Las métricas de Firewall Insights te permiten analizar cómo se usan tus reglas de cortafuegos. Puedes ver las métricas mediante Cloud Monitoring y la Google Cloud consola.
Las siguientes métricas te ayudan a monitorizar el uso del cortafuegos:
- Las métricas de recuento de coincidencias de cortafuegos muestran el número de veces que se ha usado una regla de cortafuegos para permitir o denegar el tráfico.
- Las métricas de último uso del cortafuegos muestran la última vez que se usó una regla de cortafuegos concreta para permitir o denegar el tráfico.
Ten en cuenta los siguientes aspectos sobre las métricas de Firewall Insights:
- Las métricas se derivan del almacenamiento de registros de reglas de cortafuegos.
- Las métricas solo están disponibles para las reglas que tienen habilitada la función Almacenamiento de registros de reglas de cortafuegos y solo son precisas durante el periodo en el que esta función está habilitada.
- Las métricas de cortafuegos solo se generan para el tráfico que cumple las especificaciones de la función de registro de reglas de cortafuegos. Por ejemplo, los datos se registran y las métricas se generan solo para el tráfico TCP y UDP. Para ver una lista completa de los criterios, consulta las especificaciones en la descripción general del almacenamiento de registros de reglas de cortafuegos.
Puedes crear consultas arbitrarias sobre las métricas de Estadísticas de firewall mediante el método de solicitud projects.timeSeries.list en la documentación de la versión 3 de la API de Cloud Monitoring.
Firewall Insights recoge datos de métricas sobre la última vez que se aplicó una regla de cortafuegos para permitir o denegar el tráfico (marca de tiempo) y sobre el número de coincidencias de una regla de cortafuegos durante el periodo de conservación.
firewallinsights.googleapis.com/subnet/firewall_hit_countfirewallinsights.googleapis.com/subnet/firewall_last_used_timestampfirewallinsights.googleapis.com/vm/firewall_hit_countfirewallinsights.googleapis.com/vm/firewall_last_used_timestamp
La métrica para hacer un seguimiento del número de aciertos del cortafuegos se define por instancia de máquina virtual (VM) y por subred de nube privada virtual (VPC).
Las métricas por instancia (máquina virtual) proporcionan información sobre el recuento de aciertos y la marca de tiempo del último uso de la interfaz de red de una máquina virtual. Las métricas por subred proporcionan información sobre el número de coincidencias de reglas de cortafuegos concretas.
Utiliza los siguientes recursos para acceder a los datos de métricas de Firewall Insights:
- Consulta las métricas de Firewall Insights en la página Google Cloud Métricas.
- Para obtener una descripción general de las métricas, las series temporales y los recursos, consulta el modelo de métricas en la documentación de la API de Cloud Monitoring versión 3.
- Para obtener información sobre cómo leer estas métricas, consulte Leer datos de métricas.
Roles y permisos necesarios
Para obtener el permiso que necesitas para gestionar y exportar estadísticas, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu proyecto:
-
Administrador del recomendador de cortafuegos (
roles/recommender.firewallAdmin) -
Lector del recomendador de cortafuegos (
roles/recommender.firewallViewer)
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene el permiso recommender.computeFirewallInsights.list
, que es necesario para gestionar y exportar estadísticas.
También puedes obtener este permiso con roles personalizados u otros roles predefinidos.
Ver métricas de recuento de aciertos de cortafuegos
La métrica firewall_hit_count registra el número de veces que se usa una regla de cortafuegos para permitir o denegar el tráfico.
En el caso de cada regla de cortafuegos, Cloud Monitoring almacena datos de la métrica firewall_hit_count solo si la regla ha recibido hits debido al tráfico TCP o UDP. Es decir, Cloud Monitoring no almacena datos sobre las reglas que no han tenido coincidencias.
Puede ver los datos derivados de esta métrica en la página Políticas de firewall de la consola de Google Cloud .
Es posible que los datos de la página Cortafuegos no sean idénticos a los firewall_hit_count
datos de métricas almacenados en Cloud Monitoring. Cloud Monitoring no identifica explícitamente las reglas sin coincidencias. Por ejemplo, la Google Cloud consola muestra un recuento de aciertos cero
aunque Cloud Monitoring no registre ningún acierto. Puedes ver esta diferencia en las reglas de cortafuegos que están configuradas para permitir o denegar tráfico TCP, UDP, ICMP o de cualquier otro tipo.
Este comportamiento es diferente al del allow rules with no hitsinsight.
Cuando este dato valioso identifica reglas de cortafuegos sin coincidencias, omite las reglas de cortafuegos que están configuradas para permitir tráfico distinto de TCP o UDP, aunque esas reglas también permitan tráfico TCP o UDP.
Ver las métricas de último uso del cortafuegos
Con el explorador de métricas de Cloud Monitoring, puede ver la última vez que se usó una regla de firewall concreta para permitir o denegar el tráfico. Para ello, consulte la métrica firewall_last_used_timestamp. Esta métrica le ayuda a identificar las reglas de cortafuegos que no se han usado recientemente.
En la página Políticas de cortafuegos de la consola Google Cloud , puedes ver cuándo usaste por última vez una regla de cortafuegos en las últimas seis semanas o durante el periodo en el que el registro de reglas de cortafuegos ha estado habilitado, lo que sea menor. Si la última coincidencia se produjo antes de las últimas seis semanas o antes de que se habilitara el registro de reglas de cortafuegos, la hora last hit se muestra como —.
Frecuencia de los informes y conservación
La métrica firewall rule hit count se exporta a Monitoring cada minuto. Los datos de monitorización se conservan durante seis semanas. Puede analizar cualquier intervalo de tiempo de las seis semanas anteriores en intervalos de un minuto.
Filtrado y agregación
En el caso de cada regla de cortafuegos, si agregas el número de aciertos de las instancias de VM, puedes observar el número de aciertos general que se acumula en todo el tráfico que fluye por tu red de VPC.
Por ejemplo, consulta cómo detectar aumentos repentinos en el número de coincidencias de las reglas de cortafuegosdeny.
Usar paneles de control y alertas de Monitoring
Puede usar los paneles de control de Monitoring y sus gráficos asociados para visualizar los datos de las métricas de Estadísticas de firewall descritas en las secciones anteriores.
Para monitorizar estas métricas en Monitoring, puede crear paneles de control personalizados. También puede añadir alertas basadas en estas métricas.