El almacenamiento de registros de reglas de cortafuegos te permite auditar, verificar y analizar los efectos de estas. Por ejemplo, puedes determinar si una regla de firewall diseñada para denegar el tráfico funciona correctamente. El almacenamiento de registros de reglas de cortafuegos también es útil si necesitas determinar cuántas conexiones se ven afectadas por una regla de cortafuegos concreta.
Puedes habilitar el registro de reglas de cortafuegos de forma individual para cada regla de cortafuegos cuyas conexiones necesites registrar. El registro de reglas de cortafuegos es una opción para cualquier regla de cortafuegos, independientemente de la acción (allow o deny) o la dirección (entrada o salida) de la regla.
El registro de reglas de cortafuegos registra el tráfico que entra y sale de las instancias de máquina virtual (VM) de Compute Engine. como los clústeres de Google Kubernetes Engine (GKE) y las instancias del entorno flexible de App Engine. Trusted Cloud by S3NS
Cuando habilitas el registro de una regla de cortafuegos, Trusted Cloud by S3NS crea una entrada llamada registro de conexión cada vez que la regla permite o deniega el tráfico. Puedes ver estos registros en Cloud Logging y exportarlos a cualquier destino compatible con la exportación desde este servicio.
Cada registro de conexión contiene las direcciones IP de origen y destino, el protocolo y los puertos, la fecha y la hora, y una referencia a la regla de cortafuegos que se aplicó al tráfico.
La función de registro de reglas de cortafuegos está disponible tanto para las reglas de cortafuegos de VPC como para las políticas de cortafuegos jerárquicas.
Para obtener información sobre cómo ver los registros, consulta Usar el almacenamiento de registros de reglas de cortafuegos.
Especificaciones
El almacenamiento de registros de reglas de cortafuegos tiene las siguientes especificaciones:
El almacenamiento de registros de reglas de cortafuegos se puede habilitar en los siguientes casos:
Reglas de cortafuegos de políticas de cortafuegos jerárquicas, políticas de cortafuegos de red globales y políticas de cortafuegos de red regionales asociadas a una red de VPC normal.
Reglas de cortafuegos de VPC en una red de VPC normal.
Reglas de cortafuegos de las políticas de cortafuegos de red regionales que están asociadas a una red de VPC RoCE.
El almacenamiento de registros de reglas de cortafuegos no admite lo siguiente:
Reglas de cortafuegos de VPC en redes antiguas.
Reglas implícitas de denegación de entrada y de aceptación de salida de una red de VPC normal.
Reglas implícitas de entrada y salida de una red de VPC RoCE.
El registro de reglas de cortafuegos solo registra las conexiones TCP y UDP. Aunque puedes crear una regla de cortafuegos que se aplique a otros protocolos, no puedes registrar sus conexiones.
Las entradas de registro se escriben desde la perspectiva de las VMs. Las entradas de registro solo se crean si una regla de cortafuegos tiene habilitado el registro y si la regla se aplica al tráfico enviado a la VM o desde ella. Las entradas se crean de acuerdo con los límites de registro de conexiones en la medida de lo posible.
Número de conexiones que puede registrar el almacenamiento de registros de reglas de cortafuegos por unidad de tiempo:
Se basa en el tipo de máquina de las redes VPC normales.
Depende de la acción de monitorización o registro de la regla de cortafuegos para las redes de VPC de RoCE.
Los cambios en las reglas de cortafuegos se pueden consultar en los registros de auditoría de VPC.
Formato de los registros de cortafuegos
De acuerdo con las especificaciones, se crea una entrada de registro en Cloud Logging por cada regla de cortafuegos que tenga el registro habilitado si esa regla se aplica al tráfico hacia o desde una instancia de VM. Los registros se incluyen en el campo de carga útil de JSON de un LogEntry de Logging.
Los registros de registro contienen campos base, que son los campos principales de cada registro de registro, y campos de metadatos que añaden información adicional. Puedes controlar si se incluyen los campos de metadatos. Si los omite, puede ahorrar en costes de almacenamiento.
Algunos campos de registro admiten valores que también son campos. Estos campos pueden tener más de un dato en un campo determinado. Por ejemplo, el campo connection tiene el formato IpConnection, que contiene la dirección IP y el puerto de origen y de destino, además del protocolo, en un solo campo. Estos campos se describen en las siguientes tablas.
