A geração de registros de regras de firewall permite auditar, verificar e analisar os efeitos das suas regras de firewall. Por exemplo, é possível determinar se uma regra de firewall criada para negar tráfego está funcionando conforme o esperado. O registro de regras de firewall também é útil quando você precisa determinar quantas conexões são afetadas por uma determinada regra de firewall.
Ative a geração de registros de regras de firewall individualmente para cada regra de firewall que tem as conexões que você precisa registrar. A geração de registros de regras de firewall é uma opção para qualquer regra de firewall, seja qual for a ação (allow ou deny) ou a direção (entrada ou saída) dela.
A geração de registros de regras de firewall documenta o tráfego de e para as instâncias de máquina virtual (VM) do Compute Engine. Isso inclui Trusted Cloud by S3NS produtos criados em VMs do Compute Engine, como clusters do Google Kubernetes Engine (GKE) e instâncias de ambiente flexível do App Engine.
Quando você ativa a geração de registros para uma regra de firewall, Trusted Cloud by S3NS cria uma entrada chamada registro de conexão toda vez que a regra permite ou nega o tráfego. É possível acessar esses registros no Cloud Logging e exportá-los para qualquer destino compatível com a exportação do Cloud Logging.
Cada registro de conexão contém os endereços IP de origem e de destino, o protocolo e as portas, a data e a hora e uma referência à regra de firewall aplicada ao tráfego.
A geração de registros de regras de firewall está disponível para regras de firewall de VPC e para políticas de firewall hierárquicas.
Para mais informações sobre a visualização de registros, consulte Usar a geração de registros de regras de firewall.
Especificações
A geração de registros de regras de firewall tem as seguintes especificações:
- Só é possível ativar a geração de registros de regras de firewall para regras em uma rede de nuvem privada virtual (VPC). Redes legadas não são compatíveis.
- A geração de registros de regras de firewall só marca conexões TCP e UDP. Você pode criar uma regra de firewall aplicável a outros protocolos, mas não será possível registrar suas conexões.
- Não é possível ativar a geração de registros de regras de firewall para regras implícitas de negação e de permissão de entrada.
- As entradas de registro são escritas a partir da perspectiva das VMs. Essas entradas só serão criadas se uma regra de firewall tiver a geração de registros ativada e for aplicável ao tráfego enviado de ou para a VM. As entradas são criadas de acordo com os limites de geração de registros de conexão da melhor maneira possível.
- O número de conexões que podem ser registradas em um determinado intervalo depende do tipo de máquina.
- As alterações nas regras de firewall podem ser visualizadas nos registros de auditoria da VPC.
Formato de registro de firewall
Sujeita a especificações, uma entrada de registro é criada no Cloud Logging para cada regra de firewall que tenha essa função ativada, caso essa regra se aplique ao tráfego de entrada ou saída de instância de VM. Os registros são incluídos no campo de payload JSON de um LogEntry do Logging.
Os registros contêm campos básicos, que são os principais de cada registro, e campos de metadados, que acrescentam informações. É possível controlar se os campos de metadados serão incluídos. Se você os omitir, poderá economizar em custos de armazenamento.
Alguns campos de registro aceitam valores que também são campos. Esses campos podem ter mais
de um conjunto de dados em um determinado campo. Por exemplo, o campo connection é do
formato IpConnection, que contém o endereço
IP, o protocolo e a porta de origem e destino em um único espaço. Esses campos são
descritos nas tabelas a seguir.
