Gestisci le risorse firewall utilizzando vincoli personalizzati

Google Cloud Organization Policy offre un controllo centralizzato e programmatico sulle risorse dell'organizzazione. In qualità di amministratore dei criteri dell'organizzazione, puoi definire un criterio dell'organizzazione, ovvero un insieme di restrizioni chiamate vincoli che si applicano alle risorse Google Cloud e ai relativi discendenti nella gerarchia delle risorse di Google Cloud. Puoi applicare i criteri dell'organizzazione a livello di organizzazione, cartella o progetto.

Criterio dell'organizzazione fornisce vincoli predefiniti per vari servizi Google Cloud. Tuttavia, se vuoi un controllo più granulare e personalizzabile sui campi specifici limitati nei criteri dell'organizzazione, puoi anche creare vincoli personalizzati e applicarli in un criterio dell'organizzazione personalizzato.

Ereditarietà dei criteri

Per impostazione predefinita, i criteri dell'organizzazione vengono ereditati dai discendenti delle risorse su cui applichi il criterio. Ad esempio, se applichi un criterio a una cartella, Google Cloud applica il criterio a tutti i progetti nella cartella. Per scoprire di più su questo comportamento e su come modificarlo, consulta Regole di valutazione della gerarchia.

Risorse supportate da Cloud NGFW

Per le regole firewall VPC, puoi impostare vincoli personalizzati sulle risorse e sui campi seguenti.

  • Firewall: compute.googleapis.com/Firewall
    • Nome: resource.name
    • Descrizione: resource.description
    • Rete: resource.network
    • Priorità: resource.priority
    • Intervalli di origine: resource.sourceRanges[]
    • Intervalli di destinazione: resource.destinationRanges[]
    • Tag di origine: resource.sourceTags[]
    • Tag di destinazione: resource.targetTags[]
    • Regole di autorizzazione: resource.allowed[]
      • Protocollo: resource.allowed[].IPProtocol
      • Porte: resource.allowed[].ports[]
    • Regole di negazione: resource.denied[]
      • Protocollo: resource.denied[].IPProtocol
      • Porte: resource.denied[].ports[]
    • Direzione: resource.direction
    • Disattivato: resource.disabled

Definizione di vincoli personalizzati

Un vincolo personalizzato è definito dalle risorse, dai metodi, dalle condizioni e dalle azioni supportate dal servizio su cui applichi il criterio dell'organizzazione. Le condizioni per i vincoli personalizzati vengono definite utilizzando il linguaggio CEL (Common Expression Language). Per ulteriori informazioni su come creare condizioni nei vincoli personalizzati utilizzando la tecnologia CEL, consulta la sezione CEL della sezione Creazione e gestione dei criteri dell'organizzazione.

Oltre alle funzioni CEL standard, puoi utilizzare la funzione CEL personalizzata containsFirewallPort per creare vincoli personalizzati per le regole firewall. Puoi utilizzare questa funzione per creare un vincolo che fa riferimento a un particolare protocollo o a una combinazione di protocollo e porta.

  • Solo protocollo: resource.allowed.containsFirewallPort('PROTOCOL')
  • Protocollo e porta: resource.allowed.containsFirewallPort('PROTOCOL', 'PORT_NUMBER')

Per informazioni sui protocolli consentiti, consulta Protocolli e porte.

Prima di iniziare

  • Se non l'hai ancora fatto, configura l'autenticazione. L'autenticazione è il processo mediante il quale viene verificata l'identità per l'accesso ai servizi e alle API Google Cloud. Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti in Compute Engine nel seguente modo.

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Installa Google Cloud CLI, quindi initialize eseguendo questo comando: 

      gcloud init
    2. Set a default region and zone.

      3. REST

      Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, devi utilizzare le credenziali che fornisci a gcloud CLI.

        Installa Google Cloud CLI, quindi initialize eseguendo questo comando: 

        gcloud init

      Per maggiori informazioni, consulta Autenticazione per REST nella documentazione sull'autenticazione di Google Cloud.

* Assicurati di conoscere l' ID organizzazione. * Scopri le limitazioni.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire i criteri dell'organizzazione per le risorse firewall di Cloud Next Generation, chiedi all'amministratore di concederti i seguenti ruoli IAM:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per gestire i criteri dell'organizzazione per le risorse firewall di Cloud Next Generation. Per visualizzare le autorizzazioni esatte necessarie, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per gestire i criteri dell'organizzazione per le risorse firewall di Cloud Next Generation sono necessarie le autorizzazioni seguenti:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Potresti anche essere in grado di ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.

Configura un vincolo personalizzato

Puoi creare un vincolo personalizzato e configurarlo per l'utilizzo nei criteri dell'organizzazione utilizzando la console Google Cloud o Google Cloud CLI.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Seleziona il selettore dei progetti nella parte superiore della pagina.