| Campo | Descripción | Tipo de campo: metadatos básicos u opcionales |
|---|---|---|
| conexión | IpConnection Quíntupla que describe la dirección IP de origen y de destino, el puerto de origen y de destino, y el protocolo IP de esta conexión. |
Base |
| disposición | string Indica si la conexión se ha ALLOWED o
DENIED. |
Base |
| rule_details | RuleDetails Detalles de la regla que se ha aplicado a esta conexión. |
|
Campo rule_details.reference |
Base | |
| Otros campos de detalles de la regla | Metadatos | |
| instancia | InstanceDetails Detalles de la instancia de VM. En una configuración de VPC compartida, project_id corresponde al proyecto de servicio. |
Metadatos |
| vpc | VpcDetails Detalles de la red de VPC. En una configuración de VPC compartida, project_id corresponde al proyecto del host. |
Metadatos |
| remote_instance | InstanceDetails Si el endpoint remoto de la conexión era una VM ubicada en Compute Engine, este campo se rellena con los detalles de la instancia de VM. |
Metadatos |
| remote_vpc | VpcDetails Si el endpoint remoto de la conexión era una VM ubicada en una red de VPC, este campo se rellena con los detalles de la red. |
Metadatos |
| remote_location | GeographicDetails Si el endpoint remoto de la conexión era externo a la red de VPC, este campo se rellena con los metadatos de ubicación disponibles. |
Metadatos |
IpConnection
| Campo | Tipo | Descripción |
|---|---|---|
| src_ip | cadena | Dirección IP de origen. Si la fuente es una máquina virtual de Compute Engine, src_ip es la dirección IP interna principal o una dirección de un intervalo de IPs de alias de la interfaz de red de la máquina virtual. No se muestra la dirección IP externa. En los registros se muestra la dirección IP de la VM tal como la ve la VM en el encabezado del paquete, igual que si ejecutaras TCP dump en la VM. |
| src_port | entero | Puerto de origen |
| dest_ip | cadena | Dirección IP de destino. Si el destino es una Trusted Cloud máquina virtual,
dest_ip es la dirección IP interna principal o una dirección
de un intervalo de IPs de alias de la interfaz de red de la máquina virtual. La dirección IP externa no se muestra aunque se haya usado para establecer la conexión. |
| dest_port | entero | Puerto de destino |
| protocolo | entero | Protocolo IP de la conexión |
RuleDetails
| Campo | Tipo | Descripción |
|---|---|---|
| referencia | cadena | Referencia a la regla de cortafuegos. Formato:"network:{network name}/firewall:{firewall_name}" |
| prioridad | entero | La prioridad de la regla de cortafuegos. |
| acción | cadena | PERMITIR o DENEGAR |
| source_range[ ] | cadena | Lista de intervalos de origen a los que se aplica la regla de cortafuegos. |
| intervalo_destino[ ] | cadena | Lista de intervalos de destino a los que se aplica la regla de cortafuegos. |
| ip_port_info[ ] | IpPortDetails | Lista de protocolos IP e intervalos de puertos aplicables a las reglas. |
| direction | cadena | Dirección a la que se aplica la regla de cortafuegos (entrada o salida). |
| source_tag[ ] | cadena | Lista de todas las etiquetas de origen a las que se aplica la regla de cortafuegos. |
| target_tag[ ] | cadena | Lista de todas las etiquetas de destino a las que se aplica la regla de cortafuegos. |
| source_service_account[ ] | cadena | Lista de todas las cuentas de servicio de origen a las que se aplica la regla de cortafuegos. |
| target_service_account[ ] | cadena | Lista de todas las cuentas de servicio de destino a las que se aplica la regla de cortafuegos. |
| source_region_code[ ] | cadena | Lista de todos los códigos de país de origen a los que se aplica la regla de cortafuegos. |
| destination_region_code[ ] | cadena | Lista de todos los códigos de país de destino a los que se aplica la regla de cortafuegos. |
| source_fqdn[ ] | cadena | Lista de todos los nombres de dominio de origen a los que se aplica la regla de cortafuegos. |
| destination_fqdn[ ] | cadena | Lista de todos los nombres de dominio de destino a los que se aplica la regla de cortafuegos. |
| source_address_groups[ ] | cadena | Lista de todos los grupos de direcciones de origen a los que se aplica la regla de cortafuegos. |
| destination_address_groups[ ] | cadena | Lista de todos los grupos de direcciones de destino a los que se aplica la regla de cortafuegos. |
IpPortDetails
| Campo | Tipo | Descripción |
|---|---|---|
| ip_protocol | cadena | Protocolo IP al que se aplica la regla de cortafuegos. "ALL" si se aplica a todos los protocolos. |
| port_range[ ] | cadena | Lista de intervalos de puertos aplicables a las reglas. Por ejemplo, 8080-9090. |
InstanceDetails
| Campo | Tipo | Descripción |
|---|---|---|
| project_id | cadena | ID del proyecto que contiene la VM |
| vm_name | cadena | Nombre de instancia de la VM |
| región | cadena | Región de la VM |
| zona | cadena | Zona de la VM |
VpcDetails
| Campo | Tipo | Descripción |
|---|---|---|
| project_id | cadena | ID del proyecto que contiene la red |
| vpc_name | cadena | Red en la que opera la VM |
| subnetwork_name | cadena | Subred en la que opera la VM |
GeographicDetails
| Campo | Tipo | Descripción |
|---|---|---|
| continente | cadena | Continente de los endpoints externos |
| país | cadena | País de los puntos finales externos |
| región | cadena | Región de los endpoints externos |
| ciudad | cadena | Ciudad para endpoints externos |
Siguientes pasos
- Para configurar el registro y ver los registros, consulta Utilizar el almacenamiento de registros de reglas de cortafuegos.
- Para obtener información valiosa sobre cómo se usan tus reglas de cortafuegos, consulta Firewall Insights.
- Para almacenar, buscar, analizar, monitorizar y recibir alertas sobre datos y eventos de registro, consulta Cloud Logging.
- Para enrutar entradas de registro, consulta Configurar y gestionar sumideros.