Regeln für Sicherheitsrichtlinien erstellen

Auf dieser Seite finden Sie eine Anleitung für den Infrastruktur-Operator (IO), um Sicherheitsrichtlinienregeln zu erstellen und zu konfigurieren, mit denen der Traffic in einer Organisation verwaltet und das Intrusion Detection and Prevention System (IDPS) für den Traffic von Kundenarbeitslasten aktiviert wird. Sie können die Regeln für Sicherheitsrichtlinien mithilfe der benutzerdefinierten Ressource SecurityPolicyRule über die Firewall API konfigurieren.

Hinweise

Bevor Sie fortfahren, benötigen Sie Folgendes:

  • Ein iac-Repository mit einer kustomization.yaml-Datei.
  • Ein Ordner namens security-policy-rule zum Speichern der Dateien, die die Regeln der Sicherheitsrichtlinie enthalten.

Zulassen, dass jede Adresse auf eine Organisation zugreifen kann

Es gibt zwei Möglichkeiten, eine Regel für eine Sicherheitsrichtlinie zu erstellen.

Regel für Sicherheitsrichtlinie mit IP-Adressbereich oder IP-Adressnetzmaske erstellen

  1. Erstellen Sie eine YAML-Datei für die AddressGroup-Ressource. AddressGroup enthält IP-Adressbereiche oder IP-Adressnetzmasken, die von SecurityPolicyRule verwendet werden können.

  2. Fügen Sie den folgenden Inhalt hinzu, um die benutzerdefinierte AddressGroup-Ressource zu erstellen:

    apiVersion: firewall.private.gdc.goog/v1alpha2
kind: AddressGroup
metadata:
  labels:
    firewall.private.gdc.goog/type: idps
  name: SOURCE_AG_OBJECT_NAME
  namespace: NAMESPACE
spec:
  addressGroupName: SOURCE_ADDRESS_GROUP
  firewallVirtualSystemRef:
    name: FIREWALL_VIRTUAL_SYSTEM_NAME
  members:
  - name: SOURCE_MEMBER_NAME
    type: SOURCE_MEMBER_TYPE
    value: SOURCE_MEMBER_VALUE
---
apiVersion: firewall.private.gdc.goog/v1alpha2
kind: AddressGroup
metadata:
  labels:
    firewall.private.gdc.goog/type: idps
  name: DESTINATION_AG_OBJECT_NAME
  namespace: NAMESPACE
spec:
  addressGroupName: DESTINATION_ADDRESS_GROUP
  firewallVirtualSystemRef:
    name: FIREWALL_VIRTUAL_SYSTEM_NAME
  members:
  - name: DESTINATION_MEMBER_NAME
    type: DESTINATION_MEMBER_TYPE
    value: DESTINATION_MEMBER_VALUE

  3. Speichern Sie die Adressgruppe im Ordner security-policy-rule.

  4. Fügen Sie den folgenden Inhalt hinzu, um die benutzerdefinierte Ressource SecurityPolicyRule zu erstellen:

    apiVersion: firewall.private.gdc.goog/v1alpha2
kind: SecurityPolicyRule
metadata:
  labels:
    firewall.private.gdc.goog/policy-type: idps
  name: RULE_NAME
  namespace: NAMESPACE
spec:
  firewallVirtualSystemRef:
    name: FIREWALL_VIRTUAL_SYSTEM_NAME
  priority: PRIORITY
  source:
    zones:
    - SOURCE_ZONE
    addresses:
    - SOURCE_ADDRESS_GROUP
  destination:
    zones:
    - DESTINATION_ZONE
    addresses:
    - DESTINATION_ADDRESS_GROUP
  action: ACTION
  service:
    option: OPTION
    ports:
    - protocol: PROTOCOL
      ports: "PORT"
  profile:
    type: PROFILE_TYPE

    Ersetzen Sie die folgenden Variablen:

    Variable Beschreibung
    SOURCE_AG_OBJECT_NAME Der Name des Adressgruppenobjekts. Beispiel: vsys2-org-1-org-infra-group.
    NAMESPACE Der Namespace muss mit dem Namen der Organisation übereinstimmen. Beispiel: org-1.
    SOURCE_ADDRESS_GROUP Der Name der Adressgruppe, die die Quell-IP-Adressen enthält. Beispiel: org-infra-group.
    FIREWALL_VIRTUAL_SYSTEM_NAME Der Name des virtuellen Firewall-Systems, das mit der Organisation verknüpft ist. Beispiel: vsys2-org-1. Verwenden Sie kubectl get firewallvirtualsystems -A, um alle vsys-Namen aufzulisten.
    SOURCE_MEMBER_NAME Der Name des Mitglieds in der Adressgruppe. Beispiel: org-infra-group-0. Es kann mehrere Mitglieder geben, die jeweils einen eindeutigen Namen haben.
    SOURCE_MEMBER_TYPE Der Typ des Mitglieds in der Adressgruppe. Verfügbare Werte: IPRange, IPNetmask.
    SOURCE_MEMBER_VALUE Die IP-Adressen des Mitglieds. Wenn der Mitgliedstyp beispielsweise IPNetmask ist, kann der Wert 169.254.0.0/21 sein. Wenn der Mitgliedstyp IPrange ist, kann der Wert 192.168.1.1-192.168.1.10 sein.
    DESTINATION_AG_OBJECT_NAME Der Name des Adressgruppenobjekts. Beispiel: vsys2-org-1-org-data-external-all-group.
    DESTINATION_ADDRESS_GROUP Der Name der Adressgruppe, die die Quell-IP-Adressen enthält. Beispiel: org-data-external-all-group.
    DESTINATION_MEMBER_NAME Der Name des Mitglieds in der Adressgruppe. Beispiel: org-data-external-all-group-0. Es kann mehrere Mitglieder geben, die jeweils einen eindeutigen Namen haben.
    DESTINATION_MEMBER_TYPE Der Typ des Mitglieds in der Adressgruppe. Verfügbare Werte: IPRange, IPNetmask.
    DESTINATION_MEMBER_VALUE Die IP-Adressen des Mitglieds. Wenn der Mitgliedstyp beispielsweise IPNetmask ist, kann der Wert 169.254.0.0/21 sein. Wenn der Mitgliedstyp IPrange ist, kann der Wert 192.168.1.1-192.168.1.10 sein.
    RULE_NAME Der Name der Regel. Beispiel: allow-ingress-org-1.
    PRIORITY Eine Ganzzahl zwischen 1000 und 60000, die die Prioritätsstufe definiert. Die höchste Priorität ist 1000, die niedrigste 60000. In diesem Beispiel wird die höchste Prioritätsstufe 1000 verwendet.
    SOURCE_ZONE Die Firewallzone, aus der der Traffic stammt. Beispiel: vsys2-oc.
    DESTINATION_ZONE Die Firewallzone, die das Ziel des Traffics ist. Beispiel: vsys2-gpc.
    ACTION Die Aktion, die festlegt, ob der Traffic zugelassen oder abgelehnt werden soll. Im Beispiel wird die Aktion allow verwendet.
    OPTION Die Option zum Festlegen eines Dienstes. Optionale Werte zum Festlegen von Diensten:
    • any: Definiert die Verwendung eines beliebigen Ports.
    • application-default: der Standardport für die Anwendung.
    • selected: Das von Ihnen ausgewählte Protokoll und der von Ihnen ausgewählte Port.
    PROTOCOL Das von Ihnen definierte Netzwerkprotokoll. Beispiel: Protokoll wie TCP oder UDP
    PORT Die Portnummer. Beispiel: 1234.
    PROFILE_TYPE Der Profiltyp, z. B. none, group und profiles.

  5. Speichern Sie die Sicherheitsrichtlinienregel im Ordner security-policy-rule.

  6. Rufen Sie Ihr iac-Repository auf und übertragen Sie die Sicherheitsrichtlinienregel per Commit in den main-Branch.

    ls IAC_REPO_PATH/iac/infrastructure/global/orgs/root/kustomization.yaml

    Wenn die Datei nicht vorhanden ist, folgen Sie den Schritten 8 bis 12 unter Organisation mit IAC erstellen.

  7. Führen Sie Schritt 3 Trigger the firewall full config replacement (Vollständigen Austausch der Firewallkonfiguration auslösen) im Runbook FW-G0003 aus, um den Austausch der Firewallkonfiguration zu verarbeiten.

