Criteri firewall

I criteri firewall consentono di raggruppare diverse regole firewall in modo da poterle aggiornare tutte insieme, con un controllo efficace mediante ruoli IAM (Identity and Access Management). Queste policy contengono regole che possono negare o consentire esplicitamente le connessioni, come le regole firewall VPC (Virtual Private Cloud).

Criteri firewall gerarchici

Le policy del firewall gerarchiche consentono di raggruppare le regole in un oggetto policy che può essere applicato a molte reti VPC in uno o più progetti. Puoi associare le policy firewall gerarchiche a un'intera organizzazione o a singole cartelle.

Per le specifiche e i dettagli dei criteri firewall gerarchici, vedi Criteri firewall gerarchici.

Criteri firewall di rete globali

I criteri firewall di rete globali consentono di raggruppare le regole in un oggetto di criteri applicabile a tutte le regioni (globale). Una policy firewall non ha effetto finché non viene associata a una rete VPC. Per associare una policy del firewall di rete globale a una rete, consulta Associare una policy alla rete. Dopo aver associato una policy firewall di rete globale a una rete VPC, le regole della policy possono essere applicate alle risorse nella rete VPC. Puoi associare un criterio firewall di rete solo a una rete VPC.

Per le specifiche e i dettagli delle policy firewall di rete globali, consulta la sezione Policy firewall di rete globali.

Criteri firewall di rete regionali

I criteri firewall di rete regionali consentono di raggruppare le regole in un oggetto policy applicabile a una regione specifica. Una policy firewall di rete regionale non ha effetto finché non viene associata a una rete VPC nella stessa regione. Per associare una policy firewall di rete regionale a una rete, consulta la sezione Associare una policy alla rete. Dopo aver associato una policy firewall di rete regionale a una rete VPC, le regole della policy possono essere applicate alle risorse all'interno di quella regione della rete VPC.

Per le specifiche e i dettagli delle policy firewall regionali, consulta Policy firewall di rete regionali.

Ordine di valutazione delle norme e delle regole

Le regole nei criteri firewall gerarchici, nei criteri firewall di rete globali, nei criteri firewall di rete regionali e nelle regole firewall VPC vengono implementate nell'ambito dell'elaborazione dei pacchetti VM dello stack di virtualizzazione di rete Andromeda. Le regole vengono valutate per ogni interfaccia di rete (NIC) della VM.

L'applicabilità di una regola non dipende dalla specificità della configurazione di protocolli e porte. Ad esempio, una regola di autorizzazione con priorità più elevata per tutti i protocolli ha la precedenza su una regola di negazione con priorità inferiore specifica per la porta 22 di TCP.

Inoltre, l'applicabilità di una regola non dipende dalla specificità del parametro di destinazione. Ad esempio, una regola di autorizzazione con priorità più alta per tutte le VM (tutti i target) ha la precedenza anche se esiste una regola di negazione con priorità più bassa con un parametro di destinazione più specifico, ad esempio un account di servizio o un tag specifico.

Determinare l'ordine di valutazione di criteri e regole

L'ordine in cui vengono valutate le regole dei criteri firewall e le regole firewall VPC è determinato dal flag networkFirewallPolicyEnforcementOrder della rete VPC collegata alla NIC della VM.

Il flag networkFirewallPolicyEnforcementOrder può avere i seguenti due valori:

  • BEFORE_CLASSIC_FIREWALL: se imposti il flag su BEFORE_CLASSIC_FIREWALL, la policy firewall di rete globale e la policy firewall di rete regionale vengono valutate prima delle regole firewall VPC nell'ordine di valutazione delle regole.

  • AFTER_CLASSIC_FIREWALL : se imposti il flag su AFTER_CLASSIC_FIREWALL, la policy firewall di rete globale e la policy firewall di rete regionale vengono valutate dopo le regole firewall VPC nell'ordine di valutazione delle regole. AFTER_CLASSIC_FIREWALL è il valore predefinito del flag networkFirewallPolicyEnforcementOrder.

Per modificare l'ordine di valutazione delle regole, consulta Modificare l'ordine di valutazione delle norme e delle regole.

Ordine di valutazione predefinito di norme e regole

Per impostazione predefinita e quando networkFirewallPolicyEnforcementOrder della rete VPC collegata alla NIC della VM è AFTER_CLASSIC_FIREWALL,Google Cloud valuta le regole applicabili alla NIC della VM nel seguente ordine:

  1. Se un criterio firewall gerarchico è associato all'organizzazione che contiene il progetto della VM, Google Cloud valuta tutte le regole applicabili nel criterio firewall gerarchico. Poiché le regole nelle policy firewall gerarchiche devono essere univoche, la regola con la priorità più alta che corrisponde alla direzione del traffico e alle caratteristiche del livello 4 determina come viene elaborato il traffico:

    • La regola può consentire il traffico. Il processo di valutazione si interrompe.

