Crie regras de política de segurança

Esta página abrange instruções para o operador de infraestrutura (IO) criar e configurar regras de política de segurança para gerir o tráfego numa organização e ativar o sistema de deteção e prevenção de intrusões (IDPS) para o tráfego de carga de trabalho do cliente. Pode configurar as regras da política de segurança através do recurso personalizado SecurityPolicyRule através da API Firewall.

Antes de começar

Antes de continuar, certifique-se de que tem o seguinte:

• Um repositório iac com um ficheiro kustomization.yaml.
• Uma pasta denominada security-policy-rule para armazenar os ficheiros que contêm as regras da política de segurança.

Permitir que qualquer endereço aceda a uma organização

Existem duas opções para criar uma regra de política de segurança.

• Crie uma regra de política de segurança com um intervalo de IP ou uma máscara de rede de IP.
• Crie uma regra de política de segurança com um endereço IP específico.

Crie uma regra de política de segurança com um intervalo de endereços IP ou uma máscara de rede de endereços IP

1. Crie um ficheiro YAML para o recurso AddressGroup. AddressGroup contém intervalos de endereços IP ou máscaras de rede de endereços IP que podem ser usadas por SecurityPolicyRule.

2. Adicione o seguinte conteúdo para criar o recurso personalizado AddressGroup:

   apiVersion: firewall.private.gdc.goog/v1alpha2
   kind: AddressGroup
   metadata:
     labels:
       firewall.private.gdc.goog/type: idps
     name: SOURCE_AG_OBJECT_NAME
     namespace: NAMESPACE
   spec:
     addressGroupName: SOURCE_ADDRESS_GROUP
     firewallVirtualSystemRef:
       name: FIREWALL_VIRTUAL_SYSTEM_NAME
     members:
     - name: SOURCE_MEMBER_NAME
       type: SOURCE_MEMBER_TYPE
       value: SOURCE_MEMBER_VALUE
   ---
   apiVersion: firewall.private.gdc.goog/v1alpha2
   kind: AddressGroup
   metadata:
     labels:
       firewall.private.gdc.goog/type: idps
     name: DESTINATION_AG_OBJECT_NAME
     namespace: NAMESPACE
   spec:
     addressGroupName: DESTINATION_ADDRESS_GROUP
     firewallVirtualSystemRef:
       name: FIREWALL_VIRTUAL_SYSTEM_NAME
     members:
     - name: DESTINATION_MEMBER_NAME
       type: DESTINATION_MEMBER_TYPE
       value: DESTINATION_MEMBER_VALUE
   

3. Guarde e armazene o grupo de endereços na pasta security-policy-rule.

4. Adicione os seguintes conteúdos para criar o recurso personalizado SecurityPolicyRule:

   apiVersion: firewall.private.gdc.goog/v1alpha2
   kind: SecurityPolicyRule
   metadata:
     labels:
       firewall.private.gdc.goog/policy-type: idps
     name: RULE_NAME
     namespace: NAMESPACE
   spec:
     firewallVirtualSystemRef:
       name: FIREWALL_VIRTUAL_SYSTEM_NAME
     priority: PRIORITY
     source:
       zones:
       - SOURCE_ZONE
       addresses:
       - SOURCE_ADDRESS_GROUP
     destination:
       zones:
       - DESTINATION_ZONE
       addresses:
       - DESTINATION_ADDRESS_GROUP
     action: ACTION
     service:
       option: OPTION
       ports:
       - protocol: PROTOCOL
         ports: "PORT"
     profile:
       type: PROFILE_TYPE
   

   Substitua as seguintes variáveis:

   Variável	Descrição
   SOURCE_AG_OBJECT_NAME	O nome do objeto do grupo de moradas. Por exemplo, vsys2-org-1-org-infra-group.
   NAMESPACE	O espaço de nomes tem de corresponder ao nome da organização. Por exemplo, org-1.
   SOURCE_ADDRESS_GROUP	O nome do grupo de endereços que contém os endereços IP de origem. Por exemplo, org-infra-group.
   FIREWALL_VIRTUAL_SYSTEM_NAME	O nome do sistema virtual de firewall associado à organização. Por exemplo, vsys2-org-1. Use kubectl get firewallvirtualsystems -A para apresentar uma lista de todos os nomes de vsys.
   SOURCE_MEMBER_NAME	O nome do membro no grupo de endereços. Por exemplo, org-infra-group-0. Pode haver vários membros, cada um com um nome único.
   SOURCE_MEMBER_TYPE	O tipo de membro no grupo de moradas. Os valores disponíveis são IPRange e IPNetmask.
   SOURCE_MEMBER_VALUE	Os endereços IP no membro. Por exemplo, se o tipo de membro for IPNetmask, o valor pode ser 169.254.0.0/21. Se o tipo de membro for IPrange, o valor pode ser 192.168.1.1-192.168.1.10.
   DESTINATION_AG_OBJECT_NAME	O nome do objeto do grupo de moradas. Por exemplo, vsys2-org-1-org-data-external-all-group.
   DESTINATION_ADDRESS_GROUP	O nome do grupo de endereços que contém os endereços IP de origem. Por exemplo, org-data-external-all-group.
   DESTINATION_MEMBER_NAME	O nome do membro no grupo de endereços. Por exemplo, org-data-external-all-group-0. Pode haver vários membros, cada um com um nome único.
   DESTINATION_MEMBER_TYPE	O tipo de membro no grupo de moradas. Os valores disponíveis são IPRange e IPNetmask.
   DESTINATION_MEMBER_VALUE	Os endereços IP no membro. Por exemplo, se o tipo de membro for IPNetmask, o valor pode ser 169.254.0.0/21. Se o tipo de membro for IPrange, o valor pode ser 192.168.1.1-192.168.1.10.
   RULE_NAME	O nome da regra. Por exemplo, allow-ingress-org-1.
   PRIORITY	Um número inteiro entre 1000 e 60000 que define o nível de prioridade. A prioridade mais elevada é 1000 e a mais baixa é 60000. Este exemplo usa o nível de prioridade mais elevado 1000.
   SOURCE_ZONE	A zona da firewall que é a origem do tráfego. Por exemplo, vsys2-oc.
   DESTINATION_ZONE	A zona da firewall que é o destino do tráfego. Por exemplo, vsys2-gpc.
   ACTION	A ação que define se o tráfego é permitido ou recusado. Por exemplo, usa a ação allow.
   OPTION	A opção para definir um serviço. Os valores opcionais para definir serviços incluem o seguinte: any: define a utilização de qualquer porta. application-default: a porta padrão da aplicação. selected: o protocolo e a porta que selecionar.
   PROTOCOL	O protocolo de rede que define. Por exemplo, um protocolo como TCP ou UDP
   PORT	O número da porta. Por exemplo, 1234.
   PROFILE_TYPE	O tipo de perfil, como none, group e profiles.

