Esta página se ha traducido con Cloud Translation API.

Políticas de cortafuegos

Las políticas de cortafuegos te permiten agrupar varias reglas de cortafuegos para poder actualizarlas todas a la vez, controladas de forma eficaz por los roles de gestión de identidades y accesos (IAM). Estas políticas contienen reglas que pueden denegar o permitir conexiones de forma explícita, al igual que las reglas de cortafuegos de la nube privada virtual (VPC).

Políticas de cortafuegos jerárquicas

Las políticas de cortafuegos jerárquicas te permiten agrupar reglas en un objeto de política que se puede aplicar a muchas redes de VPC de uno o varios proyectos. Puedes asociar políticas de cortafuegos jerárquicas a toda una organización o a carpetas concretas.

Para consultar las especificaciones y los detalles de las políticas de cortafuegos jerárquicas, consulta Políticas de cortafuegos jerárquicas.

Políticas de cortafuegos de red globales

Las políticas de cortafuegos de red globales te permiten agrupar reglas en un objeto de política que se aplica a todas las regiones (global). Una política de cortafuegos no entra en vigor hasta que se asocia a una red de VPC. Para asociar una política de cortafuegos de red global a una red, consulta Asociar una política a la red. Después de asociar una política de cortafuegos de red global a una red de VPC, las reglas de la política se pueden aplicar a los recursos de la red de VPC. Solo puedes asociar una política de cortafuegos de red a una red de VPC.

Para consultar las especificaciones y los detalles de las políticas de cortafuegos de red globales, consulta Políticas de cortafuegos de red globales.

Políticas de cortafuegos de red regionales

Las políticas de cortafuegos de red regionales te permiten agrupar reglas en un objeto de política que se aplica a una región específica. Una política de cortafuegos de red regional no surte efecto hasta que se asocia a una red VPC de la misma región. Para asociar una política de cortafuegos de red regional a una red, consulta Asociar una política a la red. Después de asociar una política de cortafuegos de red regional a una red de VPC, las reglas de la política se pueden aplicar a los recursos de esa región de la red de VPC.

Para consultar las especificaciones y los detalles de las políticas de cortafuegos regionales, consulta Políticas de cortafuegos de red regionales.

Orden de evaluación de políticas y reglas

Las reglas de las políticas de cortafuegos de jerarquía, las políticas de cortafuegos de red globales, las políticas de cortafuegos de red regionales y las reglas de cortafuegos de VPC se implementan como parte del procesamiento de paquetes de las VMs de la pila de virtualización de la red Andromeda. Las reglas se evalúan en cada interfaz de red (NIC) de la VM.

La aplicabilidad de una regla no depende de la especificidad de su configuración de protocolos y puertos. Por ejemplo, una regla de permiso de mayor prioridad para todos los protocolos tiene prioridad sobre una regla de denegación de menor prioridad específica del puerto 22 de TCP.

Además, la aplicabilidad de una regla no depende de la especificidad del parámetro de destino. Por ejemplo, una regla de permiso de mayor prioridad para todas las máquinas virtuales (todos los destinos) tiene prioridad aunque haya una regla de denegación de menor prioridad con un parámetro de destino más específico (por ejemplo, una cuenta de servicio o una etiqueta concretas).

Determinar el orden de evaluación de las políticas y las reglas

El orden en el que se evalúan las reglas de la política de cortafuegos y las reglas de cortafuegos de la VPC se determina mediante la marca networkFirewallPolicyEnforcementOrder de la red de VPC a la que está conectada la NIC de la VM.

La marca networkFirewallPolicyEnforcementOrder puede tener los dos valores siguientes:

BEFORE_CLASSIC_FIREWALL: Si asignas el valor BEFORE_CLASSIC_FIREWALL a la marca, la política de cortafuegos de red global y la política de cortafuegos de red regional se evalúan antes que las reglas de cortafuegos de VPC en el orden de evaluación de reglas.
AFTER_CLASSIC_FIREWALL : si asignas el valor AFTER_CLASSIC_FIREWALL a la marca, la política de cortafuegos de red global y la política de cortafuegos de red regional se evalúan después de las reglas de cortafuegos de VPC en el orden de evaluación de las reglas. AFTER_CLASSIC_FIREWALL es el valor predeterminado de la marca networkFirewallPolicyEnforcementOrder.

Para cambiar el orden de evaluación de las reglas, consulte Cambiar el orden de evaluación de las políticas y las reglas.

