A geração de registros de regras de firewall da VPC permite auditar, verificar e analisar os efeitos das suas regras de firewall. Por exemplo, é possível determinar se uma regra de firewall criada para negar tráfego está funcionando conforme o esperado. O registro de regras de firewall da VPC também é útil quando é preciso determinar quantas conexões são afetadas por uma determinada regra de firewall.
Ative a geração de registros de regras de firewall da VPC individualmente para cada regra de firewall que tem as conexões que você precisa registrar. A geração de registros de regras de firewall da VPC é uma opção para qualquer regra de firewall, seja qual for a ação (allow ou deny) ou a direção (entrada ou saída) dela.
A geração de registros de regras de firewall da VPC documenta o tráfego de e para instâncias de máquina virtual (VM) do Compute Engine. Isso inclui produtos Cloud de Confiance by S3NS criados em VMs do Compute Engine, como clusters do Google Kubernetes Engine (GKE) e instâncias do ambiente flexível do App Engine.
Quando você ativa a geração de registros para uma regra de firewall,o Cloud de Confiance by S3NS cria uma entrada chamada registro de conexão toda vez que a regra permite ou nega o tráfego. É possível ver esses registros no Cloud Logging e exportá-los para qualquer destino compatível.
Cada registro de conexão contém os endereços IP de origem e de destino, o protocolo e as portas, a data e a hora e uma referência à regra de firewall aplicada ao tráfego.
A geração de registros de regras de firewall da VPC está disponível para regras de firewall de VPC e para políticas de firewall hierárquicas.
Para mais informações sobre a visualização de registros, consulte Usar a geração de registros de regras de firewall da VPC.
Especificações
A geração de registros de regras de firewall da VPC tem as seguintes especificações:
A geração de registros de regras de firewall da VPC pode ser ativada para:
Regras de firewall em políticas hierárquicas de firewall, políticas de firewall de sistema regional, políticas de firewall de rede global e políticas de firewall de rede regional associadas a uma rede VPC comum.
Regras de firewall de VPC em uma rede VPC comum.
Regras de firewall em políticas regionais de firewall de rede associadas a uma rede VPC RoCE.
A geração de registros de regras de firewall da VPC não é compatível com o seguinte:
Regras de firewall da VPC em redes legadas.
Regras implícitas de negação de entrada e permissão de saída de uma rede VPC comum.
Regras implícitas de entrada e saída de uma rede VPC RoCE.
A geração de registros de regras de firewall da VPC só registra conexões TCP e UDP. É possível criar uma regra de firewall que se aplique a outros protocolos, mas não será possível registrar as conexões deles.
As entradas de registro são escritas a partir da perspectiva das VMs. Essas entradas só serão criadas se uma regra de firewall tiver a geração de registros ativada e for aplicável ao tráfego enviado de ou para a VM. As entradas são criadas de acordo com os limites de geração de registros de conexão da melhor maneira possível.
A geração de registros de regras de firewall da VPC cria uma entrada de registro somente quando uma conexão é estabelecida. Ele não registra todos os pacotes. Uma entrada de conexão UDP permanece ativa enquanto os pacotes são trocados pelo menos uma vez a cada 10 minutos. Cada pacote de entrada ou saída subsequente redefine o timer de inatividade, estendendo a conexão por mais 10 minutos. Como resultado, um fluxo constante de tráfego UDP gera apenas uma entrada de registro durante todo o período. Se você precisar de visibilidade contínua em fluxos ativos e de longa duração sem períodos ociosos, use os registros de fluxo de VPC.
Quando uma regra de firewall usa a ação
apply_security_profile_group, o registro de regras de firewall da VPC gera uma entrada de registro para cada nova conexão interceptada para inspeção. Essa entrada de registro confirma que a regra de firewall correspondeu ao tráfego e o redirecionou com sucesso para o endpoint do firewall para inspeção detalhada de pacotes. Para mais informações, consulte Registros de ameaças e Registros de filtragem de URL.O número de conexões que o registro em log de regras de firewall da VPC pode registrar por unidade de tempo:
É baseado no tipo de máquina para redes VPC regulares.
Depende da ação de monitoramento ou geração de registros da regra de firewall para redes VPC RoCE.
As alterações nas regras de firewall podem ser visualizadas nos registros de auditoria da VPC.
