Esta página foi traduzida pela API Cloud Translation.

Criar regras de política de segurança

Esta página contém instruções para o operador de infraestrutura (IO) criar e configurar regras de política de segurança para gerenciar o tráfego em uma organização e ativar o sistema de detecção e prevenção de invasões (IDPS) para o tráfego de carga de trabalho do cliente. É possível configurar as regras da política de segurança usando o recurso personalizado SecurityPolicyRule pela API Firewall.

Antes de começar

Antes de continuar, verifique se você tem o seguinte:

Um repositório iac com um arquivo kustomization.yaml.
Uma pasta chamada security-policy-rule para armazenar os arquivos que contêm as regras da política de segurança.

Permitir que qualquer endereço acesse uma organização

Há duas opções para criar uma regra de política de segurança.

Crie uma regra de política de segurança com intervalo de IP ou máscara de rede de IP.
Criar regra de política de segurança com um endereço IP específico.

Criar regra de política de segurança com intervalo de endereços IP ou máscara de rede de endereços IP

Crie um arquivo YAML para o recurso AddressGroup. AddressGroup contém intervalos de endereços IP ou máscaras de rede de endereços IP que podem ser usadas pelo SecurityPolicyRule.

Adicione o conteúdo a seguir para criar o recurso personalizado AddressGroup:

apiVersion: firewall.private.gdc.goog/v1alpha2
kind: AddressGroup
metadata:
  labels:
    firewall.private.gdc.goog/type: idps
  name: SOURCE_AG_OBJECT_NAME
  namespace: NAMESPACE
spec:
  addressGroupName: SOURCE_ADDRESS_GROUP
  firewallVirtualSystemRef:
    name: FIREWALL_VIRTUAL_SYSTEM_NAME
  members:
  - name: SOURCE_MEMBER_NAME
    type: SOURCE_MEMBER_TYPE
    value: SOURCE_MEMBER_VALUE
---
apiVersion: firewall.private.gdc.goog/v1alpha2
kind: AddressGroup
metadata:
  labels:
    firewall.private.gdc.goog/type: idps
  name: DESTINATION_AG_OBJECT_NAME
  namespace: NAMESPACE
spec:
  addressGroupName: DESTINATION_ADDRESS_GROUP
  firewallVirtualSystemRef:
    name: FIREWALL_VIRTUAL_SYSTEM_NAME
  members:
  - name: DESTINATION_MEMBER_NAME
    type: DESTINATION_MEMBER_TYPE
    value: DESTINATION_MEMBER_VALUE

Salve e armazene o grupo de endereços na pasta security-policy-rule.

Adicione o conteúdo a seguir para criar o recurso personalizado SecurityPolicyRule:

apiVersion: firewall.private.gdc.goog/v1alpha2
kind: SecurityPolicyRule
metadata:
  labels:
    firewall.private.gdc.goog/policy-type: idps
  name: RULE_NAME
  namespace: NAMESPACE
spec:
  firewallVirtualSystemRef:
    name: FIREWALL_VIRTUAL_SYSTEM_NAME
  priority: PRIORITY
  source:
    zones:
    - SOURCE_ZONE
    addresses:
    - SOURCE_ADDRESS_GROUP
  destination:
    zones:
    - DESTINATION_ZONE
    addresses:
    - DESTINATION_ADDRESS_GROUP
  action: ACTION
  service:
    option: OPTION
    ports:
    - protocol: PROTOCOL
      ports: "PORT"
  profile:
    type: PROFILE_TYPE

Substitua as seguintes variáveis:

Variável	Descrição
`SOURCE_AG_OBJECT_NAME`	O nome do objeto do grupo de endereços. Por exemplo, `vsys2-org-1-org-infra-group`
`NAMESPACE`	O namespace precisa corresponder ao nome da organização. Por exemplo, `org-1`
`SOURCE_ADDRESS_GROUP`	O nome do grupo de endereços que contém os endereços IP de origem. Por exemplo, `org-infra-group`
`FIREWALL_VIRTUAL_SYSTEM_NAME`	O nome do sistema virtual de firewall associado à organização. Por exemplo, `vsys2-org-1` Use `kubectl get firewallvirtualsystems -A` para listar todos os nomes de vsys.
`SOURCE_MEMBER_NAME`	O nome do membro no grupo de endereços. Por exemplo, `org-infra-group-0` Pode haver vários membros, cada um com um nome exclusivo.
`SOURCE_MEMBER_TYPE`	O tipo de membro no grupo de endereços. Os valores disponíveis são `IPRange` e `IPNetmask`.
`SOURCE_MEMBER_VALUE`	Os endereços IP no membro. Por exemplo, se o tipo de membro for `IPNetmask`, o valor poderá ser `169.254.0.0/21`. Se o tipo de membro for `IPrange`, o valor poderá ser `192.168.1.1-192.168.1.10`.
`DESTINATION_AG_OBJECT_NAME`	O nome do objeto do grupo de endereços. Por exemplo, `vsys2-org-1-org-data-external-all-group`
`DESTINATION_ADDRESS_GROUP`	O nome do grupo de endereços que contém os endereços IP de origem. Por exemplo, `org-data-external-all-group`
`DESTINATION_MEMBER_NAME`	O nome do membro no grupo de endereços. Por exemplo, `org-data-external-all-group-0` Pode haver vários membros, cada um com um nome exclusivo.
`DESTINATION_MEMBER_TYPE`	O tipo de membro no grupo de endereços. Os valores disponíveis são `IPRange` e `IPNetmask`.
`DESTINATION_MEMBER_VALUE`	Os endereços IP no membro. Por exemplo, se o tipo de membro for `IPNetmask`, o valor poderá ser `169.254.0.0/21`. Se o tipo de membro for `IPrange`, o valor poderá ser `192.168.1.1-192.168.1.10`.
`RULE_NAME`	O nome da regra. Por exemplo, `allow-ingress-org-1`
`PRIORITY`	Um número inteiro entre `1000` e `60000` que define o nível de prioridade. A prioridade mais alta é `1000`, e a mais baixa é `60000`. Este exemplo usa o nível de prioridade mais alto, `1000`.
`SOURCE_ZONE`	A zona de firewall que é a origem do tráfego. Por exemplo, `vsys2-oc`
`DESTINATION_ZONE`	A zona de firewall que é o destino do tráfego. Por exemplo, `vsys2-gpc`
`ACTION`	A ação que define se o tráfego será permitido ou negado. Por exemplo, usa a ação `allow`.
`OPTION`	A opção de definir um serviço. Os valores opcionais para definir serviços incluem o seguinte: `any`: define o uso de qualquer porta. `application-default`: a porta padrão do aplicativo. `selected`: o protocolo e a porta que você seleciona.
`PROTOCOL`	O protocolo de rede definido por você. Por exemplo, um protocolo como `TCP` ou `UDP`
`PORT`	O número da porta. Por exemplo, `1234`
`PROFILE_TYPE`	O tipo de perfil, como `none`, `group` e `profiles`.

Salve e armazene a regra da política de segurança na pasta security-policy-rule.
Navegue até o repositório iac e faça o commit da regra da política de segurança na ramificação main.

Importante: antes de confirmar, verifique se o arquivo kustomization.yaml existe.
```
ls IAC_REPO_PATH/iac/infrastructure/global/orgs/root/kustomization.yaml
```
Se o arquivo não existir, siga as etapas de 8 a 12 em Criar uma organização com IAC.
Siga a etapa três Acionar a substituição completa da configuração do firewall no runbook FW-G0003 para processar a substituição da configuração do firewall.

Criar regra de política de segurança com endereço IP específico

Crie um arquivo YAML para o recurso SecurityPolicyRule.

