I criteri di sicurezza perimetrale della rete consentono di configurare regole per consentire o bloccare il traffico sul perimetro della rete Google. Puoi configurare la sicurezza perimetrale della rete per i seguenti tipi di frontend:
- Bilanciatori del carico di rete passthrough esterni
- Forwarding del protocollo
- VM con indirizzi IP pubblici
Puoi utilizzare i criteri di sicurezza perimetrale della rete per filtrare in base agli intervalli di indirizzi IP di origine e di destinazione in modo simile a Cloud Next Generation Firewall, ma senza consumare le tue risorse. Nel Inoltre, un criterio di sicurezza perimetrale della rete è l'unico tipo di criterio di sicurezza con il supporto del filtro degli offset di byte.
Configura regole personalizzate per i criteri di sicurezza sul perimetro della rete
Come per i criteri di sicurezza perimetrale e backend, puoi configurare regole personalizzate criteri di sicurezza perimetrale della rete. Nell'esempio seguente, crei una rete un criterio di sicurezza perimetrale configura una regola personalizzata per consentire il traffico solo da un di indirizzi IP di origine e collegare il criterio al servizio di backend.
I criteri di sicurezza perimetrale della rete supportano diversi filtri Google Cloud Armor, inclusi filtri univoci come il filtro offset di byte. Per ulteriori informazioni le funzionalità supportate dai criteri di sicurezza perimetrale della rete, panoramica delle norme di sicurezza. Inoltre, puoi eseguire il deployment dei criteri di sicurezza perimetrale della rete modalità anteprima.
Prima di procedere, devi registrati in Google Cloud Armor Enterprise e configurare la protezione DDoS avanzata sulla rete. Non puoi utilizzare regole personalizzate per i criteri di sicurezza perimetrale della rete senza un Abbonamento a Cloud Armor Enterprise e protezione DDoS di rete avanzata.
Per configurare regole personalizzate:
Crea un nuovo criterio di sicurezza perimetrale della rete con il nome
POLICY_NAMEnella regioneREGION. Non usare lo stesso criterio di sicurezza utilizzata per attivare la protezione DDoS di rete avanzata.gcloud compute security-policies create POLICY_NAME \ --type=CLOUD_ARMOR_NETWORK \ --region=REGION
Modifica il criterio regola predefinita da Da
allowadenyper bloccare il traffico non consentito esplicitamente da altre regole.gcloud compute security-policies rules update 2147483647 \ --security-policy=POLICY_NAME \ --action=deny \ --region=REGION
Nello stesso criterio di sicurezza, aggiungi una regola prioritaria
RULE_PRIORITYche consente le richieste nell'IP di origine intervallo di indirizziRANGE.gcloud compute security-policies rules create RULE_PRIORITY \ --security-policy=POLICY_NAME \ --network-src-ip-ranges=RANGE \ --action=allow \ --region=REGION
Associa il criterio di sicurezza al servizio di backend
BACKEND_SERVICE_NAME.gcloud compute backend-services update BACKEND_SERVICE_NAME \ --security-policy=POLICY_NAME \ --region=REGION
In alternativa, puoi associare il criterio di sicurezza a una singola VM utilizzando il comando seguente:
gcloud beta compute instances network-interfaces update VM_NAME \ --security-policy=POLICY_NAME \ --security-policy-region=REGION \ --network-interface=NETWORK_INTERFACE \ --zone=ZONE_NAME
(Facoltativo) Puoi verificare che il criterio di sicurezza sia collegato utilizzando il metodo . In caso di esito positivo, il campo
securityPolicynell'output include un link alla risorsa del criterio di sicurezza.gcloud compute instances describe VM_NAME --zone=ZONE_NAME
Dopo aver creato l'esempio precedente, puoi continuare ad aggiungere regole al tuo
criterio di sicurezza perimetrale della rete usando il comando security-policies rules update.
