I criteri firewall gerarchici consentono di creare e applicare
il criterio firewall in tutta l'organizzazione. Puoi assegnare un firewall gerarchico
all'intera organizzazione o a singole cartelle. Queste norme
contengono regole che possono consentire o negare esplicitamente le connessioni, così come
Regole firewall Virtual Private Cloud (VPC).
Inoltre, le regole gerarchiche dei criteri firewall possono delegare la valutazione
criteri di livello inferiore o regole firewall di rete VPC con
Azione goto_next.
Le regole di livello inferiore non possono prevalere su una regola di una posizione più elevata nel nella gerarchia delle risorse. In questo modo, gli amministratori a livello di organizzazione regole firewall critiche in un unico posto.
Specifiche
- I criteri firewall gerarchici vengono creati a livello di organizzazione a livello di cartella. La creazione di un criterio non applica automaticamente le regole a l'organizzazione o cartella.
- Una volta creati, i criteri possono essere applicati a qualsiasi risorsa (associata a) all'interno dell'organizzazione.
- I criteri firewall gerarchici sono container per le regole firewall. Quando Associare un criterio all'organizzazione o a una cartella, tutte le regole vengono applicati immediatamente. Puoi scambiare i criteri per una risorsa, che a livello atomico scambia tutte le regole firewall applicate alle istanze di macchine virtuali (VM) in quella risorsa.
- La valutazione delle regole è gerarchica e si basa sulla gerarchia delle risorse. Tutti vengono valutate regole associate all'organizzazione, seguite da quelle del primo livello delle cartelle e così via.
- Le regole dei criteri firewall gerarchici hanno una nuova azione
goto_nextche puoi è possibile utilizzare per delegare la valutazione delle connessioni a livelli inferiori della gerarchia.
Le regole dei criteri firewall gerarchici possono essere utilizzate per configurare il livello 7 un'ispezione del traffico corrispondente, ad esempio servizio di prevenzione delle intrusioni.
Puoi creare una regola del criterio firewall utilizzando
apply_security_profile_groupl'azione e il nome del gruppo di profili di sicurezza. Il traffico corrispondente alla regola del criterio firewall viene intercettato e in modo trasparente sono inoltrati all'endpoint firewall per l'ispezione di livello 7 e viceversa. Per ulteriori informazioni come creare una regola di criterio firewall consulta Creare regole firewall.
- Le regole dei criteri firewall gerarchici possono essere indirizzate a specifiche Reti VPC e VM mediante l'utilizzo di risorse di destinazione per le reti e account di servizio di destinazione per le VM. In questo modo puoi creare eccezioni per gruppi di VM. Le regole dei criteri firewall gerarchici non supportano il targeting per tag di istanza.
- Ogni regola del criterio firewall gerarchico può includere intervalli IPv4 o IPv6, ma non entrambi.
- Per facilitare la conformità e il debug, le regole firewall applicate a una VM per controllare l'istanza utilizzando i dettagli della rete VPC e quella dei dettagli dell'interfaccia di rete dell'istanza VM.
Gerarchia delle risorse
Puoi creare e applicare i criteri firewall come passaggi separati. Puoi creare e gestire e applicare criteri firewall a livello di organizzazione o cartella gerarchia delle risorse. Una regola del criterio firewall può bloccare le connessioni, consentire le connessioni o rimandare valutazione delle regole firewall in cartelle di livello inferiore o VPC e regole firewall definite nelle reti VPC.
Organizzazione è la risorsa di primo livello nella gerarchia delle risorse Google Cloud, puoi creare o associare criteri firewall gerarchici. Tutte le cartelle e Le reti VPC nell'organizzazione ereditano questo criterio.
Cartelle sono risorse di livello medio nella gerarchia delle risorse Google Cloud, dell'organizzazione e dei progetti, in cui è possibile creare o assegnare e i criteri firewall. Tutte le cartelle e le reti VPC erediteranno il criterio associato.
Un progetto si trova in una cartella o nell'organizzazione. Puoi spostare i progetti tra le risorse di un'organizzazione. I progetti contengono VPC reti. Non è possibile assegnare criteri firewall gerarchici ai progetti, solo all'organizzazione o alle cartelle.