    • La regola può negare il traffico. Il processo di valutazione si interrompe.

    • La regola può inviare il traffico per l'ispezione di livello 7 (apply_security_profile_group) all'endpoint firewall. La decisione di consentire o eliminare il pacchetto dipende quindi dall'endpoint firewall e dal profilo di sicurezza configurato. In entrambi i casi, il processo di valutazione delle regole si interrompe.

    • La regola può consentire l'elaborazione delle regole definite come descritto nei passaggi successivi se è vera una delle seguenti condizioni:

      • Una regola con un'azione goto_next corrisponde al traffico.
      • Nessuna regola corrisponde al traffico. In questo caso, si applica una regola goto_next implicita.

  2. Se un criterio firewall gerarchico è associato alla cartella antenata più distante (in alto) del progetto della VM, Google Cloud valuta tutte le regole applicabili nel criterio firewall gerarchico per quella cartella. Poiché le regole nei criteri firewall gerarchici devono essere univoche, la regola con la priorità più alta che corrisponde alla direzione del traffico e alle caratteristiche del livello 4 determina come viene elaborato il traffico: allow, deny,, apply_security_profile_group, o goto_next, come descritto nel primo passaggio.

  3. Google Cloud ripete le azioni del passaggio precedente per una policy firewall gerarchica associata alla cartella successiva più vicina al progetto della VM nella gerarchia delle risorse. Google Cloud valuta prima le regole nelle policy firewall gerarchiche associate alla cartella antenata più distante (più vicina all'organizzazione), poi valuta le regole nelle policy firewall gerarchiche associate alla cartella successiva (figlio) più vicina al progetto della VM.

  4. Se nella rete VPC utilizzata dalla NIC della VM esistono regole firewall VPC, Google Cloud valuta tutte le regole firewall VPC applicabili.

    A differenza delle regole nelle policy firewall:

    • Le regole firewall VPC non hanno un'azione esplicita goto_next o apply_security_profile_group . Una regola firewall VPC può essere configurata solo per consentire o negare il traffico.

    • Due o più regole firewall VPC in una rete VPC possono condividere lo stesso numero di priorità. In questa situazione, le regole di negazione hanno la precedenza sulle regole di autorizzazione. Per ulteriori dettagli sulla priorità delle regole firewall VPC, consulta Priorità nella documentazione sulle regole firewall VPC.

    Se nessuna regola firewall VPC si applica al traffico, Google Cloud continua con il passaggio successivo: goto_next implicito.

  5. Se una policy firewall di rete globale è associata alla rete VPC della NIC della VM, Google Cloud valuta tutte le regole applicabili nella policy firewall. Poiché le regole nelle policy firewall devono essere univoche, la regola con la priorità più alta che corrisponde alla direzione del traffico e alle caratteristiche del livello 4 determina il modo in cui il traffico viene elaborato: allow, deny, apply_security_profile_group, o goto_next, come descritto nel primo passaggio.

  6. Se una policy del firewall di rete regionale è associata alla rete VPC dell'NIC della VM e alla regione della VM,Google Cloud valuta tutte le regole applicabili nella policy firewall. Poiché le regole nelle policy firewall devono essere univoche, la regola con la priorità più alta che corrisponde alla direzione del traffico e alle caratteristiche del livello 4 determina come viene elaborato il traffico: allow, deny o goto_next, come descritto nel primo passaggio.

  7. Come passaggio finale della valutazione, Google Cloud applica le regole firewall VPC di uscita consentita e di ingresso negato implicite.

Il seguente diagramma mostra il flusso di risoluzione per le regole firewall.

Flusso di risoluzione delle regole firewall.
Figura 1. Flusso di risoluzione delle regole firewall (fai clic per ingrandire).

Modificare l'ordine di valutazione delle norme e delle regole

Google Cloud offre la possibilità di modificare la procedura di valutazione delle regole predefinita scambiando l'ordine delle regole firewall VPC e delle policy del firewall di rete (sia globali che regionali). Quando esegui questo scambio, la policy firewall di rete globale (passaggio 5) e la policy firewall di rete regionale (passaggio 6) vengono valutate prima delle regole firewall VPC (passaggio 4) nell'ordine di valutazione delle regole.

