Políticas de firewall

As políticas de firewall permitem agrupar várias regras de firewall para que você possa atualizá-las de uma só vez, efetivamente controladas pelos papéis do Identity and Access Management (IAM). Essas políticas contêm regras que podem negar ou permitir conexões explicitamente, assim como as regras de firewall da nuvem privada virtual (VPC).

Políticas de firewall hierárquicas

As políticas hierárquicas de firewall permitem agrupar regras em um objeto de política que pode ser aplicado a muitas redes VPC em um ou mais projetos. É possível associar políticas de firewall hierárquicas a uma organização inteira ou pastas individuais.

Veja detalhes e especificações da política de firewall hierárquica em Políticas de firewall hierárquicas.

Políticas globais de firewall de rede

As políticas de firewall de rede global permitem agrupar regras em um objeto de política aplicável a todas as regiões (global). Uma política de firewall não entra em vigor até ser associada a uma rede VPC. Para associar uma política de firewall de rede global a uma rede, consulte Associar uma política à rede. Depois de associar uma política de firewall de rede global a uma rede VPC, as regras na política podem ser aplicadas a recursos na rede VPC. Só é possível associar uma política de firewall de rede a uma rede VPC.

Veja detalhes e especificações da política de firewall de rede global em Políticas de firewall de rede global.

Políticas de firewall da rede regional

As políticas de firewall da rede regional permitem agrupar regras em um objeto de política aplicável a uma região específica. Uma política de firewall de rede regional não entra em vigor até ser associada a uma rede VPC na mesma região. Para associar uma política de firewall de rede regional a uma rede, consulte Associar uma política à rede. Depois de associar uma política de firewall de rede regional a uma rede VPC, as regras na política podem ser aplicadas aos recursos nessa região da rede VPC.

Veja detalhes e especificações da política de firewall regional em Políticas de firewall de rede regionais.

Aplicar políticas e regras de firewall a uma rede

As redes VPC comuns são compatíveis com regras de firewall em políticas hierárquicas de firewall, políticas de firewall de rede global, políticas de firewall de rede regional e regras de firewall da VPC. Todas as regras de firewall são programadas como parte da pilha de virtualização de rede Andromeda.

Para redes VPC RoCE, consulte Cloud NGFW para redes VPC RoCE em vez desta seção.

Ordem de aplicação da política de firewall de rede

Cada rede VPC comum tem uma ordem de aplicação de política de firewall de rede que controla quando as regras em políticas de firewall de rede global e regional são avaliadas.

  • AFTER_CLASSIC_FIREWALL (padrão): o Cloud NGFW avalia as regras de firewall da VPC antes de avaliar as regras em políticas de firewall de rede globais e regionais.

  • BEFORE_CLASSIC_FIREWALL: o Cloud NGFW avalia as regras em políticas de firewall de rede globais e regionais antes de avaliar as regras de firewall da VPC.

Para mudar a ordem de aplicação da política de firewall de rede, faça o seguinte:

  • Use o método networks.patch e defina o atributo networkFirewallPolicyEnforcementOrder da rede VPC.

  • Use o comando gcloud compute networks update com a flag --network-firewall-policy-enforcement-order.

    Exemplo:

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

Processo de avaliação de regras de firewall

Para um determinado pacote, o Cloud NGFW avalia as seguintes regras exclusivamente com base na direção do tráfego:

  • Regras de firewall de entrada se um recurso de destino receber o pacote.
  • Regras de firewall de saída se um recurso de destino enviar o pacote.

O NGFW do Cloud avalia as regras de firewall em uma ordem específica. A ordem depende da ordem de aplicação da política de firewall de rede, que pode ser AFTER_CLASSIC_FIREWALL ou BEFORE_CLASSIC_FIREWALL.

Ordem de avaliação de regras na ordem de aplicação AFTER_CLASSIC_FIREWALL

Na ordem de aplicação da política de firewall de rede AFTER_CLASSIC_FIREWALL, o Cloud NGFW avalia as regras de firewall da VPC depois de avaliar as regras em políticas hierárquicas de firewall. Essa é a ordem de avaliação padrão.

