Il logging delle regole del firewall consente di controllare, verificare e analizzare gli effetti delle regole del firewall. Ad esempio, puoi determinare se una regola firewall progettata per negare il traffico funziona come previsto. Il logging delle regole firewall è utile anche se devi determinare quante connessioni sono interessate da una determinata regola firewall.
Attivi il logging delle regole firewall singolarmente per ogni regola firewall
le cui connessioni devi registrare. Il logging delle regole firewall è un'opzione
per qualsiasi regola firewall, indipendentemente dall'azione (allow o deny) o dalla direzione
(in entrata o in uscita) della regola.
Il logging delle regole firewall registra il traffico da e verso le istanze di macchine virtuali (VM) di Compute Engine. Sono inclusi i prodotti basati su VM di Compute Engine, come i cluster Google Kubernetes Engine (GKE) e le istanze dell'ambiente flessibile di App Engine. Cloud de Confiance by S3NS
Quando abiliti la registrazione per una regola firewall, Cloud de Confiance by S3NS crea una voce chiamata record di connessione ogni volta che la regola consente o nega il traffico. Puoi visualizzare questi record in Cloud Logging ed esportare i log in qualsiasi destinazione supportata dalle funzionalità di esportazione di Cloud Logging.
Ogni record di connessione contiene gli indirizzi IP di origine e di destinazione, il protocollo e le porte, la data e l'ora e un riferimento alla regola firewall che è stata applicata al traffico.
La registrazione delle regole firewall è disponibile sia per le regole firewall VPC sia per le policy firewall gerarchiche.
Per informazioni sulla visualizzazione dei log, consulta Utilizzo del logging delle regole firewall.
Specifiche
Il logging delle regole firewall presenta le seguenti specifiche:
Il logging delle regole firewall può essere attivato per:
Regole firewall nei criteri firewall gerarchici, nei criteri firewall di sistema regionali, nei criteri firewall di rete globali e nei criteri firewall di rete regionali associati a una rete VPC standard.
Regole firewall VPC in una rete VPC normale.
Regole firewall nelle policy firewall di rete regionali associate a una rete VPC RoCE.
Il logging delle regole firewall non supporta quanto segue:
Regole firewall VPC nelle reti legacy.
Regole implicite di negazione del traffico in entrata e di consenso del traffico in uscita di una rete VPC standard.
Regole in entrata e in uscita implicite di una rete VPC RoCE.
Il logging delle regole firewall registra solo le connessioni TCP e UDP. Anche se puoi creare una regola firewall che si applichi ad altri protocolli, non puoi registrare le loro connessioni.
Le voci di log vengono scritte dal punto di vista delle VM. Le voci di log vengono create solo se una regola firewall ha la registrazione abilitata e se la regola si applica al traffico inviato alla VM o ricevuto dalla VM. Le voci vengono create in base ai limiti di logging delle connessioni secondo il criterio del best effort.
Il numero di connessioni che il logging delle regole firewall può registrare per unità di tempo:
È basato sul tipo di macchina per le reti VPC standard.
Dipende dall'azione di monitoraggio o logging della regola firewall per le reti VPC RoCE.
Le modifiche alle regole firewall possono essere visualizzate nei log di controllo VPC.
Limitazioni
Quando utilizzi l'azione apply_security_profile_group con il logging abilitato,
Cloud NGFW non acquisisce i log di tutte le sessioni. Questa limitazione
non influisce sull'ispezione o sull'intercettazione del traffico.
Formato dei log del firewall
In base alle specifiche, in Cloud Logging viene creato una voce di log per ogni regola firewall per cui è abilitata la registrazione se la regola si applica al traffico da o verso un'istanza VM. I record di log sono inclusi nel campo del payload JSON di una LogEntry di Logging.
I record di log contengono campi di base, che sono i campi principali di ogni record di log, e campi di metadati che aggiungono informazioni aggiuntive. Puoi controllare se includere i campi dei metadati. Se li ometti, puoi risparmiare sui costi di archiviazione.
Alcuni campi dei log supportano valori che sono anche campi. Questi campi possono contenere più di un dato in un determinato campo. Ad esempio, il campo connection è
in formato IpConnection, che contiene l'indirizzo IP e la porta di origine e di destinazione, oltre al protocollo, in un unico campo. Questi campi sono descritti nelle tabelle seguenti.
