La journalisation des règles de pare-feu vous permet de réaliser des audits, des vérifications et des analyses sur les effets de ces règles. Par exemple, vous pouvez déterminer si une règle de pare-feu conçue pour refuser le trafic fonctionne comme prévu. La journalisation des règles de pare-feu est également utile si vous devez déterminer le nombre de connexions affectées par une règle de pare-feu donnée.
Vous activez la journalisation des règles de pare-feu individuellement pour chaque règle de pare-feu dont vous souhaitez journaliser les connexions. Cette option est disponible pour toute règle de pare-feu, indépendamment de l'action de la règle (autorisation (allow) ou refus (deny)) et de la direction du trafic visé (entrée ou sortie).
La journalisation des règles de pare-feu consigne le trafic vers et depuis les instances de machine virtuelle (VM) Compute Engine. Cela inclut les produits Trusted Cloud by S3NS basés sur des VM Compute Engine, tels que les clusters Google Kubernetes Engine (GKE) et les instances de l'environnement flexible App Engine.
Lorsque vous activez la journalisation pour une règle de pare-feu, Trusted Cloud by S3NS crée une entrée appelée enregistrement de connexion chaque fois que la règle autorise ou refuse du trafic. Vous pouvez consulter ces enregistrements dans Cloud Logging et exporter les journaux vers n'importe quelle destination compatible avec l'exportation Cloud Logging.
Chaque enregistrement de connexion contient les adresses IP source et de destination, le protocole et les ports, la date et l'heure, ainsi qu'une référence à la règle de pare-feu appliquée au trafic.
La journalisation des règles de pare-feu est disponible pour les règles de pare-feu VPC et les stratégies de pare-feu hiérarchiques.
Pour en savoir plus sur l'affichage des journaux, reportez-vous à la page Utiliser la journalisation des règles de pare-feu.
Spécifications
La journalisation des règles de pare-feu obéit aux spécifications suivantes :
La journalisation des règles de pare-feu peut être activée pour les éléments suivants :
Règles de pare-feu dans les stratégies de pare-feu hiérarchiques, les stratégies de pare-feu réseau mondiales et les stratégies de pare-feu réseau régionales associées à un réseau VPC standard.
Règles de pare-feu VPC dans un réseau VPC standard.
Règles de pare-feu dans les stratégies de pare-feu réseau régionales associées à un réseau VPC RoCE.
La journalisation des règles de pare-feu n'est pas compatible avec les éléments suivants :
Règles de pare-feu VPC dans les anciens réseaux.
Règles implicites d'entrée refusée et de sortie autorisée d'un réseau VPC standard.
Règles d'entrée et de sortie autorisées implicites d'un réseau VPC RoCE.
La journalisation des règles de pare-feu n'enregistre que les connexions TCP et UDP. Bien que vous puissiez créer une règle de pare-feu applicable à d'autres protocoles, vous ne pouvez pas enregistrer les connexions correspondantes.
Les entrées de journal sont écrites du point de vue des VM. Elles ne sont créées que si la journalisation est activée pour la règle de pare-feu et si cette règle s'applique au trafic envoyé à la VM ou émis par celle-ci. Les entrées sont créées en fonction des limites de journalisation des connexions, suivant un principe d'optimisation.
Nombre de connexions que la journalisation des règles de pare-feu peut enregistrer par unité de temps :
Basé sur le type de machine pour les réseaux VPC standards.
Dépend de l'action de surveillance ou de journalisation de la règle de pare-feu pour les réseaux VPC RoCE.
Vous pouvez consulter les modifications apportées aux règles de pare-feu dans les journaux d'audit VPC.
Format des journaux de pare-feu
Conformément aux spécifications, une entrée de journal est créée dans Cloud Logging pour chaque règle de pare-feu pour laquelle la journalisation est activée, du moment que cette règle s'applique au trafic entrant ou sortant d'une instance de VM. Les enregistrements de journal sont inclus dans le champ de charge utile JSON d'un objet Logging LogEntry.
Les enregistrements de journal contiennent des champs de base, qui constituent les principaux champs de chaque enregistrement de journal, ainsi que des champs de métadonnées qui ajoutent des informations supplémentaires. Vous pouvez déterminer si les champs de métadonnées sont inclus. Si vous les omettez, vous pouvez économiser sur les coûts de stockage.
Certains champs de journal acceptent des valeurs qui sont également des champs. Ces champs peuvent contenir plusieurs données dans un champ donné. Par exemple, le champ connection est au format IpConnection, qui contient l'adresse IP et les ports sources et de destination ainsi que le protocole, dans un seul champ. Ces champs sont décrits dans les tableaux ci-dessous.