  3. Dal selettore dei progetti, seleziona la risorsa per la quale vuoi impostare il criterio dell'organizzazione.

  4. Fai clic su Vincolo personalizzato.

  5. Nella casella Nome visualizzato, inserisci un nome intuitivo per il vincolo. Questo campo ha una lunghezza massima di 200 caratteri. Non utilizzare PII o dati sensibili nei nomi dei vincoli, perché potrebbero essere esposti nei messaggi di errore.

  6. Nella casella ID vincolo, inserisci il nome desiderato per il nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare con custom. e può includere solo lettere maiuscole, lettere minuscole o numeri, ad esempio custom.httpFirewallRule. La lunghezza massima di questo campo è 70 caratteri, senza contare il prefisso, ad esempio organizations/123456789/customConstraints/custom..

  7. Nella casella Descrizione, inserisci una descrizione intuitiva del vincolo da visualizzare come messaggio di errore in caso di violazione del criterio. Questo campo ha una lunghezza massima di 2000 caratteri.

  8. Nella casella Tipo di risorsa, seleziona il nome della risorsa REST Google Cloud contenente l'oggetto e il campo che vuoi limitare. Ad esempio, compute.googleapis.com/Firewall.

  9. In Metodo di applicazione, scegli se applicare il vincolo al metodo CREATE REST.

  10. Per definire una condizione, fai clic su Modifica condizione.

    1. Nel riquadro Aggiungi condizione, crea una condizione CEL che faccia riferimento a una risorsa di servizio supportata. Questo campo ha una lunghezza massima di 1000 caratteri.

    2. Fai clic su Salva.

  11. In Azione, scegli se consentire o negare il metodo valutato se la condizione precedente è soddisfatta.

  12. Fai clic su Crea vincolo.

Dopo aver inserito un valore in ogni campo, la configurazione YAML equivalente per questo vincolo personalizzato viene visualizzata a destra.

gcloud

Per creare un vincolo personalizzato utilizzando Google Cloud CLI, crea un file YAML per il vincolo personalizzato:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resource_types: compute.googleapis.com/RESOURCE_NAME
method_types:
- CREATE
condition: "CONDITION"
action_type: ACTION
display_name: DISPLAY_NAME
description: DESCRIPTION

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID organizzazione, ad esempio 123456789.

  • CONSTRAINT_NAME: il nome del nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare con custom. e può includere solo lettere maiuscole, lettere minuscole o numeri, ad esempio custom.httpFirewallRule. La lunghezza massima di questo campo è 70 caratteri, senza contare il prefisso, ad esempio organizations/123456789/customConstraints/custom.

  • RESOURCE_NAME: il nome (non l'URI) della risorsa REST dell'API Compute Engine contenente l'oggetto e il campo che vuoi limitare. Ad esempio, Firewall.

  • CONDITION: una condizione CEL scritta in base a una rappresentazione di una risorsa di servizio supportata. Questo campo ha una lunghezza massima di 1000 caratteri. Per ulteriori informazioni sulle risorse disponibili per la scrittura delle condizioni, consulta Risorse supportate.

  • ACTION: l'azione da eseguire se condition viene soddisfatto. Il valore può essere ALLOW o DENY.

  • DISPLAY_NAME: un nome intuitivo per il vincolo. Questo campo ha una lunghezza massima di 200 caratteri.

  • DESCRIPTION: una descrizione intuitiva del vincolo da mostrare come messaggio di errore quando viene violata la norma. Questo campo ha una lunghezza massima di 2000 caratteri.

Per saperne di più su come creare un vincolo personalizzato, consulta Definizione di vincoli personalizzati.

Dopo aver creato un nuovo vincolo personalizzato utilizzando Google Cloud CLI, devi configurarlo per renderlo disponibile per i criteri dell'organizzazione nella tua organizzazione. Per configurare un vincolo personalizzato, utilizza il comando gcloud org-policies set-custom-constraint: 
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
Sostituisci CONSTRAINT_PATH con il percorso completo del file di vincoli personalizzati. Ad esempio, /home/user/customconstraint.yaml. Al termine, troverai i vincoli personalizzati come criteri dell'organizzazione disponibili nell'elenco dei criteri dell'organizzazione di Google Cloud. Per verificare l'esistenza del vincolo personalizzato, utilizza il comando gcloud org-policies list-custom-constraints: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
Sostituisci ORGANIZATION_ID con l'ID della risorsa dell'organizzazione. Per maggiori informazioni, vedi Visualizzare i criteri dell'organizzazione.

Forza l'applicazione di un vincolo personalizzato

Puoi applicare un vincolo booleano creando un criterio dell'organizzazione che vi faccia riferimento e applicando questo criterio a una risorsa Google Cloud.

