Crea regole del criterio di sicurezza

Questa pagina contiene le istruzioni per l'operatore dell'infrastruttura (IO) per creare e configurare regole dei criteri di sicurezza per gestire il traffico in un'organizzazione e attivare il sistema di rilevamento e prevenzione delle intrusioni (IDPS) per il traffico dei carichi di lavoro dei clienti. Puoi configurare le regole dei criteri di sicurezza utilizzando la risorsa personalizzata SecurityPolicyRule tramite l'API Firewall.

Prima di iniziare

Prima di continuare, assicurati di avere quanto segue:

  • Un repository iac con un file kustomization.yaml.
  • Una cartella denominata security-policy-rule per archiviare i file che contengono le regole dei criteri di sicurezza.

Consenti a qualsiasi indirizzo di accedere a un'organizzazione

Per creare una regola del criterio di sicurezza, sono disponibili due opzioni.

Crea una regola del criterio di sicurezza con intervallo di indirizzi IP o maschera di rete dell'indirizzo IP

  1. Crea un file YAML per la risorsa AddressGroup. AddressGroup contiene intervalli di indirizzi IP o maschere di rete di indirizzi IP che possono essere utilizzati da SecurityPolicyRule.

  2. Aggiungi i seguenti contenuti per creare la risorsa personalizzata AddressGroup:

    apiVersion: firewall.private.gdc.goog/v1alpha2
kind: AddressGroup
metadata:
  labels:
    firewall.private.gdc.goog/type: idps
  name: SOURCE_AG_OBJECT_NAME
  namespace: NAMESPACE
spec:
  addressGroupName: SOURCE_ADDRESS_GROUP
  firewallVirtualSystemRef:
    name: FIREWALL_VIRTUAL_SYSTEM_NAME
  members:
  - name: SOURCE_MEMBER_NAME
    type: SOURCE_MEMBER_TYPE
    value: SOURCE_MEMBER_VALUE
---
apiVersion: firewall.private.gdc.goog/v1alpha2
kind: AddressGroup
metadata:
  labels:
    firewall.private.gdc.goog/type: idps
  name: DESTINATION_AG_OBJECT_NAME
  namespace: NAMESPACE
spec:
  addressGroupName: DESTINATION_ADDRESS_GROUP
  firewallVirtualSystemRef:
    name: FIREWALL_VIRTUAL_SYSTEM_NAME
  members:
  - name: DESTINATION_MEMBER_NAME
    type: DESTINATION_MEMBER_TYPE
    value: DESTINATION_MEMBER_VALUE

  3. Salva e archivia il gruppo di indirizzi nella cartella security-policy-rule.

  4. Aggiungi i seguenti contenuti per creare la risorsa personalizzata SecurityPolicyRule:

    apiVersion: firewall.private.gdc.goog/v1alpha2
kind: SecurityPolicyRule
metadata:
  labels:
    firewall.private.gdc.goog/policy-type: idps
  name: RULE_NAME
  namespace: NAMESPACE
spec:
  firewallVirtualSystemRef:
    name: FIREWALL_VIRTUAL_SYSTEM_NAME
  priority: PRIORITY
  source:
    zones:
    - SOURCE_ZONE
    addresses:
    - SOURCE_ADDRESS_GROUP
  destination:
    zones:
    - DESTINATION_ZONE
    addresses:
    - DESTINATION_ADDRESS_GROUP
  action: ACTION
  service:
    option: OPTION
    ports:
    - protocol: PROTOCOL
      ports: "PORT"
  profile:
    type: PROFILE_TYPE

    Sostituisci le seguenti variabili:

    Variabile Descrizione
    SOURCE_AG_OBJECT_NAME Il nome dell'oggetto gruppo di indirizzi. Ad esempio, vsys2-org-1-org-infra-group.
    NAMESPACE Lo spazio dei nomi deve corrispondere al nome dell'organizzazione. Ad esempio, org-1.
    SOURCE_ADDRESS_GROUP Il nome del gruppo di indirizzi contenente gli indirizzi IP di origine. Ad esempio, org-infra-group.
    FIREWALL_VIRTUAL_SYSTEM_NAME Il nome del sistema virtuale firewall associato all'organizzazione. Ad esempio, vsys2-org-1. Utilizza kubectl get firewallvirtualsystems -A per elencare tutti i nomi dei vsys.
    SOURCE_MEMBER_NAME Il nome del membro nel gruppo di indirizzi. Ad esempio, org-infra-group-0. Possono esserci più membri e ognuno ha un nome univoco.
    SOURCE_MEMBER_TYPE Il tipo di membro nel gruppo di indirizzi. I valori disponibili sono IPRange, IPNetmask.
    SOURCE_MEMBER_VALUE Gli indirizzi IP nel membro. Ad esempio, se il tipo di membro è IPNetmask, il valore può essere 169.254.0.0/21. Se il tipo di membro è IPrange, il valore può essere 192.168.1.1-192.168.1.10.
    DESTINATION_AG_OBJECT_NAME Il nome dell'oggetto gruppo di indirizzi. Ad esempio, vsys2-org-1-org-data-external-all-group.
    DESTINATION_ADDRESS_GROUP Il nome del gruppo di indirizzi contenente gli indirizzi IP di origine. Ad esempio, org-data-external-all-group.
    DESTINATION_MEMBER_NAME Il nome del membro nel gruppo di indirizzi. Ad esempio, org-data-external-all-group-0. Possono esserci più membri e ognuno ha un nome univoco.
    DESTINATION_MEMBER_TYPE Il tipo di membro nel gruppo di indirizzi. I valori disponibili sono IPRange, IPNetmask.
    DESTINATION_MEMBER_VALUE Gli indirizzi IP nel membro. Ad esempio, se il tipo di membro è IPNetmask, il valore può essere 169.254.0.0/21. Se il tipo di membro è IPrange, il valore può essere 192.168.1.1-192.168.1.10.
    RULE_NAME Il nome della regola. Ad esempio, allow-ingress-org-1.
    PRIORITY Un numero intero compreso tra 1000 e 60000 che definisce il livello di priorità. La priorità più alta è 1000, mentre la più bassa è 60000. Questo esempio utilizza il livello di priorità più alto 1000.
    SOURCE_ZONE La zona firewall che è l'origine del traffico. Ad esempio, vsys2-oc.
    DESTINATION_ZONE La zona firewall che è la destinazione del traffico. Ad esempio, vsys2-gpc.
    ACTION L'azione che definisce se consentire o negare il traffico. Ad esempio, utilizza l'azione allow.
    OPTION L'opzione per impostare un servizio. I valori facoltativi per impostare i servizi includono quanto segue:
    • any: definisce l'utilizzo di qualsiasi porta.
    • application-default: la porta standard per l'applicazione.
    • selected: il protocollo e la porta selezionati.
    PROTOCOL Il protocollo di rete che definisci. Ad esempio, protocollo come TCP o UDP
    PORT Il numero di porta. Ad esempio, 1234.
    PROFILE_TYPE Il tipo di profilo, ad esempio none, group e profiles.

  5. Salva e archivia la regola del criterio di sicurezza nella cartella security-policy-rule.

  6. Vai al repository iac ed esegui il commit della regola del criterio di sicurezza nel ramo main.

    ls IAC_REPO_PATH/iac/infrastructure/global/orgs/root/kustomization.yaml

    Se il file non esiste, segui i passaggi da 8 a 12 in Creare un'organizzazione con IAC.

  7. Segui il passaggio 3 Attiva la sostituzione completa della configurazione del firewall nel runbook FW-G0003 per elaborare la sostituzione della configurazione del firewall.