I campi supportati per i criteri di sicurezza perimetrale della rete sono i seguenti:
| Campo | Bandiera | Descrizione |
|---|---|---|
| Indirizzo IP di origine | --network-src-ip-ranges |
Indirizzi IPv4/6 di origine o prefissi CIDR in formato di testo standard. |
| Porte di origine | --network-src-ports |
Numeri di porte di origine per TCP/UDP/SCTP. Ogni elemento può essere un file numero (ad es. "80") o intervallo (ad es. "0-1023"). |
| Codici regione di origine | --network-src-region-codes |
Codice paese di due lettere (ISO 3166-1 alpha-2). |
| ASN di origine | --network-src-asns |
Numero di sistema autonomo BGP dell'indirizzo IP di origine. |
| Intervalli di indirizzi IP di destinazione | --network-dest-ip-ranges |
Indirizzi IPv4/6 di destinazione o prefissi CIDR in testo standard formato. |
| Porte di destinazione | --network-dest-ports |
Numeri di porte di destinazione per TCP/UDP/SCTP. Ogni elemento può essere un numero (ad es. "80") o intervallo (ad es. "0-1023"). |
| Protocolli degli indirizzi IP | --network-ip-protocols |
Intestazione successiva del protocollo IPv4 / IPv6 (dopo le intestazioni delle estensioni). Ciascuna
può essere un numero a 8 bit (come "6"), un intervallo (come "253-254") o
uno dei seguenti nomi di protocollo:
|
| Filtro di offset di byte | N/D | Consulta la sezione che segue. |
Quando utilizzi il flag --network-src-region-codes con una sicurezza perimetrale della rete
puoi utilizzare i codici regione per i seguenti territori in conformità alle
sanzioni complete negli Stati Uniti:
| Territori | Codice assegnato |
|---|---|
| Crimea | XC |
| La cosiddetta Repubblica popolare di Donetsk (DNR) e la cosiddetta Repubblica popolare di Lugansk (LNR) |
XD |
Configurazione del filtro per l'offset di byte
Se utilizzi bilanciatori del carico di rete passthrough esterni, il forwarding del protocollo o VM con IP pubblico indirizzi IP, Google Cloud Armor può eseguire un'ispezione approfondita dei pacchetti per via del traffico. Puoi configurare una regola del criterio di sicurezza che corrisponda a una Valore di offset di byte TCP/UDP. Puoi configurare la regola per applicare l'azione corrispondente quando il valore configurato è presente o, in alternativa, quando è assente.
L'esempio seguente consente il traffico quando il valore è presente e nega tutto il resto del traffico:
Crea un nuovo criterio di sicurezza perimetrale della rete. Puoi saltare questo passaggio se un criterio di sicurezza perimetrale della rete esistente.
gcloud compute security-policies create POLICY_NAME \ --type=CLOUD_ARMOR_NETWORK \ --region=REGION_NAME
Aggiorna il criterio di sicurezza perimetrale della rete per aggiungere campi definiti dall'utente utilizzando i seguenti parametri:
- Base: il valore può essere
IPv4,IPv6,TCPoUDP - Offset: offset del campo dalla base in byte
- Dimensioni: dimensione del campo in byte (il valore massimo è
4) - Maschera: la maschera per i bit nel campo da abbinare
Puoi utilizzare fino a otto campi definiti dall'utente per criterio. Nell'esempio seguente, crei due campi definiti dall'utente.
gcloud compute security-policies add-user-defined-field POLICY_NAME \ --user-defined-field-name=USER_DEFINED_FIELD_NAME_TCP \ --base=TCP \ --offset=OFFSET \ --size=SIZE \ --mask=MASK \ --region=REGION_NAME
gcloud compute security-policies add-user-defined-field POLICY_NAME \ --user-defined-field-name=USER_DEFINED_FIELD_NAME_UDP \ --base=UDP \ --offset=OFFSET \ --size=SIZE \ --mask=MASK \ --region=REGION_NAME
- Base: il valore può essere
Nel criterio di sicurezza perimetrale della rete, aggiungi una regola con lo stesso nome di campo personalizzato che hai utilizzato nell'esempio precedente. Sostituisci
VALUE1eVALUE2con valori corrispondenti al traffico che che vuoi consentire.gcloud compute security-policies rules create RULE_PRIORITY \ --security-policy=POLICY_NAME \ --network-user-defined-fields="USER_DEFINED_FIELD_NAME_TCP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1:VALUE2,USER_DEFINED_FIELD_NAME_UDP;VALUE1,VALUE2" \ --action=allow \ --region=REGION_NAME
Imposta la regola predefinita nel criterio di sicurezza perimetrale della rete su di negazione. Puoi saltare questo passaggio se la regola predefinita nel tuo è già una regola di negazione.
gcloud compute security-policies rules update 2147483647 \ --security-policy=POLICY_NAME \ --action=deny \ --region=REGION_NAME
Associa il criterio di sicurezza perimetrale della rete al bilanciatore del carico di rete passthrough esterno di servizio di backend.
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --security-policy=POLICY_NAME \ --region=REGION_NAME
Monitoraggio
Google Cloud Armor esporta le seguenti metriche in Cloud Monitoring per ciascuna regola del criterio di sicurezza perimetrale della rete:
packet_countBlocked: un valore booleano che rappresenta il risultato diallowodeny
azione della regolaCount: il valore dipacket_countincrementato una volta per ogni 10.000 pacchetti, ad esempio un valorepacket_countdi5indica che almeno 50.000 pacchetti corrispondano alla regola
preview_packet_count: uguale apacket_count, utilizzato per le regole nell'anteprima modalità
Per visualizzare le metriche per i criteri di sicurezza perimetrale della rete, devi prima abilitare il
API Network Security
(networksecurity.googleapis.com). Questa autorizzazione è inclusa nel
Ruolo Amministratore sicurezza Compute
(roles/compute.securityAdmin). Dopo aver abilitato l'API Network Security,
puoi visualizzare le metriche in Monitoring nella console Google Cloud.