As regras de firewall são avaliadas na seguinte ordem:

  1. Políticas de firewall hierárquicas.

    O Cloud NGFW avalia as políticas hierárquicas de firewall na seguinte ordem:

    1. A política hierárquica de firewall associada à organização que contém o recurso de destino.
    2. Políticas hierárquicas de firewall associadas a ancestrais de pastas, da pasta de nível superior até a pasta que contém o projeto do recurso de destino.

    Ao avaliar regras em cada política hierárquica de firewall, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política hierárquica de firewall, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e interrompe toda a avaliação de regras.
    • apply_security_profile_group: a regra encaminha o tráfego para um endpoint de firewall configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou descartar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para uma das seguintes opções:
      • Uma política hierárquica de firewall associada a um ancestral de pasta mais próximo do recurso de destino, se houver.
      • A próxima etapa na ordem de avaliação, se todas as políticas hierárquicas de firewall tiverem sido avaliadas.

    Se nenhuma regra em uma política hierárquica de firewall corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para uma das seguintes opções:

    • Uma política hierárquica de firewall associada a um ancestral de pasta mais próximo do recurso de destino, se houver.
    • A próxima etapa na ordem de avaliação, se todas as políticas hierárquicas de firewall tiverem sido avaliadas.

  2. Regras de firewall da VPC.

    Ao avaliar as regras de firewall da VPC, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Quando uma ou duas regras de firewall da VPC correspondem ao tráfego, a ação, se houver correspondência, da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e interrompe toda a avaliação de regras.

    Se duas regras forem correspondentes, elas precisam ter a mesma prioridade, mas ações diferentes. Nesse caso, o Cloud NGFW aplica a regra de firewall da VPC deny e ignora a regra de firewall da VPC allow.

    Se nenhuma regra de firewall da VPC corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita para continuar para a próxima etapa na ordem de avaliação.

  3. Política global de firewall de rede.

    Ao avaliar regras em uma política de firewall de rede global, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política global de firewall de rede, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e interrompe toda a avaliação de regras.
    • apply_security_profile_group: a regra encaminha o tráfego para um endpoint de firewall configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou descartar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para a etapa de política de firewall de rede regional na ordem de avaliação.

    Se nenhuma regra em uma política de firewall de rede global corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para a etapa da política de firewall de rede regional na ordem de avaliação.

  4. Políticas regionais de firewall da rede.

    O Cloud NGFW avalia as regras em políticas de firewall de rede regionais associadas à região e à rede VPC do recurso de destino.

    Ao avaliar regras em uma política de firewall de rede regional, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política de firewall de rede regional, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e interrompe toda a avaliação de regras.
    • goto_next: a avaliação da regra continua para a próxima etapa na ordem de avaliação.

    Se nenhuma regra em uma política de firewall de rede regional corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para a próxima etapa na ordem de avaliação.

  5. Regras de firewall implícitas.

    O Cloud NGFW aplica as seguintes regras de firewall implícitas quando todas as regras que correspondem ao tráfego têm uma ação goto_next explícita ou quando a avaliação da regra continua seguindo ações goto_next implícitas.

    • Saída de permissão implícita
    • Negação implícita de entrada

O diagrama a seguir mostra a ordem de avaliação quando a ordem de aplicação da política de firewall de rede é AFTER_CLASSIC_FIREWALL:

Fluxo de resolução de regras de firewall
Figura 1. Fluxo de resolução de regras de firewall se a ordem de aplicação da política de firewall de rede for AFTER_CLASSIC_FIREWALL (clique para ampliar).

Ordem de avaliação de regras na ordem de aplicação BEFORE_CLASSIC_FIREWALL

Na ordem de aplicação da política de firewall de rede BEFORE_CLASSIC_FIREWALL, o Cloud NGFW avalia as regras de firewall da VPC depois de avaliar as regras nas políticas de firewall de rede.

As regras de firewall são avaliadas na seguinte ordem:

  1. Políticas de firewall hierárquicas.

    O Cloud NGFW avalia as políticas hierárquicas de firewall na seguinte ordem:

    1. A política hierárquica de firewall associada à organização que contém o recurso de destino.
    2. As políticas hierárquicas de firewall associadas aos ancestrais da pasta, da pasta de nível superior até a pasta que contém o projeto do recurso de destino.