Orden de evaluación predeterminado de las políticas y las reglas

De forma predeterminada, y cuando el networkFirewallPolicyEnforcementOrder de la red de VPC conectada a la NIC de la VM es AFTER_CLASSIC_FIREWALL,Google Cloud evalúa las reglas aplicables a la NIC de la VM en el siguiente orden:

Si una política de cortafuegos jerárquica está asociada a la organización que contiene el proyecto de la VM, Google Cloud evalúa todas las reglas aplicables de la política de cortafuegos jerárquica. Como las reglas de las políticas de cortafuegos jerárquicas deben ser únicas, la regla de mayor prioridad que coincida con la dirección del tráfico y las características de la capa 4 determina cómo se procesa el tráfico:
- La regla puede permitir el tráfico. El proceso de evaluación se detiene.
- La regla puede denegar el tráfico. El proceso de evaluación se detiene.
- La regla puede enviar el tráfico para la inspección de la capa 7 (apply_security_profile_group) al endpoint del cortafuegos. La decisión de permitir o rechazar el paquete depende del endpoint del cortafuegos y del perfil de seguridad configurado. En ambos casos, el proceso de evaluación de la regla se detiene.
- La regla puede permitir el tratamiento de las reglas definidas como se describe en los pasos siguientes si se cumple alguna de las siguientes condiciones:
  - Una regla con la acción goto_next coincide con el tráfico.
  - Ninguna regla coincide con el tráfico. En este caso, se aplica una regla goto_next implícita.
Si una política de cortafuegos jerárquica está asociada a la carpeta antecesora más lejana (superior) del proyecto de la VM, Google Cloud evalúa todas las reglas aplicables de la política de cortafuegos jerárquica de esa carpeta. Como las reglas de las políticas de cortafuegos jerárquicas deben ser únicas, la regla de mayor prioridad que coincida con la dirección del tráfico y las características de la capa 4 determina cómo se procesa el tráfico (allow, deny,, apply_security_profile_group, o goto_next), tal como se describe en el primer paso.
Google Cloud repite las acciones del paso anterior para una política de cortafuegos jerárquica asociada a la siguiente carpeta más cercana al proyecto de la VM en la jerarquía de recursos. Google Cloud Primero evalúa las reglas de las políticas de cortafuegos jerárquicas asociadas al ancestro de carpeta más lejano (el más cercano a la organización) y, a continuación, evalúa las reglas de las políticas de cortafuegos jerárquicas asociadas a la siguiente carpeta (hija) más cercana al proyecto de la VM.
Si existen reglas de cortafuegos de VPC en la red de VPC que usa la NIC de la VM, Google Cloud evalúa todas las reglas de cortafuegos de VPC aplicables.

A diferencia de las reglas de las políticas de cortafuegos:
- Las reglas de cortafuegos de VPC no tienen acciones explícitas goto_next ni apply_security_profile_group . Una regla de cortafuegos de VPC solo se puede configurar para permitir o denegar el tráfico.
- Dos o más reglas de cortafuegos de VPC en una red de VPC pueden compartir el mismo número de prioridad. En ese caso, las reglas de denegación tienen prioridad sobre las reglas de permiso. Para obtener más información sobre la prioridad de las reglas de cortafuegos de VPC, consulta la sección Prioridad de la documentación sobre reglas de cortafuegos de VPC.
Si no se aplica ninguna regla de firewall de VPC al tráfico, Google Cloud se pasa al siguiente paso: goto_nextimplícito.
Si una política de cortafuegos de red global está asociada a la NIC de la red de VPC de la VM, Google Cloud evalúa todas las reglas aplicables de la política de cortafuegos. Como las reglas de las políticas de cortafuegos deben ser únicas, la regla de mayor prioridad que coincida con la dirección del tráfico y las características de la capa 4 determina cómo se procesa el tráfico (allow, deny,, apply_security_profile_group o ), tal como se describe en el primer paso.goto_next
Si una política de cortafuegos de red regional está asociada a la red de VPC de la NIC de la VM y a la región de la VM,Google Cloud evalúa todas las reglas aplicables de la política de cortafuegos. Como las reglas de las políticas de cortafuegos deben ser únicas, la regla de mayor prioridad que coincida con la dirección del tráfico y las características de la capa 4 determina cómo se procesa el tráfico (allow, deny o goto_next), tal como se describe en el primer paso.
Como paso final de la evaluación, Google Cloud aplica las reglas de firewall de VPC de salida implícita y de entrada implícita denegada.

En el siguiente diagrama se muestra el flujo de resolución de las reglas de cortafuegos.

Flujo de resolución de reglas de cortafuegos. — **Imagen 1.** Flujo de resolución de reglas de cortafuegos (haz clic para ampliar).

Cambiar el orden de evaluación de las políticas y las reglas

Google Cloud te ofrece la opción de cambiar el proceso de evaluación de reglas predeterminado intercambiando el orden de las reglas de cortafuegos de VPC y las políticas de cortafuegos de red (tanto globales como regionales). Cuando hagas este cambio, la política de cortafuegos de red global (paso 5) y la política de cortafuegos de red regional (paso 6) se evaluarán antes que las reglas de cortafuegos de VPC (paso 4) en el orden de evaluación de reglas.

Para cambiar el orden de evaluación de las reglas, ejecuta el siguiente comando para definir el atributo networkFirewallPolicyEnforcementOrder de la red VPC en BEFORE_CLASSIC_FIREWALL:

gcloud compute networks update VPC-NETWORK-NAME \
    --network-firewall-policy-enforcement-order BEFORE_CLASSIC_FIREWALL

Para obtener más información, consulta el método networks.patch.