Limitações
O registro em log da ação
apply_security_profile_groupusa uma lógica baseada em sessão, que é diferente dos registros baseados em conexão produzidos por regras padrão deallowoudeny. Quando ativado, o Cloud NGFW gera uma única entrada de registro de regra de firewall para a sessão inicial que corresponde à regra, mesmo que várias conexões sejam identificadas como parte dessa mesma sessão. Esse registro de firewall de alto nível é diferente dos registros detalhados da camada 7, como filtragem de URL ou registros de ameaças, que ainda são gerados para cada conexão inspecionada.Se você ativar a geração de registros para uma regra de firewall que corresponda a conexões TCP ou UDP atuais, as entradas de registro não serão geradas para essas conexões ativas. O registro dessas conexões só começa depois que elas ficam inativas por pelo menos 10 minutos.
Formato de registro de firewall
Sujeita a especificações, uma entrada de registro é criada no Cloud Logging para cada regra de firewall que tenha essa função ativada, caso essa regra se aplique ao tráfego de entrada ou saída de instância de VM. Os registros são incluídos no campo de payload JSON de um LogEntry do Logging.
Os registros contêm campos básicos, que são os principais de cada registro, e campos de metadados, que acrescentam informações. É possível controlar se os campos de metadados serão incluídos. Se você os omitir, poderá economizar em custos de armazenamento.
Alguns campos de registro aceitam valores que também são campos. Esses campos podem ter mais
de um conjunto de dados em um determinado campo. Por exemplo, o campo connection é do
formato IpConnection, que contém o endereço
IP, o protocolo e a porta de origem e destino em um único espaço. Esses campos são
descritos nas tabelas a seguir.
| Campo | Descrição | Tipo de campo: base ou metadados opcionais |
|---|---|---|
| conexão | IpConnection Cinco tuplas que descrevem os endereços IP e a porta de origem e destino, além do protocolo IP da conexão. |
Base |
| disposition | string Indica se a conexão foi ALLOWED ou
DENIED. |
Base |
| rule_details | RuleDetails Detalhes da regra aplicada à conexão. |
|
Campo rule_details.reference |
Base | |
| Outros campos de detalhes da regra | Metadados | |
| instance | InstanceDetails Detalhes da instância da VM. Em uma configuração de VPC compartilhada, project_id corresponde ao ID do projeto de serviço. |
Metadados |
| load_balancer_details | LoadBalancingDetails Detalhes do balanceador de carga de aplicativo interno ou do balanceador de carga de rede de proxy interno a que a regra de firewall se aplica. Quando o destino de uma regra de firewall é um desses balanceadores de carga, o campo instance é omitido. |
Metadados |
| vpc | VpcDetails Detalhes da rede VPC. Em uma configuração de VPC compartilhada, project_id corresponde ao ID do projeto host. |
Metadados |
| remote_instance | InstanceDetails Se o endpoint remoto da conexão for uma VM localizada no Compute Engine, esse campo será preenchido com os detalhes da instância da VM. |
Metadados |
| remote_vpc | VpcDetails Se o endpoint remoto da conexão for uma VM localizada em uma rede VPC, esse campo será preenchido com os detalhes da rede. |
Metadados |
| remote_location | GeographicDetails Se o endpoint remoto da conexão for externo à rede VPC, este campo será preenchido com os metadados de local disponíveis. |
Metadados |
IpConnection
| Campo | Tipo | Descrição |
|---|---|---|
| src_ip | string | Endereço IP de origem. Se a origem for uma VM do Compute Engine, src_ip será o endereço de IP interno principal ou um endereço em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido. O Logging indica o endereço IP da VM conforme ela o vê no cabeçalho do pacote, como se você tivesse executado o dump de TCP na VM. |
| src_port | número inteiro | Porta de origem |
| dest_ip | string | Endereço IP de destino. Se o destino for uma VM Cloud de Confiance ,
dest_ip será o endereço IP interno principal ou um endereço
em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo não é exibido, mesmo que tenha sido usado para fazer a conexão. |
| dest_port | número inteiro | Porta de destino |
| protocol | número inteiro | Protocolo IP da conexão |
RuleDetails
| Campo | Tipo | Descrição |
|---|---|---|