    Ao avaliar regras em cada política hierárquica de firewall, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política hierárquica de firewall, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e interrompe toda a avaliação de regras.
    • apply_security_profile_group: a regra encaminha o tráfego para um endpoint de firewall configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou descartar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para uma das seguintes opções:
      • Uma política hierárquica de firewall associada a um ancestral de pasta mais próximo do recurso de destino, se houver.
      • A próxima etapa na ordem de avaliação, se todas as políticas hierárquicas de firewall tiverem sido avaliadas.

    Se nenhuma regra em uma política hierárquica de firewall corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para uma das seguintes opções:

    • Uma política hierárquica de firewall associada a um ancestral de pasta mais próximo do recurso de destino, se houver.
    • A próxima etapa na ordem de avaliação, se todas as políticas hierárquicas de firewall tiverem sido avaliadas.

  2. Política global de firewall de rede.

    Ao avaliar regras em uma política de firewall de rede global, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política global de firewall de rede, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e interrompe toda a avaliação de regras.
    • apply_security_profile_group: a regra encaminha o tráfego para um endpoint de firewall configurado e toda a avaliação de regras é interrompida. A decisão de permitir ou descartar o pacote depende do perfil de segurança configurado do grupo de perfis de segurança.
    • goto_next: a avaliação da regra continua para a etapa de política de firewall de rede regional na ordem de avaliação.

    Se nenhuma regra em uma política de firewall de rede global corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para a etapa da política de firewall de rede regional na ordem de avaliação.

  3. Políticas regionais de firewall da rede.

    O Cloud NGFW avalia as regras em políticas de firewall de rede regionais associadas à região e à rede VPC do recurso de destino. Se várias políticas estiverem associadas à mesma região e rede, a de maior prioridade de associação será avaliada primeiro.

    Ao avaliar regras em uma política de firewall de rede regional, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Em uma política de firewall de rede regional, no máximo uma regra pode corresponder ao tráfego. A ação se houver correspondência da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e interrompe toda a avaliação de regras.
    • goto_next: a avaliação da regra continua para a próxima etapa na ordem de avaliação.

    Se nenhuma regra em uma política de firewall de rede regional corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita. Essa ação continua a avaliação para a próxima etapa na ordem de avaliação.

  4. Regras de firewall da VPC.

    Ao avaliar as regras de firewall da VPC, o Cloud NGFW realiza as seguintes etapas:

    1. Desconsidere todas as regras cujos destinos não correspondam ao recurso de destino.
    2. Ignore todas as regras que não correspondem à direção do pacote.
    3. Avalie as regras restantes da prioridade mais alta para a mais baixa.

      A avaliação é interrompida quando uma das seguintes condições é atendida:

      • Uma regra que se aplica ao recurso de destino corresponde ao tráfego.
      • Nenhuma regra aplicável ao recurso de destino corresponde ao tráfego.

    Quando uma ou duas regras de firewall da VPC correspondem ao tráfego, a ação, se houver correspondência, da regra de firewall pode ser uma das seguintes:

    • allow: a regra permite o tráfego e toda a avaliação de regras é interrompida.
    • deny: a regra nega o tráfego e interrompe toda a avaliação de regras.

    Se duas regras forem correspondentes, elas precisam ter a mesma prioridade, mas ações diferentes. Nesse caso, o Cloud NGFW aplica a regra de firewall da VPC deny e ignora a regra de firewall da VPC allow.

    Se nenhuma regra de firewall da VPC corresponder ao tráfego, o Cloud NGFW usará uma ação goto_next implícita para continuar para a próxima etapa na ordem de avaliação.

  5. Regras de firewall implícitas.

    O Cloud NGFW aplica as seguintes regras de firewall implícitas quando todas as regras que correspondem ao tráfego têm uma ação goto_next explícita ou quando a avaliação da regra continua seguindo ações goto_next implícitas.

    • Saída de permissão implícita
    • Negação implícita de entrada

O diagrama a seguir mostra a ordem de avaliação quando a ordem de aplicação da política de firewall de rede é BEFORE_CLASSIC_FIREWALL:

Fluxo de resolução de regras de firewall
Figura 2. Fluxo de resolução de regras de firewall se a ordem de aplicação da política de firewall de rede for BEFORE_CLASSIC_FIREWALL (clique para ampliar).

