Il logging delle regole firewall di VPC consente di controllare, verificare e analizzare gli effetti delle regole firewall. Ad esempio, puoi determinare se una regola firewall progettata per negare il traffico funziona come previsto. Il logging delle regole firewall VPC è utile anche se devi determinare quante connessioni sono interessate da una determinata regola firewall.
Attiva la registrazione delle regole firewall VPC singolarmente per ogni regola firewall
le cui connessioni devi registrare. Il logging delle regole firewall VPC è un'opzione
per qualsiasi regola firewall, indipendentemente dall'azione (allow o deny) o dalla direzione
(in entrata o in uscita) della regola.
Il logging delle regole firewall VPC registra il traffico da e verso le istanze di macchine virtuali (VM) di Compute Engine. Sono inclusi i prodotti basati su VM di Compute Engine, come i cluster Google Kubernetes Engine (GKE) e le istanze dell'ambiente flessibile di App Engine. Cloud de Confiance by S3NS
Quando abiliti la registrazione per una regola firewall, Cloud de Confiance by S3NS crea una voce chiamata record di connessione ogni volta che la regola consente o nega il traffico. Puoi visualizzare questi record in Cloud Logging ed esportare i log in qualsiasi destinazione supportata dalle funzionalità di esportazione di Cloud Logging.
Ogni record di connessione contiene gli indirizzi IP di origine e di destinazione, il protocollo e le porte, la data e l'ora e un riferimento alla regola firewall che è stata applicata al traffico.
La registrazione delle regole firewall VPC è disponibile sia per le regole firewall VPC sia per le policy firewall gerarchiche.
Per informazioni sulla visualizzazione dei log, consulta Utilizzare il logging delle regole firewall VPC.
Specifiche
La registrazione delle regole firewall VPC ha le seguenti specifiche:
Il logging delle regole firewall VPC può essere attivato per quanto segue:
Regole firewall nelle policy firewall gerarchiche, nelle policy firewall di sistema regionali, nelle policy firewall di rete globali e nelle policy firewall di rete regionali associate a una rete VPC normale.
Regole firewall VPC in una rete VPC normale.
Regole firewall nelle policy del firewall di rete regionali associate a una rete VPC RoCE.
La registrazione delle regole firewall VPC non supporta quanto segue:
Regole firewall VPC nelle reti legacy.
Regole implicite di negazione del traffico in entrata e di consenso del traffico in uscita di una rete VPC standard.
Regole in entrata e in uscita implicite di una rete VPC RoCE.
Il logging delle regole firewall VPC registra solo le connessioni TCP e UDP. Anche se puoi creare una regola firewall che si applichi ad altri protocolli, non puoi registrare le loro connessioni.
Le voci di log vengono scritte dal punto di vista delle VM. Le voci di log vengono create solo se una regola firewall ha la registrazione abilitata e se la regola si applica al traffico inviato alla VM o proveniente dalla VM. Le voci vengono create in base ai limiti di logging delle connessioni secondo il criterio del best effort.
La registrazione delle regole firewall VPC crea una voce di log solo quando viene stabilita una connessione. Non registra tutti i pacchetti. Una voce di connessione UDP rimane attiva finché i pacchetti vengono scambiati almeno una volta ogni 10 minuti. Ogni pacchetto in entrata o in uscita successivo reimposta il timer di inattività, estendendo la connessione per altri 10 minuti. Di conseguenza, un flusso costante di traffico UDP genera una sola voce di log per l'intera durata. Se hai bisogno di una visibilità continua nei flussi attivi e di lunga durata senza periodi di inattività, utilizza i log di flusso VPC.
Il numero di connessioni che la registrazione delle regole firewall VPC può registrare per unità di tempo:
È basata sul tipo di macchina per le reti VPC standard.
Dipende dall'azione di monitoraggio o logging della regola firewall per le reti VPC RoCE.
Le modifiche alle regole firewall possono essere visualizzate nei log di controllo VPC.
