Configura las políticas de seguridad perimetral de red

Las políticas de seguridad perimetral de red te permiten configurar reglas para permitir o bloquear el tráfico en el perímetro de la red de Google. Puedes configurar la seguridad perimetral de la red políticas para los siguientes tipos de frontend:

• Balanceadores de cargas de red de transferencia externos
• Reenvío de protocolos
• VM con direcciones IP públicas

Puedes usar las políticas de seguridad perimetral de red para filtrar por rangos de direcciones IP de origen y destino. de manera similar a la de Cloud Next Generation Firewall, pero sin consumir tus recursos. En además, una política de seguridad perimetral de red es el único tipo de política y compatibilidad con el filtrado de desplazamiento de bytes.

Configura reglas personalizadas para las políticas de seguridad perimetral de red

Al igual que las políticas de seguridad de backend y perímetro, las políticas de seguridad perimetral de red. En el siguiente ejemplo, se crea una red de seguridad perimetral, configura una regla personalizada para permitir el tráfico rango de direcciones IP de origen y adjuntar la política a tu servicio de backend.

Las políticas de seguridad perimetral de red admiten varios filtros de Google Cloud Armor, incluidos filtros únicos como el filtrado por desplazamiento de bytes. Para obtener más información qué funciones admiten las políticas de seguridad perimetral de red, consulta el Descripción general de la política de seguridad. Además, puedes implementar políticas de seguridad perimetral de red modo de vista previa.

Antes de continuar, debes inscribirse en Google Cloud Armor Enterprise y Configurar la protección avanzada contra DSD de red. No puedes usar reglas personalizadas para las políticas de seguridad perimetral de red sin un Suscripción a Cloud Armor Enterprise y protección avanzada contra DSD de red.

Para configurar reglas personalizadas, sigue estos pasos:

1. Crea una nueva política de seguridad perimetral de red con el nombre POLICY_NAME en la región REGION No usar la misma política de seguridad que usaste cuando habilitaste la protección avanzada contra DSD de red.

   gcloud compute security-policies create POLICY_NAME \
      --type=CLOUD_ARMOR_NETWORK \
      --region=REGION
   

2. Cambia la política regla predeterminada de allow a deny para bloquear el tráfico que no está permitido explícitamente por otras reglas.

   gcloud compute security-policies rules update 2147483647 \
      --security-policy=POLICY_NAME \
      --action=deny \
      --region=REGION
   

3. En la misma política de seguridad, agrega una regla con prioridad RULE_PRIORITY que permite solicitudes en la IP de origen rango de direcciones RANGE.

   gcloud compute security-policies rules create RULE_PRIORITY \
      --security-policy=POLICY_NAME \
      --network-src-ip-ranges=RANGE \
      --action=allow \
      --region=REGION
   

4. Asocia la política de seguridad a tu servicio de backend BACKEND_SERVICE_NAME.

   gcloud compute backend-services update BACKEND_SERVICE_NAME \
      --security-policy=POLICY_NAME \
      --region=REGION
   

   Como alternativa, puedes asociar la política de seguridad a una sola VM con el siguiente comando:

   gcloud beta compute instances network-interfaces update VM_NAME \
      --security-policy=POLICY_NAME \
      --security-policy-region=REGION \
      --network-interface=NETWORK_INTERFACE \
      --zone=ZONE_NAME
   

5. Opcional: Puedes verificar que la política de seguridad se adjuntó con el siguiente comando. Si se ejecuta de forma correcta, el campo securityPolicy en el resultado tenga un vínculo a tu recurso de política de seguridad.

   gcloud compute instances describe VM_NAME --zone=ZONE_NAME
   

Luego de crear el ejemplo anterior, puedes seguir agregando reglas a tu la política de seguridad perimetral de red con el comando security-policies rules update. Los campos admitidos para las políticas de seguridad perimetral de red son los siguientes:

Campo	Flag	Descripción
Dirección IP de origen	--network-src-ip-ranges	Direcciones IPv4/6 de origen o prefijos CIDR en formato de texto estándar.
Puertos de origen	--network-src-ports	Números de puerto de origen para TCP/UDP/SCTP. Cada elemento puede ser un (16 bits) un número específico (como “80”) o un rango (como “0-1023”)
Códigos regionales de origen	--network-src-region-codes	Es el código de país de dos letras (ISO 3166-1 alpha-2).
ASN de origen	--network-src-asns	Número del sistema autónomo de BGP de la dirección IP de origen.
Rangos de direcciones IP de destino	--network-dest-ip-ranges	Direcciones IPv4/6 de destino o prefijos CIDR, en texto estándar de un conjunto de datos tengan un formato común.
Puertos de destino	--network-dest-ports	Números de puerto de destino para TCP/UDP/SCTP. Cada elemento puede ser un (16 bits) (como "80") o un rango (como "0-1023")
Protocolos de direcciones IP	--network-ip-protocols	Protocolo IPv4 / encabezado IPv6 Next (después de los encabezados de extensión). Cada puede ser un número de 8 bits (como "6"), un rango (como "253-254") o uno de los siguientes nombres de protocolo: tcp udp icmp esp ah ipip sctp
Filtrado de desplazamiento de bytes	N/A	Consulta la siguiente sección.