Regras de firewall eficazes

As regras da política hierárquica de firewall, as regras de firewall da VPC e as regras de política de firewall de rede global e regional controlam as conexões. Pode ser útil ver todas as regras de firewall que afetam uma rede ou interface de VM individual.

Regras de firewall eficazes da rede

É possível visualizar todas as regras de firewall aplicadas a uma rede VPC. A lista inclui todos os tipos de regras a seguir:

  • Regras herdadas de políticas hierárquicas de firewall
  • Regras de firewall da VPC
  • Regras aplicadas pelas políticas de firewall da rede global e regional

Regras de firewall efetivas da instância

É possível ver todas as regras de firewall aplicadas à interface de rede de uma VM. A lista inclui todos os tipos de regras a seguir:

  • Regras herdadas de políticas hierárquicas de firewall
  • Regras aplicadas pelo firewall da VPC da interface
  • Regras aplicadas pelas políticas de firewall da rede global e regional

As regras são ordenadas do nível da organização até as regras da VPC. Somente as regras que se aplicam à interface da VM são mostradas. As regras em outras políticas não são mostradas.

Para ver as regras de política de firewall vigentes em uma região, consulte Receber políticas eficazes de firewall regional para uma rede.

Regras predefinidas

Quando você cria uma política de firewall hierárquica, de rede global ou regional, o Cloud NGFW adiciona regras predefinidas à política. As regras predefinidas que o Cloud NGFW adiciona à política dependem de como você cria a política.

Se você criar uma política de firewall usando o console Google Cloud , o Cloud NGFW adicionará as seguintes regras à nova política:

  1. Regras "Goto-next" para intervalos IPv4 particulares
  2. Regras de negação predefinidas do Google Threat Intelligence
  3. Regras de negação de localização geográfica predefinidas
  4. Regras para ir para a próxima prioridade com a menor prioridade possível

Se você criar uma política de firewall usando a CLI do Google Cloud ou a API, o Cloud NGFW adicionará apenas as regras goto-next de prioridade mais baixa possível à política.

Todas as regras predefinidas em uma nova política de firewall usam prioridades baixas (números de prioridade grandes) para que você possa substituí-las criando regras com prioridades mais altas. Exceto pelas regras goto-next com a menor prioridade possível, também é possível personalizar as regras predefinidas.

Regras "Goto-next" para intervalos IPv4 particulares

  • Uma regra de saída com intervalos IPv4 de destino 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridade 1000 e ação goto_next.

  • Uma regra de entrada com intervalos IPv4 de origem 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridade 1001 e ação goto_next.

Regras de negação predefinidas do Google Threat Intelligence

  • Uma regra de entrada com a lista de inteligência contra ameaças do Google de origem iplist-tor-exit-nodes, prioridade 1002 e ação deny.

  • Uma regra de entrada com a lista de inteligência contra ameaças do Google de origem iplist-known-malicious-ips, prioridade 1003 e ação deny.

  • Uma regra de saída com a lista de inteligência contra ameaças do Google de destino iplist-known-malicious-ips, prioridade 1004 e ação deny.

Para saber mais sobre a inteligência contra ameaças do Google, consulte Inteligência contra ameaças do Google para regras de política de firewall.

Regras de negação de localização geográfica predefinidas

  • Uma regra de entrada com a origem correspondente aos locais geográficos CU, IR, KP, SY, XC e XD, prioridade 1005 e ação deny.

Para saber mais sobre localizações geográficas, consulte Objetos de geolocalização.

Regras goto-next com a menor prioridade possível

Não é possível modificar ou excluir as seguintes regras:

  • Uma regra de saída com o intervalo IPv6 de destino ::/0, prioridade 2147483644 e ação goto_next.

  • Uma regra de entrada com intervalo IPv6 de origem ::/0, prioridade 2147483645 e ação goto_next.

  • Uma regra de saída com o intervalo IPv4 de destino 0.0.0.0/0, prioridade 2147483646 e ação goto_next.

  • Uma regra de entrada com o intervalo IPv4 de origem 0.0.0.0/0, prioridade 2147483647 e ação goto_next.

A seguir