Per modificare l'ordine di valutazione delle regole, esegui questo comando per impostare l'attributo networkFirewallPolicyEnforcementOrder della rete VPC su BEFORE_CLASSIC_FIREWALL:

gcloud compute networks update VPC-NETWORK-NAME \
    --network-firewall-policy-enforcement-order BEFORE_CLASSIC_FIREWALL

Per ulteriori informazioni, vedi il metodo networks.patch.

Regole firewall effettive

Le regole delle policy firewall gerarchiche, le regole firewall VPC e le regole delle policy firewall di rete globali e regionali controllano le connessioni. Potrebbe essere utile visualizzare tutte le regole firewall che interessano una singola rete o interfaccia VM.

Regole firewall effettive della rete

Puoi visualizzare tutte le regole firewall applicate a una rete VPC. L'elenco include tutti i seguenti tipi di regole:

  • Regole ereditate dai criteri firewall gerarchici
  • Regole firewall VPC
  • Regole applicate dai criteri firewall di rete globali e regionali

Regole firewall effettive dell'istanza

Puoi visualizzare tutte le regole firewall applicate all'interfaccia di rete di una VM. L'elenco include tutti i seguenti tipi di regole:

  • Regole ereditate dai criteri firewall gerarchici
  • Regole applicate dal firewall VPC dell'interfaccia
  • Regole applicate dai criteri firewall di rete globali e regionali

Le regole sono ordinate dal livello dell'organizzazione fino alla rete VPC. Vengono visualizzate solo le regole che si applicano all'interfaccia VM. Le regole in altre norme non vengono mostrate.

Per visualizzare le regole dei criteri firewall effettivi all'interno di una regione, consulta Recuperare i criteri firewall effettivi per una rete.

Regole predefinite

Quando crei un criterio firewall gerarchico, un criterio firewall di rete globale o un criterio firewall di rete regionale, Cloud NGFW aggiunge regole predefinite al criterio. Le regole predefinite che Cloud NGFW aggiunge al criterio dipendono da come crei il criterio.

Se crei un criterio firewall utilizzando la Google Cloud console, Cloud NGFW aggiunge le seguenti regole al nuovo criterio:

  1. Regole Goto-next per intervalli IPv4 privati
  2. Regole di negazione predefinite di Google Threat Intelligence
  3. Regole di negazione della geolocalizzazione predefinite
  4. Regole Vai al successivo con la priorità più bassa possibile

Se crei una policy firewall utilizzando Google Cloud CLI o l'API, Cloud NGFW aggiunge alla policy solo le regole goto-next con la priorità più bassa possibile.

Tutte le regole predefinite in una nuova policy firewall utilizzano intenzionalmente priorità basse (numeri di priorità elevati) in modo da poterle sostituire creando regole con priorità più elevate. Ad eccezione delle regole Vai al successivo con la priorità più bassa possibile, puoi anche personalizzare le regole predefinite.

Regole di salto alla successiva per gli intervalli IPv4 privati

  • Una regola di uscita con intervalli IPv4 di destinazione 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, priorità 1000 e azione goto_next.

  • Una regola di traffico in entrata con intervalli IPv4 di origine 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, priorità 1001 e azione goto_next.

Regole di negazione predefinite di Google Threat Intelligence

  • Una regola di ingresso con elenco di origine Google Threat Intelligence iplist-tor-exit-nodes, priorità 1002 e azione deny.

  • Una regola di ingresso con elenco di origine Google Threat Intelligence iplist-known-malicious-ips, priorità 1003 e azione deny.

  • Una regola di uscita con elenco di destinazione Google Threat Intelligence iplist-known-malicious-ips, priorità 1004 e azione deny.

Per saperne di più su Google Threat Intelligence, consulta Google Threat Intelligence per le regole dei criteri firewall.

Regole di negazione della geolocalizzazione predefinite

  • Una regola di ingresso con localizzazioni di origine corrispondenti CU,IR, KP, SY, XC, e XD, priorità 1005 e azione deny.

Per saperne di più sulle geolocalizzazioni, consulta Oggetti di geolocalizzazione.

Regole Vai al successivo con la priorità più bassa possibile

Non puoi modificare o eliminare le seguenti regole:

  • Una regola di traffico in uscita con intervallo IPv6 di destinazione ::/0, priorità 2147483644 e azione goto_next.

  • Una regola di traffico in entrata con intervallo IPv6 di origine ::/0, priorità 2147483645 e azione goto_next.

  • Una regola di traffico in uscita con intervallo IPv4 di destinazione 0.0.0.0/0, priorità 2147483646 e azione goto_next.

  • Una regola di traffico in entrata con intervallo IPv4 di origine 0.0.0.0/0, priorità 2147483647 e azione goto_next.

Passaggi successivi