5. Guarde e armazene a regra da política de segurança na sua pasta security-policy-rule.

6. Navegue para o repositório iac e confirme a regra da política de segurança no ramo main.

   ls IAC_REPO_PATH/iac/infrastructure/global/orgs/root/kustomization.yaml
   

   Se o ficheiro não existir, siga os passos 8 a 12 em Crie uma organização com o IAC.

7. Siga o passo três Acione a substituição da configuração completa da firewall no manual de procedimentos FW-G0003 para processar a substituição da configuração da firewall.

Crie uma regra de política de segurança com um endereço IP específico

1. Crie um ficheiro YAML para o recurso SecurityPolicyRule.

2. Adicione o seguinte conteúdo para criar o recurso personalizado SecurityPolicyRule:

   apiVersion: firewall.private.gdc.goog/v1alpha2
   kind: SecurityPolicyRule
   metadata:
     labels:
       firewall.private.gdc.goog/policy-type: idps
     name: RULE_NAME
     namespace: NAMESPACE
   spec:
     firewallVirtualSystemRef:
       name: FIREWALL_VIRTUAL_SYSTEM_NAME
     priority: PRIORITY
     source:
       zones:
       - SOURCE_ZONE
       addresses:
       - SOURCE_IP_ADDRESS
     destination:
       zones:
       - DESTINATION_ZONE
       addresses:
       - DESTINATION_IP_ADDRESS
     action: ACTION
     service:
       option: OPTION
       ports:
       - protocol: PROTOCOL
         ports: "PORT"
     profile:
       type: PROFILE_TYPE
   

   Substitua as seguintes variáveis:

   Variável	Descrição
   RULE_NAME	O nome da regra. Por exemplo, allow-ingress-org-1.
   NAMESPACE	O espaço de nomes tem de corresponder ao nome da organização. Por exemplo, org-1.
   FIREWALL_VIRTUAL_SYSTEM_NAME	O nome da firewall. Por exemplo, vsys2-org1.
   PRIORITY	Um número inteiro entre 1000 e 60000 que define o nível de prioridade. A prioridade mais elevada é 1000 e a mais baixa é 60000. Por exemplo, se a regra precisar do nível de prioridade mais elevado, use 1000.
   SOURCE_ZONE	A zona da firewall que é a origem do tráfego. Por exemplo, vsys2-oc.
   SOURCE_IP_ADDRESS	O endereço IP para permitir o tráfego. O formato do endereço IP pode ser um único endereço IP 10.250.10.1, um Classless Inter-Domain Routing (CIDR) 10.250.10.0/27, um intervalo de endereços IP 10.250.10.1-10.250.10.8 ou any. Por exemplo, 172.21.0.0/20 indica que qualquer endereço IP de origem no 172.21.0.0/20 CIDR corresponde a esta regra.
   DESTINATION_ZONE	A zona da firewall que é o destino do tráfego. Por exemplo, vsys2-gpc.
   DESTINATION_IP_ADDRESS	O endereço IP para permitir o tráfego. O formato do endereço IP pode ser um único endereço IP 10.250.10.1, um Classless Inter-Domain Routing (CIDR) 10.250.10.0/27, um intervalo de endereços IP 10.250.10.1-10.250.10.8 ou any. Por exemplo, o valor any indica que qualquer endereço IP de destino corresponderia à regra.
   ACTION	A ação que define se o tráfego deve ser allow ou deny. Por exemplo, allow permite o tráfego.
   OPTION	A opção para definir um serviço. Os valores opcionais para definir serviços incluem o seguinte: any: define a utilização de qualquer porta. application-default: a porta padrão da aplicação. selected: o protocolo e a porta que selecionar. Mais informações disponíveis na referência da API.
   PROTOCOL	O protocolo de rede que define. Por exemplo, TCP para o Protocolo de controlo de transmissão.
   PORT	O número da porta. Por exemplo, 443.
   PROFILE_TYPE	O tipo de perfil, como none, group e profiles. Por exemplo, usar um tipo de perfil de none significa que não é aplicado nenhum IDPS.

3. Guarde e armazene a regra da política de segurança na sua pasta security-policy-rule.

4. Navegue para o repositório iac e confirme a regra da política de segurança no ramo main.

   ls IAC_REPO_PATH/iac/infrastructure/global/orgs/root/kustomization.yaml
   

   Se o ficheiro não existir, siga os passos 8 a 12 em Crie uma organização com o IAC.

5. Siga o passo três Acione a substituição da configuração completa da firewall no manual de procedimentos FW-G0003 para processar a substituição da configuração da firewall.