Limitazioni
Quando utilizzi l'azione
apply_security_profile_groupcon il logging abilitato, Cloud NGFW non acquisisce i log di tutte le sessioni. Questa limitazione non influisce sull'ispezione o sull'intercettazione del traffico.Se abiliti la registrazione per una regola firewall che corrisponde a connessioni TCP o UDP esistenti, le voci di log non vengono generate per queste connessioni attive. Il logging per queste connessioni inizia solo dopo che sono rimaste inattive per almeno 10 minuti.
Formato dei log del firewall
In base alle specifiche, in Cloud Logging viene creato un voce di log per ogni regola firewall per cui è abilitata la registrazione se la regola si applica al traffico da o verso un'istanza VM. I record di log sono inclusi nel campo del payload JSON di una LogEntry di Logging.
I record di log contengono campi di base, che sono i campi principali di ogni record di log, e campi di metadati che aggiungono informazioni aggiuntive. Puoi controllare se includere i campi dei metadati. Se li ometti, puoi risparmiare sui costi di archiviazione.
Alcuni campi dei log supportano valori che sono anche campi. Questi campi possono contenere più di un dato in un determinato campo. Ad esempio, il campo connection è in formato IpConnection, che contiene l'indirizzo IP e la porta di origine e di destinazione, oltre al protocollo, in un unico campo. Questi campi sono
descritti nelle tabelle seguenti.
| Campo | Descrizione | Tipo di campo: metadati di base o facoltativi |
|---|---|---|
| connessione | IpConnection 5 tuple che descrivono l'indirizzo IP di origine e di destinazione, la porta di origine e di destinazione e il protocollo IP di questa connessione. |
Livelli |
| disposizione | string Indica se la connessione è stata ALLOWED o
DENIED. |
Livelli |
| rule_details | RuleDetails Dettagli della regola applicata a questa connessione. |
|
Campo rule_details.reference |
Livelli | |
| Altri campi dei dettagli delle regole | Metadati | |
| istanza | InstanceDetails Dettagli dell'istanza VM. In una configurazione del VPC condiviso, project_id corrisponde a quello del progetto di servizio. |
Metadati |
| load_balancer_details | LoadBalancingDetails Dettagli del bilanciatore del carico delle applicazioni interno o del bilanciatore del carico di rete proxy interno a cui si applica la regola firewall. Quando la destinazione di una regola firewall è uno di questi bilanciatori del carico, il campo instance viene omesso. |
Metadati |
| vpc | VpcDetails Dettagli rete VPC. In una configurazione del VPC condiviso, project_id corrisponde a quello del progetto host. |
Metadati |
| remote_instance | InstanceDetails Se l'endpoint remoto della connessione era una VM situata in Compute Engine, questo campo viene compilato con i dettagli dell'istanza VM. |
Metadati |
| remote_vpc | VpcDetails Se l'endpoint remoto della connessione era una VM che si trova in una rete VPC, questo campo viene compilato con i dettagli della rete. |
Metadati |
| remote_location | GeographicDetails Se l'endpoint remoto della connessione era esterno alla rete VPC, questo campo viene compilato con i metadati di località disponibili. |
Metadati |
IpConnection
| Campo | Tipo | Descrizione |
|---|---|---|
| src_ip | string | Indirizzo IP di origine. Se l'origine è una VM di Compute Engine,
src_ip è l'indirizzo IP interno primario o un indirizzo
in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno
non viene mostrato. La registrazione mostra l'indirizzo IP della VM come
la VM lo vede nell'intestazione del pacchetto, lo stesso che se eseguissi TCP dump sulla VM. |
| src_port | integer | Porta di origine |
| dest_ip | string | Indirizzo IP di destinazione. Se la destinazione è una VM, Cloud de Confiance dest_ip è l'indirizzo IP interno primario o un indirizzo in un intervallo IP alias dell'interfaccia di rete della VM. L'indirizzo IP esterno non viene mostrato anche se è stato utilizzato per stabilire la connessione. |
| dest_port | integer | Porta di destinazione |
| protocollo | integer | Protocollo IP della connessione |
RuleDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| riferimento | string | Riferimento alla regola firewall; formato:"network:{network name}/firewall:{firewall_name}" |
| priorità | integer | La priorità della regola firewall. |
| azione | string | ALLOW o DENY |
| source_range[ ] | string | Elenco degli intervalli di origine a cui si applica la regola firewall. |
| destination_range[ ] | string | Elenco degli intervalli di destinazione a cui si applica la regola firewall. |
| ip_port_info[ ] | IpPortDetails | Elenco dei protocolli IP e degli intervalli di porte applicabili per le regole. |
| direction | string | La direzione a cui si applica la regola firewall (in entrata o in uscita). |
| source_tag[ ] | string | Elenco di tutti i tag di origine a cui si applica la regola firewall. |
| target_tag[ ] | string | Elenco di tutti i tag di destinazione a cui si applica la regola firewall. |
| source_service_account[ ] | string | Elenco di tutti i service account di origine a cui si applica la regola firewall. |
| target_service_account[ ] | string | Elenco di tutti gli account di servizio di destinazione a cui si applica la regola firewall. |
| source_region_code[ ] | string | Elenco di tutti i codici paese di origine a cui si applica la regola firewall. |
| destination_region_code[ ] | string | Elenco di tutti i codici paese di destinazione a cui si applica la regola firewall. |
| source_fqdn[ ] | string | Elenco di tutti i nomi di dominio di origine a cui si applica la regola firewall. |
| destination_fqdn[ ] | string | Elenco di tutti i nomi di dominio di destinazione a cui si applica la regola firewall. |
| source_address_groups[ ] | string | Elenco di tutti i gruppi di indirizzi di origine a cui si applica la regola firewall. |
| destination_address_groups[ ] | string | Elenco di tutti i gruppi di indirizzi di destinazione a cui si applica la regola firewall. |
IpPortDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| ip_protocol | string | Protocollo IP a cui si applica la regola firewall. "ALL" se si applica a tutti i protocolli. |
| port_range[ ] | string | Elenco degli intervalli di porte applicabili per le regole, ad esempio 8080-9090. |
InstanceDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| project_id | string | ID del progetto contenente la VM |
| vm_name | string | Nome istanza della VM |
| regione | string | Regione della VM |
| zona | string | Zona della VM |
LoadBalancingDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| forwarding_rule_project_id | string | ID progettoCloud de Confiance by S3NS che contiene la regola di forwarding. |
| tipo | string | Tipo di bilanciatore del carico: APPLICATION_LOAD_BALANCER indica
un bilanciatore del carico delle applicazioni interno. PROXY_NETWORK_LOAD_BALANCER indica un
bilanciatore del carico di rete proxy interno. |
| schema | string | Schema del bilanciatore del carico, INTERNAL_MANAGED. |
| url_map_name | string | Nome della mappa URL. Compilato solo se type
è APPLICATION_LOAD_BALANCER. |
| forwarding_rule_name | string | Il nome della regola di forwarding. |
VpcDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| project_id | string | ID del progetto contenente la rete |
| vpc_name | string | Rete su cui opera la VM |
| subnetwork_name | string | La subnet su cui opera la VM |
GeographicDetails
| Campo | Tipo | Descrizione |
|---|---|---|
| continent | string | Continente per gli endpoint esterni |
| country | string | Paese per gli endpoint esterni |
| regione | string | Regione per gli endpoint esterni |
| city | string | Città per gli endpoint esterni |
Passaggi successivi
- Per configurare la registrazione e visualizzare i log, consulta Utilizzare il logging delle regole firewall VPC.
- Per ottenere informazioni sull'utilizzo delle regole firewall, consulta Firewall Insights.
- Per archiviare, cercare, analizzare, monitorare e creare avvisi su dati ed eventi di log, consulta Cloud Logging.
- Per instradare le voci di log, consulta Instrada i log verso destinazioni supportate.