| Champ | Description | Type de champ : métadonnées de base ou facultatives |
|---|---|---|
| connexion | IpConnection Hachage à cinq tuples décrivant les adresses IP source et de destination, les ports source et de destination, ainsi que le protocole IP de cette connexion. |
Base |
| disposition | string Indique si la connexion a été autorisée ( ALLOWED) ou refusée (DENIED). |
Base |
| rule_details | RuleDetails Détails de la règle appliquée à cette connexion. |
|
Champ rule_details.reference |
Base | |
| Autres champs de détails de la règle | Métadonnées | |
| instance | InstanceDetails Détails de l'instance de VM. Dans une configuration de VPC partagé, project_id correspond à l'identifiant du projet de service. |
Métadonnées |
| vpc | VpcDetails Détails du réseau VPC. Dans une configuration de VPC partagé, project_id correspond à l'ID du projet hôte. |
Métadonnées |
| remote_instance | InstanceDetails Si le point de terminaison distant de la connexion était une VM hébergée dans Compute Engine, ce champ contient les détails de l'instance de VM. |
Métadonnées |
| remote_vpc | VpcDetails Si le point de terminaison distant de la connexion était une VM hébergée sur un réseau VPC, ce champ contient les détails du réseau. |
Métadonnées |
| remote_location | GeographicDetails Si le point de terminaison distant de la connexion était externe au réseau VPC, ce champ contient les métadonnées disponibles concernant son emplacement. |
Métadonnées |
IpConnection
| Champ | Type | Description |
|---|---|---|
| src_ip | chaîne | Adresse IP source. Si la source est une VM Compute Engine, src_ip est l'adresse IP interne principale ou une adresse dans une plage d'adresses IP d'alias de l'interface réseau de la VM. L'adresse IP externe n'est pas affichée. La journalisation affiche l'adresse IP de la VM telle qu'elle est vue par la VM dans l'en-tête du paquet, de la même manière que si vous réalisiez un vidage TCP sur la VM. |
| src_port | entier | Port source |
| dest_ip | chaîne | Adresse IP de destination. Si la destination est une VM Trusted Cloud , dest_ip est l'adresse IP interne principale ou une adresse dans une plage d'adresses IP d'alias de l'interface réseau de la VM. L'adresse IP externe ne s'affiche pas, même si elle a été utilisée pour établir la connexion. |
| dest_port | entier | Port de destination |
| protocol | entier | Protocole IP de la connexion. |
RuleDetails
| Champ | Type | Description |
|---|---|---|
| référence | chaîne | Référence à la règle de pare-feu, au format :"network:{network name}/firewall:{firewall_name}" |
| priorité | entier | Priorité de la règle de pare-feu. |
| action | chaîne | ALLOW ou DENY. |
| source_range[ ] | chaîne | Liste des plages d'adresses sources auxquelles la règle de pare-feu s'applique. |
| destination_range[ ] | chaîne | Liste des plages d'adresses de destination auxquelles la règle de pare-feu s'applique. |
| ip_port_info[ ] | IpPortDetails | Liste des protocoles IP et des plages de ports applicables pour les règles. |
| direction | chaîne | Direction dans laquelle la règle de pare-feu s'applique (entrée ou sortie). |
| source_tag[ ] | chaîne | Liste de tous les tags sources auxquels la règle de pare-feu s'applique. |
| target_tag[ ] | chaîne | Liste de tous les tags cibles auxquels la règle de pare-feu s'applique. |
| source_service_account[ ] | chaîne | Liste de tous les comptes de service sources auxquels la règle de pare-feu s'applique. |
| target_service_account[ ] | chaîne | Liste de tous les comptes de service cibles auxquels la règle de pare-feu s'applique. |
| source_region_code[ ] | chaîne | Liste de tous les codes pays sources auxquels la règle de pare-feu s'applique. |
| destination_region_code[ ] | chaîne | Liste de tous les codes pays de destination auxquels la règle de pare-feu s'applique. |
| source_fqdn[ ] | chaîne | Liste de tous les noms de domaine sources auxquels la règle de pare-feu s'applique. |
| destination_fqdn[ ] | chaîne | Liste de tous les noms de domaine de destination auxquels la règle de pare-feu s'applique. |
| source_address_groups[ ] | chaîne | Liste de tous les groupes d'adresses sources auxquels la règle de pare-feu s'applique. |
| destination_address_groups[ ] | chaîne | Liste de tous les groupes d'adresses de destination auxquels la règle de pare-feu s'applique. |
IpPortDetails
| Champ | Type | Description |
|---|---|---|
| ip_protocol | chaîne | Protocole IP auquel la règle de pare-feu s'applique. Valeur "ALL" si la règle s'applique à tous les protocoles. |
| port_range[ ] | chaîne | Liste des plages de ports auxquels les règles doivent s'appliquer, par exemple 8080-9090. |
InstanceDetails
| Champ | Type | Description |
|---|---|---|
| project_id | chaîne | ID du projet contenant la VM |
| vm_name | chaîne | Nom d'instance de la VM |
| région | chaîne | Région de la VM |
| zone | chaîne | Zone de la VM |
VpcDetails
| Champ | Type | Description |
|---|---|---|
| project_id | chaîne | ID du projet hébergeant le réseau. |
| vpc_name | chaîne | Réseau sur lequel opère la VM. |
| subnetwork_name | chaîne | Sous-réseau sur lequel opère la VM. |
GeographicDetails
| Champ | Type | Description |
|---|---|---|
| continent | chaîne | Continent des points de terminaison externes |
| pays | chaîne | Pays des points de terminaison externes |
| région | chaîne | Région des points de terminaison externes |
| ville | chaîne | Ville des points de terminaison externes |
Étapes suivantes
- Consultez la page Utiliser la journalisation des règles de pare-feu pour découvrir comment configurer la journalisation et afficher les journaux.
- Pour obtenir des insights sur l'utilisation de vos règles de pare-feu, consultez Firewall Insights.
- Consultez la page consacrée à Cloud Logging pour découvrir comment stocker, interroger, analyser, surveiller les événements et les données de journalisation, et créer des alertes les concernant.
- Consultez la page Configurer et gérer les récepteurs pour découvrir comment acheminer des entrées de journal.