Crea una regola della policy di sicurezza con un indirizzo IP specifico

  1. Crea un file YAML per la risorsa SecurityPolicyRule.

  2. Aggiungi i seguenti contenuti per creare la risorsa personalizzata SecurityPolicyRule:

    apiVersion: firewall.private.gdc.goog/v1alpha2
kind: SecurityPolicyRule
metadata:
  labels:
    firewall.private.gdc.goog/policy-type: idps
  name: RULE_NAME
  namespace: NAMESPACE
spec:
  firewallVirtualSystemRef:
    name: FIREWALL_VIRTUAL_SYSTEM_NAME
  priority: PRIORITY
  source:
    zones:
    - SOURCE_ZONE
    addresses:
    - SOURCE_IP_ADDRESS
  destination:
    zones:
    - DESTINATION_ZONE
    addresses:
    - DESTINATION_IP_ADDRESS
  action: ACTION
  service:
    option: OPTION
    ports:
    - protocol: PROTOCOL
      ports: "PORT"
  profile:
    type: PROFILE_TYPE

    Sostituisci le seguenti variabili:

    Variabile Descrizione
    RULE_NAME Il nome della regola. Ad esempio, allow-ingress-org-1.
    NAMESPACE Lo spazio dei nomi deve corrispondere al nome dell'organizzazione. Ad esempio, org-1.
    FIREWALL_VIRTUAL_SYSTEM_NAME Il nome del firewall. Ad esempio, vsys2-org1.
    PRIORITY Un numero intero compreso tra 1000 e 60000 che definisce il livello di priorità. La priorità più alta è 1000, mentre la più bassa è 60000. Ad esempio, se la regola richiede il livello di priorità più alto, utilizza 1000.
    SOURCE_ZONE La zona firewall che è l'origine del traffico. Ad esempio, vsys2-oc.
    SOURCE_IP_ADDRESS L'indirizzo IP per consentire il traffico. Il formato dell'indirizzo IP può essere un singolo indirizzo IP 10.250.10.1, un indirizzo CIDR (Classless Inter-Domain Routing) 10.250.10.0/27, un intervallo di indirizzi IP 10.250.10.1-10.250.10.8 o any.

    Ad esempio, 172.21.0.0/20 indica che qualsiasi indirizzo IP di origine all'interno del CIDR 172.21.0.0/20 corrisponde a questa regola.
    DESTINATION_ZONE La zona firewall che è la destinazione del traffico. Ad esempio, vsys2-gpc.
    DESTINATION_IP_ADDRESS L'indirizzo IP per consentire il traffico. Il formato dell'indirizzo IP può essere un singolo indirizzo IP 10.250.10.1, un indirizzo CIDR (Classless Inter-Domain Routing) 10.250.10.0/27, un intervallo di indirizzi IP 10.250.10.1-10.250.10.8 o any.

    Ad esempio, il valore any indica che qualsiasi indirizzo IP di destinazione corrisponde alla regola.
    ACTION L'azione che definisce se allow o deny il traffico. Ad esempio, allow consente il traffico.
    OPTION L'opzione per impostare un servizio. I valori facoltativi per impostare i servizi includono quanto segue:
    • any: definisce l'utilizzo di qualsiasi porta.
    • application-default: la porta standard per l'applicazione.
    • selected: il protocollo e la porta selezionati.
    Per ulteriori informazioni, consulta i riferimenti per le API.
    PROTOCOL Il protocollo di rete che definisci. Ad esempio, TCP per Transmission Control Protocol.
    PORT Il numero di porta. Ad esempio, 443.
    PROFILE_TYPE Il tipo di profilo, ad esempio none, group e profiles. Ad esempio, l'utilizzo di un tipo di profilo none significa che non viene applicato alcun IDPS.

  3. Salva e archivia la regola del criterio di sicurezza nella cartella security-policy-rule.

  4. Vai al repository iac ed esegui il commit della regola del criterio di sicurezza nel ramo main.

    ls IAC_REPO_PATH/iac/infrastructure/global/orgs/root/kustomization.yaml

    Se il file non esiste, segui i passaggi da 8 a 12 in Creare un'organizzazione con IAC.

  5. Segui il passaggio 3 Attiva la sostituzione completa della configurazione del firewall nel runbook FW-G0003 per elaborare la sostituzione della configurazione del firewall.