| Campo | Descrizione | Tipo di campo: metadati di base o facoltativi |
|---|---|---|
| connessione | IpConnection 5 tuple che descrivono l'indirizzo IP di origine e di destinazione, la porta di origine e di destinazione e il protocollo IP di questa connessione. |
Livelli |
| disposizione | string Indica se la connessione è stata ALLOWED o
DENIED. |
Livelli |
| rule_details | RuleDetails Dettagli della regola applicata a questa connessione. |
|
Campo rule_details.reference |
Livelli | |
| Altri campi dei dettagli delle regole | Metadati | |
| istanza | InstanceDetails Dettagli dell'istanza VM. In una configurazione del VPC condiviso, project_id corrisponde a quello del progetto di servizio. |
Metadati |
| load_balancer_details | LoadBalancingDetails Dettagli del bilanciatore del carico delle applicazioni interno o del bilanciatore del carico di rete proxy interno a cui si applica la regola firewall. Quando la destinazione di una regola firewall è uno di questi bilanciatori del carico, il campo instance viene omesso. |
Metadati |
| vpc | VpcDetails Dettagli rete VPC. In una configurazione del VPC condiviso, project_id corrisponde a quello del progetto host. |
Metadati |
| remote_instance | InstanceDetails Se l'endpoint remoto della connessione era una VM situata in Compute Engine, questo campo viene compilato con i dettagli dell'istanza VM. |
Metadati |
| remote_vpc | VpcDetails Se l'endpoint remoto della connessione era una VM che si trova in una rete VPC, questo campo viene compilato con i dettagli della rete. |
Metadati |
| remote_location | GeographicDetails Se l'endpoint remoto della connessione era esterno alla rete VPC, questo campo viene compilato con i metadati di località disponibili. |
Metadati |
IpConnection
| Campo | Tipo | Descrizione |
|---|---|---|
| src_ip | stringa | Indirizzo IP di origine. Se l'origine è una VM di Compute Engine,
src_ip è l'indirizzo IP interno primario o un indirizzo
in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno
non viene mostrato. La registrazione mostra l'indirizzo IP della VM come
la VM lo vede nell'intestazione del pacchetto, come se avessi eseguito TCP dump sulla VM. |
| src_port | integer | Porta di origine |
| dest_ip | stringa | Indirizzo IP di destinazione. Se la destinazione è una VM, Cloud de Confiance dest_ip è l'indirizzo IP interno principale o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene mostrato anche se è stato utilizzato per stabilire la connessione. |
| dest_port | integer | Porta di destinazione |
| protocollo | integer | Protocollo IP della connessione |
RuleDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| riferimento | stringa | Riferimento alla regola firewall; formato:"network:{network name}/firewall:{firewall_name}" |
| priorità | integer | La priorità della regola firewall. |
| azione | stringa | ALLOW o DENY |
| source_range[ ] | stringa | Elenco degli intervalli di origine a cui si applica la regola firewall. |
| destination_range[ ] | stringa | Elenco degli intervalli di destinazione a cui si applica la regola firewall. |
| ip_port_info[ ] | IpPortDetails | Elenco dei protocolli IP e degli intervalli di porte applicabili per le regole. |
| direction | stringa | La direzione a cui si applica la regola firewall (in entrata o in uscita). |
| source_tag[ ] | stringa | Elenco di tutti i tag di origine a cui si applica la regola firewall. |
| target_tag[ ] | stringa | Elenco di tutti i tag di destinazione a cui si applica la regola firewall. |
| source_service_account[ ] | stringa | Elenco di tutti i service account di origine a cui si applica la regola firewall. |
| target_service_account[ ] | stringa | Elenco di tutti gli account di servizio di destinazione a cui si applica la regola firewall. |
| source_region_code[ ] | stringa | Elenco di tutti i codici paese di origine a cui si applica la regola firewall. |
| destination_region_code[ ] | stringa | Elenco di tutti i codici paese di destinazione a cui si applica la regola firewall. |
| source_fqdn[ ] | stringa | Elenco di tutti i nomi di dominio di origine a cui si applica la regola firewall. |
| destination_fqdn[ ] | stringa | Elenco di tutti i nomi di dominio di destinazione a cui si applica la regola firewall. |
| source_address_groups[ ] | stringa | Elenco di tutti i gruppi di indirizzi di origine a cui si applica la regola firewall. |
| destination_address_groups[ ] | stringa | Elenco di tutti i gruppi di indirizzi di destinazione a cui si applica la regola firewall. |
IpPortDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| ip_protocol | stringa | Il protocollo IP a cui si applica la regola firewall. "ALL" se si applica a tutti i protocolli. |
| port_range[ ] | stringa | Elenco degli intervalli di porte applicabili per le regole, ad esempio 8080-9090. |
InstanceDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| project_id | stringa | ID del progetto contenente la VM |
| vm_name | stringa | Nome istanza della VM |
| regione | stringa | Regione della VM |
| zona | stringa | Zona della VM |
LoadBalancingDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| forwarding_rule_project_id | stringa | ID progettoCloud de Confiance by S3NS che contiene la regola di forwarding. |
| tipo | stringa | Tipo di bilanciatore del carico: APPLICATION_LOAD_BALANCER indica
un bilanciatore del carico delle applicazioni interno. PROXY_NETWORK_LOAD_BALANCER indica un
bilanciatore del carico di rete proxy interno. |
| schema | stringa | Schema del bilanciatore del carico, INTERNAL_MANAGED. |
| url_map_name | stringa | Nome della mappa URL. Compilato solo se type
è APPLICATION_LOAD_BALANCER. |
| forwarding_rule_name | stringa | Il nome della regola di forwarding. |
VpcDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| project_id | stringa | ID del progetto contenente la rete |
| vpc_name | stringa | La rete su cui opera la VM |
| subnetwork_name | stringa | La subnet su cui opera la VM |
GeographicDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| continent | stringa | Continente per gli endpoint esterni |
| country | stringa | Paese per gli endpoint esterni |
| regione | stringa | Regione per gli endpoint esterni |
| city | stringa | Città per gli endpoint esterni |
Passaggi successivi
- Per configurare la registrazione e visualizzare i log, vedi Utilizzare il logging delle regole firewall.
- Per ottenere informazioni sull'utilizzo delle regole firewall, consulta Firewall Insights.
- Per archiviare, cercare, analizzare, monitorare e creare avvisi su dati ed eventi di log, consulta Cloud Logging.
- Per instradare le voci di log, consulta Instrada i log verso destinazioni supportate.