Adicione o conteúdo a seguir para criar o recurso personalizado SecurityPolicyRule:

apiVersion: firewall.private.gdc.goog/v1alpha2
kind: SecurityPolicyRule
metadata:
  labels:
    firewall.private.gdc.goog/policy-type: idps
  name: RULE_NAME
  namespace: NAMESPACE
spec:
  firewallVirtualSystemRef:
    name: FIREWALL_VIRTUAL_SYSTEM_NAME
  priority: PRIORITY
  source:
    zones:
    - SOURCE_ZONE
    addresses:
    - SOURCE_IP_ADDRESS
  destination:
    zones:
    - DESTINATION_ZONE
    addresses:
    - DESTINATION_IP_ADDRESS
  action: ACTION
  service:
    option: OPTION
    ports:
    - protocol: PROTOCOL
      ports: "PORT"
  profile:
    type: PROFILE_TYPE

Substitua as seguintes variáveis:

Variável	Descrição
`RULE_NAME`	O nome da regra. Por exemplo, `allow-ingress-org-1`
`NAMESPACE`	O namespace precisa corresponder ao nome da organização. Por exemplo, `org-1`
`FIREWALL_VIRTUAL_SYSTEM_NAME`	O nome do firewall. Por exemplo, `vsys2-org1`
`PRIORITY`	Um número inteiro entre `1000` e `60000` que define o nível de prioridade. A prioridade mais alta é `1000`, e a mais baixa é `60000`. Por exemplo, se a regra precisar do nível de prioridade mais alto, use `1000`.
`SOURCE_ZONE`	A zona de firewall que é a origem do tráfego. Por exemplo, `vsys2-oc`
`SOURCE_IP_ADDRESS`	O endereço IP para permitir o tráfego. O formato do endereço IP pode ser um único endereço IP `10.250.10.1`, um roteamento entre domínios sem classe (CIDR) `10.250.10.0/27`, um intervalo de endereços IP `10.250.10.1-10.250.10.8` ou `any`. Por exemplo, `172.21.0.0/20` indica que qualquer endereço IP de origem no CIDR `172.21.0.0/20` corresponde a essa regra.
`DESTINATION_ZONE`	A zona de firewall que é o destino do tráfego. Por exemplo, `vsys2-gpc`
`DESTINATION_IP_ADDRESS`	O endereço IP para permitir o tráfego. O formato do endereço IP pode ser um único endereço IP `10.250.10.1`, um roteamento entre domínios sem classe (CIDR) `10.250.10.0/27`, um intervalo de endereços IP `10.250.10.1-10.250.10.8` ou `any`. Por exemplo, o valor `any` indica que qualquer endereço IP de destino corresponderia à regra.
`ACTION`	A ação que define se o tráfego será `allow` ou `deny`. Por exemplo, `allow` permite o tráfego.
`OPTION`	A opção de definir um serviço. Os valores opcionais para definir serviços incluem o seguinte: `any`: define o uso de qualquer porta. `application-default`: a porta padrão do aplicativo. `selected`: o protocolo e a porta que você seleciona. Mais informações disponíveis na referência da API.
`PROTOCOL`	O protocolo de rede definido por você. Por exemplo, `TCP` para protocolo TCP.
`PORT`	O número da porta. Por exemplo, `443`
`PROFILE_TYPE`	O tipo de perfil, como `none`, `group` e `profiles`. Por exemplo, usar um tipo de perfil `none` significa que nenhum IDPS é aplicado.

Salve e armazene a regra da política de segurança na pasta security-policy-rule.
Navegue até o repositório iac e faça o commit da regra da política de segurança na ramificação main.

Importante: antes de confirmar, verifique se o arquivo kustomization.yaml existe.
```
ls IAC_REPO_PATH/iac/infrastructure/global/orgs/root/kustomization.yaml
```
Se o arquivo não existir, siga as etapas de 8 a 12 em Criar uma organização com IAC.
Siga a etapa três Acionar a substituição completa da configuração do firewall no runbook FW-G0003 para processar a substituição da configuração do firewall.