Crea reglas de políticas de seguridad

En esta página, se incluyen instrucciones para que el operador de infraestructura (IO) cree y configure reglas de políticas de seguridad para administrar el tráfico en una organización y habilitar el sistema de detección y prevención de intrusiones (IDPS) para el tráfico de cargas de trabajo del cliente. Puedes configurar las reglas de la política de seguridad con el recurso personalizado SecurityPolicyRule a través de la API de Firewall.

Antes de comenzar

Antes de continuar, asegúrate de tener lo siguiente:

  • Un repositorio iac con un archivo kustomization.yaml
  • Una carpeta llamada security-policy-rule para almacenar los archivos que contienen las reglas de la política de seguridad

Permite que cualquier dirección acceda a una organización

Existen dos opciones para crear una regla de política de seguridad.

Crea una regla de política de seguridad con un rango de direcciones IP o una máscara de subred de direcciones IP

  1. Crea un archivo YAML para el recurso AddressGroup. AddressGroup contiene rangos de direcciones IP o máscaras de red de direcciones IP que puede usar SecurityPolicyRule.

  2. Agrega el siguiente contenido para crear el recurso personalizado AddressGroup:

    apiVersion: firewall.private.gdc.goog/v1alpha2
kind: AddressGroup
metadata:
  labels:
    firewall.private.gdc.goog/type: idps
  name: SOURCE_AG_OBJECT_NAME
  namespace: NAMESPACE
spec:
  addressGroupName: SOURCE_ADDRESS_GROUP
  firewallVirtualSystemRef:
    name: FIREWALL_VIRTUAL_SYSTEM_NAME
  members:
  - name: SOURCE_MEMBER_NAME
    type: SOURCE_MEMBER_TYPE
    value: SOURCE_MEMBER_VALUE
---
apiVersion: firewall.private.gdc.goog/v1alpha2
kind: AddressGroup
metadata:
  labels:
    firewall.private.gdc.goog/type: idps
  name: DESTINATION_AG_OBJECT_NAME
  namespace: NAMESPACE
spec:
  addressGroupName: DESTINATION_ADDRESS_GROUP
  firewallVirtualSystemRef:
    name: FIREWALL_VIRTUAL_SYSTEM_NAME
  members:
  - name: DESTINATION_MEMBER_NAME
    type: DESTINATION_MEMBER_TYPE
    value: DESTINATION_MEMBER_VALUE

  3. Guarda y almacena el grupo de direcciones en tu carpeta security-policy-rule.

  4. Agrega el siguiente contenido para crear el recurso personalizado SecurityPolicyRule:

    apiVersion: firewall.private.gdc.goog/v1alpha2
kind: SecurityPolicyRule
metadata:
  labels:
    firewall.private.gdc.goog/policy-type: idps
  name: RULE_NAME
  namespace: NAMESPACE
spec:
  firewallVirtualSystemRef:
    name: FIREWALL_VIRTUAL_SYSTEM_NAME
  priority: PRIORITY
  source:
    zones:
    - SOURCE_ZONE
    addresses:
    - SOURCE_ADDRESS_GROUP
  destination:
    zones:
    - DESTINATION_ZONE
    addresses:
    - DESTINATION_ADDRESS_GROUP
  action: ACTION
  service:
    option: OPTION
    ports:
    - protocol: PROTOCOL
      ports: "PORT"
  profile:
    type: PROFILE_TYPE

    Reemplaza las siguientes variables:

    Variable Descripción
    SOURCE_AG_OBJECT_NAME Es el nombre del objeto del grupo de direcciones. Por ejemplo, vsys2-org-1-org-infra-group.
    NAMESPACE El espacio de nombres debe coincidir con el nombre de la organización. Por ejemplo, org-1.
    SOURCE_ADDRESS_GROUP Es el nombre del grupo de direcciones que contiene las direcciones IP de origen. Por ejemplo, org-infra-group.
    FIREWALL_VIRTUAL_SYSTEM_NAME Es el nombre del sistema virtual de firewall asociado a la organización. Por ejemplo, vsys2-org-1. Usa kubectl get firewallvirtualsystems -A para enumerar todos los nombres de vsys.
    SOURCE_MEMBER_NAME Es el nombre del miembro del grupo de direcciones. Por ejemplo, org-infra-group-0. Puede haber varios miembros, y cada uno de ellos debe tener un nombre único.
    SOURCE_MEMBER_TYPE Es el tipo de miembro del grupo de direcciones. Los valores disponibles son IPRange y IPNetmask.
    SOURCE_MEMBER_VALUE Son las direcciones IP del miembro. Por ejemplo, si el tipo de miembro es IPNetmask, el valor puede ser 169.254.0.0/21. Si el tipo de miembro es IPrange, el valor puede ser 192.168.1.1-192.168.1.10.
    DESTINATION_AG_OBJECT_NAME Es el nombre del objeto del grupo de direcciones. Por ejemplo, vsys2-org-1-org-data-external-all-group.
    DESTINATION_ADDRESS_GROUP Es el nombre del grupo de direcciones que contiene las direcciones IP de origen. Por ejemplo, org-data-external-all-group.
    DESTINATION_MEMBER_NAME Es el nombre del miembro del grupo de direcciones. Por ejemplo, org-data-external-all-group-0. Puede haber varios miembros, y cada uno de ellos debe tener un nombre único.
    DESTINATION_MEMBER_TYPE Es el tipo de miembro del grupo de direcciones. Los valores disponibles son IPRange y IPNetmask.
    DESTINATION_MEMBER_VALUE Son las direcciones IP del miembro. Por ejemplo, si el tipo de miembro es IPNetmask, el valor puede ser 169.254.0.0/21. Si el tipo de miembro es IPrange, el valor puede ser 192.168.1.1-192.168.1.10.
    RULE_NAME El nombre de la regla. Por ejemplo, allow-ingress-org-1.
    PRIORITY Es un número entero entre 1000 y 60000 que define el nivel de prioridad. La prioridad más alta es 1000, mientras que la más baja es 60000. En este ejemplo, se usa el nivel de prioridad más alto 1000.
    SOURCE_ZONE Es la zona de firewall que es la fuente del tráfico. Por ejemplo, vsys2-oc.
    DESTINATION_ZONE Es la zona de firewall que es el destino del tráfico. Por ejemplo, vsys2-gpc.
    ACTION Es la acción que define si se permite o rechaza el tráfico. Por ejemplo, usa la acción allow.
    OPTION Opción para establecer un servicio. Los valores opcionales para configurar servicios incluyen los siguientes:
    • any: Define el uso de cualquier puerto.
    • application-default: Es el puerto estándar de la aplicación.
    • selected: El protocolo y el puerto que seleccionas.
    PROTOCOL Es el protocolo de red que defines. Por ejemplo, un protocolo como TCP o UDP
    PORT Número de puerto. Por ejemplo, 1234.
    PROFILE_TYPE Es el tipo de perfil, como none, group y profiles.

  5. Guarda y almacena la regla de política de seguridad en tu carpeta security-policy-rule.

  6. Navega a tu repositorio iac y confirma la regla de política de seguridad en la rama main.

    ls IAC_REPO_PATH/iac/infrastructure/global/orgs/root/kustomization.yaml

    Si el archivo no existe, sigue los pasos del 8 al 12 en Crea una organización con IaC.

  7. Sigue el paso tres Activa el reemplazo completo de la configuración del firewall en el manual FW-G0003 para procesar el reemplazo de la configuración del firewall.