| referência | string | Referência à regra de firewall. Formato:"network:{network name}/firewall:{firewall_name}" |
| priority | número inteiro | A prioridade da regra de firewall. |
| ação | string | PERMITIR ou NEGAR |
| source_network_context | string | O contexto de rede para o tráfego a que uma regra de entrada se aplica. |
| source_networks[ ] | string | Lista de redes VPC quando o parâmetro de contexto da rede de origem é VPC_NETWORKS. |
| destination_network_context | string | O contexto de rede para o tráfego a que uma regra de saída se aplica. |
| source_range[ ] | string | Lista de intervalos de origem a que a regra de firewall se aplica. |
| destination_range[ ] | string | Lista de intervalos de destino aos quais a regra de firewall se aplica. |
| ip_port_info[ ] | IpPortDetails | Lista de protocolos IP e intervalos de portas aplicáveis a regras. |
| direction | string | A direção em que a regra de firewall se aplica (entrada ou saída). |
| source_tag[ ] | string | Lista de todas as tags de origem a que a regra de firewall se aplica. |
| target_tag[ ] | string | Lista de todas as tags de destino a que a regra de firewall se aplica. |
| source_service_account[ ] | string | Lista de todas as contas de serviço de origem a que a regra de firewall se aplica. |
| target_service_account[ ] | string | Lista de todas as contas de serviço de destino a que a regra de firewall se aplica. |
| source_region_code[ ] | string | Lista de todos os códigos de países de origem a que a regra de firewall se aplica. |
| destination_region_code[ ] | string | Lista de todos os códigos de países de destino a que a regra de firewall se aplica. |
| source_fqdn[ ] | string | Lista de todos os nomes de domínio de origem a que a regra de firewall se aplica. |
| destination_fqdn[ ] | string | Lista de todos os nomes de domínio de destino a que a regra de firewall se aplica. |
| source_address_groups[ ] | string | Lista de todos os grupos de endereços de origem aos quais a regra de firewall se aplica. |
| destination_address_groups[ ] | string | Lista de todos os grupos de endereços de destino aos quais a regra de firewall se aplica. |
IpPortDetails
| Campo | Tipo | Descrição |
|---|---|---|
| ip_protocol | string | Protocolo IP ao qual a regra de firewall se aplica. “ALL” se aplica a todos os protocolos. |
| port_range[ ] | string | Lista de intervalos de porta aplicáveis às regras, como por exemplo, 8080-9090. |
InstanceDetails
| Campo | Tipo | Descrição |
|---|---|---|
| project_id | string | Código do projeto que contém a VM |
| vm_name | string | Nome da instância da VM |
| região | string | Região da VM |
| zona | string | Zona da VM |
LoadBalancingDetails
| Campo | Tipo | Descrição |
|---|---|---|
| forwarding_rule_project_id | string | Cloud de Confiance by S3NS ID do projeto que contém a regra de encaminhamento. |
| tipo | string | Tipo de balanceador de carga: APPLICATION_LOAD_BALANCER indica
um balanceador de carga de aplicativo interno. PROXY_NETWORK_LOAD_BALANCER indica um balanceador de carga de rede de proxy interno. |
| esquema | string | Esquema do balanceador de carga, INTERNAL_MANAGED. |
| url_map_name | string | Nome do mapa de URL. Preenchido apenas se o type
for APPLICATION_LOAD_BALANCER. |
| forwarding_rule_name | string | Nome da regra de encaminhamento. |
VpcDetails
| Campo | Tipo | Descrição |
|---|---|---|
| project_id | string | ID do projeto que contém a rede |
| vpc_name | string | Rede em que a VM está operando |
| subnetwork_name | string | Sub-rede em que a VM está operando |
GeographicDetails
| Campo | Tipo | Descrição |
|---|---|---|
| continent | string | Continente para endpoints externos |
| país | string | País para endpoints externos |
| região | string | Região para endpoints externos |
| cidade | string | Cidade para endpoints externos |
A seguir
- Para configurar a geração e a visualização de registros, consulte Usar a geração de registros de regras de firewall da VPC.
- Para ver insights sobre como suas regras de firewall estão sendo usadas, consulte Firewall Insights.
- Para armazenar, pesquisar, analisar, monitorar e alertar dados e eventos de registros, consulte Cloud Logging.
- Para rotear entradas de registro, consulte Rotear registros para destinos compatíveis.