Regel für Sicherheitsrichtlinie mit einer bestimmten IP-Adresse erstellen

  1. Erstellen Sie eine YAML-Datei für die SecurityPolicyRule-Ressource.

  2. Fügen Sie den folgenden Inhalt hinzu, um die benutzerdefinierte SecurityPolicyRule-Ressource zu erstellen:

    apiVersion: firewall.private.gdc.goog/v1alpha2
kind: SecurityPolicyRule
metadata:
  labels:
    firewall.private.gdc.goog/policy-type: idps
  name: RULE_NAME
  namespace: NAMESPACE
spec:
  firewallVirtualSystemRef:
    name: FIREWALL_VIRTUAL_SYSTEM_NAME
  priority: PRIORITY
  source:
    zones:
    - SOURCE_ZONE
    addresses:
    - SOURCE_IP_ADDRESS
  destination:
    zones:
    - DESTINATION_ZONE
    addresses:
    - DESTINATION_IP_ADDRESS
  action: ACTION
  service:
    option: OPTION
    ports:
    - protocol: PROTOCOL
      ports: "PORT"
  profile:
    type: PROFILE_TYPE

    Ersetzen Sie die folgenden Variablen:

    Variable Beschreibung
    RULE_NAME Der Name der Regel. Beispiel: allow-ingress-org-1.
    NAMESPACE Der Namespace muss mit dem Namen der Organisation übereinstimmen. Beispiel: org-1.
    FIREWALL_VIRTUAL_SYSTEM_NAME Der Name der Firewall. Beispiel: vsys2-org1.
    PRIORITY Eine Ganzzahl zwischen 1000 und 60000, die die Prioritätsstufe definiert. Die höchste Priorität ist 1000, die niedrigste 60000. Wenn die Regel beispielsweise die höchste Prioritätsstufe benötigt, verwenden Sie 1000.
    SOURCE_ZONE Die Firewallzone, aus der der Traffic stammt. Beispiel: vsys2-oc.
    SOURCE_IP_ADDRESS Die IP-Adresse, für die der Traffic zugelassen werden soll. Das IP-Adressformat kann eine einzelne IP-Adresse 10.250.10.1, ein Classless Inter-Domain Routing (CIDR) 10.250.10.0/27, ein IP-Adressbereich 10.250.10.1-10.250.10.8 oder any sein.

    Beispiel: 172.21.0.0/20 gibt an, dass jede Quell-IP-Adresse innerhalb des 172.21.0.0/20-CIDR-Bereichs mit dieser Regel übereinstimmt.
    DESTINATION_ZONE Die Firewallzone, die das Ziel des Traffics ist. Beispiel: vsys2-gpc.
    DESTINATION_IP_ADDRESS Die IP-Adresse, für die der Traffic zugelassen werden soll. Das IP-Adressformat kann eine einzelne IP-Adresse 10.250.10.1, ein Classless Inter-Domain Routing (CIDR) 10.250.10.0/27, ein IP-Adressbereich 10.250.10.1-10.250.10.8 oder any sein.

    Der Wert any gibt beispielsweise an, dass jede Ziel-IP-Adresse mit der Regel übereinstimmt.
    ACTION Die Aktion, die festlegt, ob der Traffic allow oder deny werden soll. Beispiel: allow lässt den Traffic zu.
    OPTION Die Option zum Festlegen eines Dienstes. Optionale Werte zum Festlegen von Diensten:
    • any: Definiert die Verwendung eines beliebigen Ports.
    • application-default: der Standardport für die Anwendung.
    • selected: Das von Ihnen ausgewählte Protokoll und der von Ihnen ausgewählte Port.
    Weitere Informationen finden Sie in der API-Referenz.
    PROTOCOL Das von Ihnen definierte Netzwerkprotokoll. Zum Beispiel TCP für Transmission Control Protocol.
    PORT Die Portnummer. Beispiel: 443.
    PROFILE_TYPE Der Profiltyp, z. B. none, group und profiles. Wenn Sie beispielsweise den Profiltyp none verwenden, wird kein IDPS angewendet.

  3. Speichern Sie die Sicherheitsrichtlinienregel im Ordner security-policy-rule.

  4. Rufen Sie Ihr iac-Repository auf und übertragen Sie die Sicherheitsrichtlinienregel per Commit in den main-Branch.

    ls IAC_REPO_PATH/iac/infrastructure/global/orgs/root/kustomization.yaml

    Wenn die Datei nicht vorhanden ist, folgen Sie den Schritten 8 bis 12 unter Organisation mit IAC erstellen.

  5. Führen Sie Schritt 3 Trigger the firewall full config replacement (Vollständigen Austausch der Firewallkonfiguration auslösen) im Runbook FW-G0003 aus, um den Austausch der Firewallkonfiguration zu verarbeiten.