Crea una regla de política de seguridad con una dirección IP específica

  1. Crea un archivo YAML para el recurso SecurityPolicyRule.

  2. Agrega el siguiente contenido para crear el recurso personalizado SecurityPolicyRule:

    apiVersion: firewall.private.gdc.goog/v1alpha2
kind: SecurityPolicyRule
metadata:
  labels:
    firewall.private.gdc.goog/policy-type: idps
  name: RULE_NAME
  namespace: NAMESPACE
spec:
  firewallVirtualSystemRef:
    name: FIREWALL_VIRTUAL_SYSTEM_NAME
  priority: PRIORITY
  source:
    zones:
    - SOURCE_ZONE
    addresses:
    - SOURCE_IP_ADDRESS
  destination:
    zones:
    - DESTINATION_ZONE
    addresses:
    - DESTINATION_IP_ADDRESS
  action: ACTION
  service:
    option: OPTION
    ports:
    - protocol: PROTOCOL
      ports: "PORT"
  profile:
    type: PROFILE_TYPE

    Reemplaza las siguientes variables:

    Variable Descripción
    RULE_NAME El nombre de la regla. Por ejemplo, allow-ingress-org-1.
    NAMESPACE El espacio de nombres debe coincidir con el nombre de la organización. Por ejemplo, org-1.
    FIREWALL_VIRTUAL_SYSTEM_NAME Es el nombre del firewall. Por ejemplo, vsys2-org1.
    PRIORITY Es un número entero entre 1000 y 60000 que define el nivel de prioridad. La prioridad más alta es 1000, mientras que la más baja es 60000. Por ejemplo, si la regla necesita el nivel de prioridad más alto, usa 1000.
    SOURCE_ZONE Es la zona de firewall que es la fuente del tráfico. Por ejemplo, vsys2-oc.
    SOURCE_IP_ADDRESS Es la dirección IP que permite el tráfico. El formato de la dirección IP puede ser una sola dirección IP 10.250.10.1, un enrutamiento entre dominios sin clases (CIDR) 10.250.10.0/27, un rango de direcciones IP 10.250.10.1-10.250.10.8 o any.

    Por ejemplo, 172.21.0.0/20 denota que cualquier dirección IP de origen dentro del CIDR 172.21.0.0/20 coincide con esta regla.
    DESTINATION_ZONE Es la zona de firewall que es el destino del tráfico. Por ejemplo, vsys2-gpc.
    DESTINATION_IP_ADDRESS Es la dirección IP que permite el tráfico. El formato de la dirección IP puede ser una sola dirección IP 10.250.10.1, un enrutamiento entre dominios sin clases (CIDR) 10.250.10.0/27, un rango de direcciones IP 10.250.10.1-10.250.10.8 o any.

    Por ejemplo, el valor any indica que cualquier dirección IP de destino coincidiría con la regla.
    ACTION Es la acción que define si se allow o deny el tráfico. Por ejemplo, allow permite el tráfico.
    OPTION Opción para establecer un servicio. Los valores opcionales para configurar servicios incluyen los siguientes:
    • any: Define el uso de cualquier puerto.
    • application-default: Es el puerto estándar de la aplicación.
    • selected: El protocolo y el puerto que seleccionas.
    Puedes encontrar más información en la referencia de la API.
    PROTOCOL Es el protocolo de red que defines. Por ejemplo, TCP para el Protocolo de control de transmisión.
    PORT Número de puerto. Por ejemplo, 443.
    PROFILE_TYPE Es el tipo de perfil, como none, group y profiles. Por ejemplo, usar un tipo de perfil none significa que no se aplica ningún IDPS.

  3. Guarda y almacena la regla de política de seguridad en tu carpeta security-policy-rule.

  4. Navega a tu repositorio iac y confirma la regla de política de seguridad en la rama main.

    ls IAC_REPO_PATH/iac/infrastructure/global/orgs/root/kustomization.yaml

    Si el archivo no existe, sigue los pasos del 8 al 12 en Crea una organización con IaC.

  5. Sigue el paso tres Activa el reemplazo completo de la configuración del firewall en el manual FW-G0003 para procesar el reemplazo de la configuración del firewall.