Reglas de cortafuegos efectivas

Las reglas de políticas de cortafuegos jerárquicas, las reglas de cortafuegos de VPC y las reglas de políticas de cortafuegos de red globales y regionales controlan las conexiones. Puede ser útil ver todas las reglas de cortafuegos que afectan a una interfaz de red o de VM concreta.

Reglas de cortafuegos efectivas de la red

Puedes ver todas las reglas de cortafuegos aplicadas a una red de VPC. La lista incluye todos los tipos de reglas siguientes:

Reglas heredadas de políticas de cortafuegos jerárquicas
Reglas de cortafuegos de VPC
Reglas aplicadas desde las políticas de cortafuegos de red globales y regionales

Reglas de cortafuegos efectivas de la instancia

Puedes ver todas las reglas de cortafuegos aplicadas a la interfaz de red de una VM. La lista incluye todos los tipos de reglas siguientes:

Reglas heredadas de políticas de cortafuegos jerárquicas
Reglas aplicadas desde el cortafuegos de la VPC de la interfaz
Reglas aplicadas desde las políticas de cortafuegos de red globales y regionales

Las reglas se ordenan desde el nivel de organización hasta la red de VPC. Solo se muestran las reglas que se aplican a la interfaz de la máquina virtual. No se muestran las reglas de otras políticas.

Para ver las reglas de la política de cortafuegos en vigor de una región, consulta Obtener las políticas de cortafuegos en vigor de una red.

Reglas predefinidas

Cuando creas una política de cortafuegos jerárquica, una política de cortafuegos de red global o una política de cortafuegos de red regional, Cloud NGFW añade reglas predefinidas a la política. Las reglas predefinidas que Cloud NGFW añade a la política dependen de cómo crees la política.

Si creas una política de cortafuegos con la Google Cloud consola, Cloud NGFW añade las siguientes reglas a la nueva política:

Reglas de ir a siguiente para intervalos IPv4 privados
Reglas de denegación predefinidas de Google Threat Intelligence
Reglas de denegación de geolocalización predefinidas
Reglas de ir a la siguiente con la prioridad más baja posible

Si creas una política de cortafuegos con la CLI de Google Cloud o la API, Cloud NGFW solo añade a la política las reglas de prioridad más baja posibles para ir a la siguiente.

Todas las reglas predefinidas de una nueva política de cortafuegos usan intencionadamente prioridades bajas (números de prioridad altos) para que puedas anularlas creando reglas con prioridades más altas. A excepción de las reglas de ir a la siguiente con la prioridad más baja posible, también puede personalizar las reglas predefinidas.

Reglas de salto a la siguiente para intervalos de IPv4 privados

Una regla de salida con intervalos IPv4 de destino 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridad 1000 y acción goto_next.
Una regla de entrada con los intervalos de IPv4 de origen 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, la prioridad 1001 y la acción goto_next.

Reglas de denegación predefinidas de Google Threat Intelligence

Una regla de entrada con la lista de Google Threat Intelligence iplist-tor-exit-nodes, la prioridad 1002 y la acción deny.
Una regla de entrada con la lista de Google Threat Intelligence iplist-known-malicious-ips, la prioridad 1003 y la acción deny.
Una regla de salida con la lista de Google Threat Intelligence iplist-known-malicious-ips, prioridad 1004 y acción deny.

Para obtener más información sobre Google Threat Intelligence, consulta el artículo Google Threat Intelligence para reglas de políticas de cortafuegos.

Reglas de denegación de geolocalización predefinidas

Una regla de entrada con geolocalizaciones de origen coincidentes CU, IR, KP, SY, XC y XD, prioridad 1005 y acción deny.

Para obtener más información sobre las geolocalizaciones, consulta Objetos de geolocalización.

Reglas de ir a la siguiente con la prioridad más baja posible

No puedes modificar ni eliminar las siguientes reglas:

Una regla de salida con el intervalo IPv6 de destino ::/0, la prioridad 2147483644 y la goto_next acción.
Una regla de entrada con el intervalo IPv6 de origen ::/0, la prioridad 2147483645 y la acción goto_next.
Una regla de salida con el intervalo de IPv4 de destino 0.0.0.0/0, la prioridad 2147483646 y la goto_next acción.
Una regla de entrada con el intervalo IPv4 de origen 0.0.0.0/0, la prioridad 2147483647 y la goto_next acción.

Siguientes pasos

Para crear y modificar reglas y políticas de cortafuegos jerárquicas, consulta Usar políticas de cortafuegos jerárquicas.
Para ver ejemplos de implementaciones de políticas de cortafuegos jerárquicas, consulta Ejemplos de políticas de cortafuegos jerárquicas.
Para crear y modificar políticas y reglas de cortafuegos de red globales, consulta Usar políticas de cortafuegos de red globales.
Para crear y modificar políticas y reglas de cortafuegos de red regionales, consulta Usar políticas de cortafuegos de red regionales.