Console

Per applicare un vincolo booleano:

  1. Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Seleziona il selettore di progetti nella parte superiore della pagina.
  3. Dal selettore dei progetti, scegli il progetto per cui vuoi impostare il criterio dell'organizzazione.
  4. Seleziona il vincolo dall'elenco nella pagina Criteri dell'organizzazione. Viene visualizzata la pagina Dettagli criterio per tale vincolo.
  5. Per configurare il criterio dell'organizzazione per questa risorsa, fai clic su Gestisci criterio.
  6. Nella pagina Modifica criterio, seleziona Sostituisci criterio del padre.
  7. Fai clic su Aggiungi una regola.
  8. In Applicazione, scegli se l'applicazione di questo criterio dell'organizzazione deve essere attivata o disattivata.
  9. Facoltativamente, per rendere condizionale il criterio dell'organizzazione a un tag, fai clic su Aggiungi condizione. Tieni presente che se aggiungi una regola condizionale a un criterio dell'organizzazione, devi aggiungere almeno una regola senza condizioni, altrimenti il criterio non potrà essere salvato. Per maggiori dettagli, consulta Configurare un criterio dell'organizzazione con tag.
  10. Se si tratta di un vincolo personalizzato, puoi fare clic su Testa modifiche per simulare l'effetto di questo criterio dell'organizzazione. Per maggiori informazioni, consulta Testare le modifiche ai criteri dell'organizzazione con Policy Simulator.
  11. Per completare e applicare il criterio dell'organizzazione, fai clic su Imposta criterio. L'applicazione del criterio richiederà fino a 15 minuti.

gcloud

Per creare un criterio dell'organizzazione che applichi un vincolo booleano, crea un file YAML del criterio che faccia riferimento al vincolo: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Sostituisci quanto segue:

  • PROJECT_ID: il progetto a cui vuoi applicare il vincolo.
  • CONSTRAINT_NAME: il nome definito per il vincolo personalizzato. Ad esempio, custom.httpFirewallRule.

Per applicare il criterio dell'organizzazione contenente il vincolo, esegui questo comando: 

    gcloud org-policies set-policy POLICY_PATH

Sostituisci POLICY_PATH con il percorso completo del file YAML dei criteri dell'organizzazione. L'applicazione del criterio richiederà fino a 15 minuti.

Esempio: creare un vincolo che limita la creazione di regole firewall che consentono le connessioni SSH

Questo vincolo impedisce la creazione di regole firewall in entrata che consentono le connessioni SSH da qualsiasi intervallo di indirizzi IP diverso dai seguenti intervalli:

  • 10.0.0.0/8: un intervallo di indirizzi IP interni utilizzato nella rete VPC.
  • 192.168.0.0/16: un intervallo di indirizzi IP interni utilizzato nella rete VPC.

  • 35.235.240.0/20: l'intervallo di indirizzi IP utilizzato da Identity-Aware Proxy (IAP) per l'inoltro TCP.

gcloud

  1. Crea un file di vincolo restrictSshRanges.yaml con le seguenti informazioni. Sostituisci ORGANIZATION_ID con l'ID organizzazione.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictSshRanges
resource_types: compute.googleapis.com/Firewall
condition: "resource.direction.matches('INGRESS') && resource.allowed.containsFirewallPort('tcp', '22') && !resource.sourceRanges.all(range, range == '35.235.240.0/20' || range.startsWith('10.') || range.startsWith('192.168.'))"
action_type: DENY
method_types: CREATE
display_name: Limit firewall rules that allow ingress SSH traffic
description: Firewall rules that allow ingress SSH traffic can only be created with allowed source ranges.

  2. Imposta il vincolo personalizzato.

    gcloud org-policies set-custom-constraint restrictSshRanges.yaml

  3. Crea un file di criteri restrictSshRanges-policy.yaml con le seguenti informazioni. In questo esempio applichiamo questo vincolo a livello di progetto, ma puoi impostarlo anche a livello di organizzazione o cartella. Sostituisci PROJECT_ID con l'ID progetto.

        name: projects/PROJECT_ID/policies/custom.restrictSshRanges
    spec:
      rules:
      – enforce: true

  4. Applicare il criterio.

    gcloud org-policies set-policy restrictSshRanges-policy.yaml

  5. Testa il vincolo cercando di creare una rete VPC in modalità automatica. Sostituisci NETWORK con il nome della tua rete.

    gcloud compute firewall-rules create ssh-firewall-rule \
    --action=ALLOW  --direction=INGRESS  --network=NETWORK \
    --priority=1000  --rules=tcp:22  --source-ranges=0.0.0.0/0

    L'output è simile al seguente:

    ERROR: (gcloud.compute.networks.create) Could not fetch resource:
- Operation denied by custom org policy: [customConstraints/custom.restrictSshRanges] : Firewall rules that allow ingress SSH traffic can only be created with allowed source ranges.

Limitazioni

  • I vincoli personalizzati vengono applicati solo al metodo CREATE per le risorse delle regole firewall di Virtual Private Cloud.

Prezzi

Il servizio Criteri dell'organizzazione, inclusi i criteri predefiniti e personalizzati dell'organizzazione, viene offerto senza costi aggiuntivi.

Passaggi successivi