| Campo | Descrição | Tipo de campo: base ou metadados opcionais |
|---|---|---|
| connection | IpConnection Cinco tuplas que descrevem os endereços IP e a porta de origem e destino, além do protocolo IP da conexão. |
Base |
| disposition | string Indica se a conexão foi ALLOWED ou
DENIED. |
Base |
| rule_details | RuleDetails Detalhes da regra aplicada à conexão. |
|
Campo rule_details.reference |
Base | |
| Outros campos de detalhes da regra | Metadados | |
| instance | InstanceDetails Detalhes da instância da VM. Em uma configuração de VPC compartilhada, project_id corresponde ao ID do projeto de serviço. |
Metadados |
| vpc | VpcDetails Detalhes da rede VPC. Em uma configuração de VPC compartilhada, project_id corresponde ao ID do projeto host. |
Metadados |
| remote_instance | InstanceDetails Se o endpoint remoto da conexão for uma VM localizada no Compute Engine, esse campo será preenchido com os detalhes da instância da VM. |
Metadados |
| remote_vpc | VpcDetails Se o endpoint remoto da conexão for uma VM localizada em uma rede VPC, esse campo será preenchido com os detalhes da rede. |
Metadados |
| remote_location | GeographicDetails Se o endpoint remoto da conexão for externo à rede VPC, este campo será preenchido com os metadados de local disponíveis. |
Metadados |
IpConnection
| Campo | Tipo | Descrição |
|---|---|---|
| src_ip | string | Endereço IP de origem. Se a origem for uma VM do Compute Engine, src_ip será o endereço de IP interno principal ou um endereço em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido. O Logging indica o endereço IP da VM conforme ela o vê no cabeçalho do pacote, como se você tivesse executado o dump de TCP na VM. |
| src_port | número inteiro | Porta de origem |
| dest_ip | string | Endereço IP de destino. Se o destino for uma VM Trusted Cloud ,
dest_ip será o endereço IP interno principal ou um endereço
em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido, mesmo que tenha sido usado para fazer a conexão. |
| dest_port | número inteiro | Porta de destino |
| protocol | número inteiro | Protocolo IP da conexão |
RuleDetails
| Campo | Tipo | Descrição |
|---|---|---|
| referência | string | Referência à regra de firewall. Formato:"network:{network name}/firewall:{firewall_name}" |
| priority | número inteiro | A prioridade da regra de firewall. |
| ação | string | PERMITIR ou NEGAR |
| source_range[ ] | string | Lista de intervalos de origem a que a regra de firewall se aplica. |
| destination_range[ ] | string | Lista de intervalos de destino aos quais a regra de firewall se aplica. |
| ip_port_info[ ] | IpPortDetails | Lista de protocolos IP e intervalos de portas aplicáveis a regras. |
| direction | string | A direção em que a regra de firewall se aplica (entrada ou saída). |
| source_tag[ ] | string | Lista de todas as tags de origem a que a regra de firewall se aplica. |
| target_tag[ ] | string | Lista de todas as tags de destino a que a regra de firewall se aplica. |
| source_service_account[ ] | string | Lista de todas as contas de serviço de origem a que a regra de firewall se aplica. |
| target_service_account[ ] | string | Lista de todas as contas de serviço de destino a que a regra de firewall se aplica. |
| source_region_code[ ] | string | Lista de todos os códigos de países de origem a que a regra de firewall se aplica. |
| destination_region_code[ ] | string | Lista de todos os códigos de países de destino a que a regra de firewall se aplica. |
| source_fqdn[ ] | string | Lista de todos os nomes de domínio de origem a que a regra de firewall se aplica. |
| destination_fqdn[ ] | string | Lista de todos os nomes de domínio de destino a que a regra de firewall se aplica. |
| source_address_groups[ ] | string | Lista de todos os grupos de endereços de origem aos quais a regra de firewall se aplica. |
| destination_address_groups[ ] | string | Lista de todos os grupos de endereços de destino aos quais a regra de firewall se aplica. |
IpPortDetails
| Campo | Tipo | Descrição |
|---|---|---|
| ip_protocol | string | Protocolo IP ao qual a regra de firewall se aplica. “ALL” se aplica a todos os protocolos. |
| port_range[ ] | string | Lista de intervalos de porta aplicáveis às regras, como por exemplo, 8080-9090. |
InstanceDetails
| Campo | Tipo | Descrição |
|---|---|---|
| project_id | string | Código do projeto que contém a VM |
| vm_name | string | Nome da instância da VM |
| região | string | Região da VM |
| zona | string | Zona da VM |
VpcDetails
| Campo | Tipo | Descrição |
|---|---|---|
| project_id | string | ID do projeto que contém a rede |
| vpc_name | string | Rede em que a VM está operando |
| subnetwork_name | string | Sub-rede em que a VM está operando |
GeographicDetails
| Campo | Tipo | Descrição |
|---|---|---|
| continent | string | Continente para endpoints externos |
| país | string | País para endpoints externos |
| região | string | Região para endpoints externos |
| cidade | string | Cidade para endpoints externos |
A seguir
- Para configurar a geração e a visualização de registros, consulte Usar a geração de registros de regras de firewall.
- Para ver insights sobre como suas regras de firewall estão sendo usadas, consulte Firewall Insights.
- Para armazenar, pesquisar, analisar, monitorar e alertar dados e eventos de registros, consulte Cloud Logging.
- Para rotear entradas de registro, consulte Configurar e gerenciar coletores.