Cuando usas la marca --network-src-region-codes con una seguridad perimetral de red puede usar los códigos regionales de los siguientes territorios sujetos a Sanciones integrales de EE.UU.:

territorios	Código asignado
Crimea	XC
La denominada República Popular de Donetsk (RPD) y la denominada República Popular de Luhansk (RPL)	XD

Configura el filtrado de desplazamiento de bytes

Si usas balanceadores de cargas de red de transferencia externos, reenvío de protocolos o VMs con IP públicas Google Cloud Armor puede realizar una inspección profunda de paquetes tráfico. Puedes configurar una regla de política de seguridad que coincida Valor de desplazamiento en bytes de TCP/UDP. Puedes configurar la regla para que aplique la acción de la regla Cuando el valor configurado está presente, o bien cuando está ausente.

En el siguiente ejemplo, se permite el tráfico cuando el valor está presente y se niega el resto del tráfico:

1. Crea una nueva política de seguridad perimetral de red. Puedes omitir este paso si tener una política de seguridad perimetral de red existente.

   gcloud compute security-policies create POLICY_NAME \
      --type=CLOUD_ARMOR_NETWORK \
      --region=REGION_NAME
   

2. Actualiza la política de seguridad perimetral de red para agregar campos definidos por el usuario mediante los siguientes parámetros:

   • Base: El valor puede ser IPv4, IPv6, TCP o UDP.
   • Desplazamiento: Desplazamiento del campo desde la base en bytes
   • Tamaño: El tamaño del campo en bytes (el valor máximo es 4).
   • Mask: Es la máscara de los bits en el campo que deben coincidir.

   Puedes usar hasta ocho campos definidos por el usuario por política. En el siguiente ejemplo, creas dos campos definidos por el usuario.

   gcloud compute security-policies add-user-defined-field POLICY_NAME \
      --user-defined-field-name=USER_DEFINED_FIELD_NAME_TCP \
      --base=TCP \
      --offset=OFFSET \
      --size=SIZE \
      --mask=MASK \
      --region=REGION_NAME
   

   gcloud compute security-policies add-user-defined-field POLICY_NAME \
      --user-defined-field-name=USER_DEFINED_FIELD_NAME_UDP \
      --base=UDP \
      --offset=OFFSET \
      --size=SIZE \
      --mask=MASK \
      --region=REGION_NAME
   

3. En la política de seguridad perimetral de red, agrega una regla con el mismo nombre de campo personalizado que usaste en el ejemplo anterior. Reemplazar VALUE1 y VALUE2 con valores que coincidan con el tráfico que que quieres permitir.

   gcloud compute security-policies rules create RULE_PRIORITY \
      --security-policy=POLICY_NAME \
      --network-user-defined-fields="USER_DEFINED_FIELD_NAME_TCP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1,VALUE2" \
      --action=allow \
      --region=REGION_NAME
   

4. Establece la regla predeterminada en tu política de seguridad perimetral de red como una regla de denegación. Puedes omitir este paso si la regla predeterminada en tu esta política ya es una regla de denegación.

   gcloud compute security-policies rules update 2147483647 \
      --security-policy=POLICY_NAME \
      --action=deny \
      --region=REGION_NAME
   

5. Asocia tu política de seguridad perimetral de red con el balanceador de cargas de red de transferencia externo servicio de backend.

   gcloud compute backend-services update BACKEND_SERVICE_NAME \
      --security-policy=POLICY_NAME \
      --region=REGION_NAME
   

Supervisión

Google Cloud Armor exporta las siguientes métricas a Cloud Monitoring para cada una de las reglas de la política de seguridad perimetral de red:

• packet_count
  • Blocked: Es un valor booleano que representa el resultado de allow o deny
    . acción de la regla
  • Count: Es el valor de packet_count que se incrementa una vez para cada uno. 10,000 paquetes, por ejemplo, un valor packet_count de 5 significa que al menos 50,000 paquetes coincidan con tu regla
• preview_packet_count: Es igual que packet_count, que se usa para las reglas en la vista previa. modo

Para ver las métricas de las políticas de seguridad perimetral de red, primero debes habilitar el API de Network Security (networksecurity.googleapis.com). Este permiso se incluye en el Rol de administrador de seguridad de Compute (roles/compute.securityAdmin). Después de habilitar la API de Network Security, Puedes ver las métricas de Monitoring en la consola de Google Cloud.

Ir a Monitoring