exibir detalhes da rede.
Na página Detalhes do firewall e das rotas, clique na guia Regras de firewall.
Na coluna Contagem de ocorrências, confira as contagens de ocorrências para o tráfego de
allowedenynos últimos 24 meses para todas as regras de firewall associadas a uma interface de rede específica.
gcloud e API
O Firewall Insights usa os comandos do recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud .
Exibir insights na página Firewall
Para mais informações sobre a página Firewall, consulte Listar as regras de firewall de uma rede VPC.
Listar insights para um projeto
Console
No console do Google Cloud , acesse a página Políticas de firewall.
Para cada regra de firewall, visualize o nome dos insights disponíveis na coluna Insights.
Você pode clicar no nome de um insight para conferir os detalhes.
As seções a seguir descrevem como visualizar e interpretar os detalhes de cada tipo de insight.
Exibir regras allow sem ocorrências nos últimos 24 meses
Console
No console do Google Cloud , acesse a página Políticas de firewall.
Na coluna Última ocorrência, confira a última vez que uma regra de firewall específica foi usada nos últimos 24 meses.
gcloud e API
O Firewall Insights usa os comandos do recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud .
Exibir o gráfico do histórico de uso de uma regra
Console
No console do Google Cloud , acesse a página Políticas de firewall.
Clique no nome de uma regra de firewall.
Na seção Monitoramento de contagens de ocorrências da página, confira o gráfico resultante que mostra a contagem de ocorrências do firewall em um determinado período. É possível selecionar um intervalo para o gráfico de monitoramento de contagens de ocorrências.
gcloud e API
O Firewall Insights usa os comandos do recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud .
Exibir regras deny com ocorrências em um período de observação
Console
No console do Google Cloud , acesse a página Políticas de firewall.
Na coluna Contagem de ocorrências, confira o número de conexões exclusivas usadas para uma determinada regra de firewall nos últimos 24 meses (padrão).
gcloud e API
O Firewall Insights usa os comandos do recomendador. O recomendador é um serviço do Google Cloud que fornece recomendações de uso para produtos e serviços do Google Cloud .
A seguir
- Gerenciar e exportar insights
- Analisar e otimizar regras de firewall
- Acessar insights no painel do hub de recomendações