Una rete VPC è la partizione di Google Cloud per comunicazione nello spazio IP interno. Questo è il livello al quale le route, i criteri firewall, mentre le regole firewall VPC tradizionali specificato e applicato. Le regole dei criteri firewall gerarchici possono avere la precedenza delega la valutazione della connessione a criteri e regole firewall di rete globali.
Per impostazione predefinita, tutte le regole dei criteri firewall gerarchici si applicano a tutte le VM in tutti i progetti nell'organizzazione o nella cartella in cui si trova il criterio associati. Tuttavia, puoi limitare le VM che ricevono una determinata regola che specifica le reti o gli account di servizio di destinazione.
I livelli della gerarchia a cui ora possono essere applicate le regole firewall rappresentati nel diagramma seguente. Le caselle gialle rappresentano la gerarchia criteri firewall che contengono regole firewall, mentre le caselle bianche rappresentano le regole firewall VPC.
Dettagli dei criteri firewall gerarchici
Le regole del criterio firewall gerarchico sono definite in una risorsa del criterio firewall che funge da container per le regole firewall. Le regole definite in un firewall il criterio non viene applicato finché non viene associato a una risorsa (un'organizzazione o una cartella).
Un singolo criterio può essere associato a più risorse. Se modifichi una regola in un criterio, la modifica della regola si applica a tutte le risorse associate.
È possibile associare un solo criterio firewall a una risorsa. Firewall gerarchico le regole dei criteri e le regole del firewall VPC valutate in un ordine ben definito.
Un criterio firewall non associato ad alcuna risorsa è non associato il criterio firewall gerarchico.
Nomi dei criteri
Quando crei un nuovo criterio, Google Cloud genera automaticamente un ID
per le norme. Devi inoltre specificare anche un nome breve per la norma.
Quando utilizzi l'interfaccia gcloud per aggiornare un criterio esistente, puoi fare riferimento
l'ID generato dal sistema o una combinazione di nome breve e
Organization ID (ID organizzazione). Se utilizzi l'API per aggiornare le norme, devi fornire il campo
generato dal sistema.
Dettagli regola del criterio firewall gerarchico
Le regole dei criteri firewall gerarchici funzionano come le regole dei criteri firewall e regole firewall VPC, ma è presente alcune differenze:
I criteri firewall gerarchici supportano le reti di destinazione, mentre la rete globale mentre i criteri firewall non lo fanno. Puoi specificare le reti di destinazione per limitare una regola del criterio firewall alle VM nelle reti specificate. Specificare Le reti VPC nella regola ti consentono di controllare quali le reti siano configurate con quella regola.
In combinazione con
goto_nextoallow, specificare le reti di destinazione ti consente di creare eccezioni per reti specifiche quando si desidera definire un'altra delle norme restrittive.I criteri firewall gerarchici non hanno un'integrazione sicura di tag.
I criteri firewall gerarchici sono risorse a livello di organizzazione, i criteri firewall di rete globali sono risorse a livello di progetto.
Regole predefinite
Quando crei un criterio firewall gerarchico, Cloud Next Generation Firewall aggiunge regole predefinite con la priorità più bassa per il criterio. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola esplicitamente definita nel criterio. la trasmissione di queste connessioni a criteri o regole di rete di livello inferiore.
Per saperne di più sui vari tipi di regole e relative caratteristiche, consulta l'articolo Regole predefinite.
i ruoli IAM (Identity and Access Management)
I ruoli IAM regolano le seguenti azioni per quanto riguarda criteri firewall gerarchici:
- Creazione di un criterio che risiede in una determinata risorsa
- Associazione di un criterio a una particolare risorsa
- Modifica di un criterio esistente
- Visualizzazione delle regole firewall effettive per una determinata rete o VM
Nella tabella seguente vengono descritti i ruoli necessari per ogni passaggio:
| Abilità | Ruolo necessario |
|---|---|
| Crea un nuovo criterio firewall gerarchico | compute.orgFirewallPolicyAdmin ruolo nella risorsa in cui si troverà il criterio |
| Associa un criterio a una risorsa | compute.orgSecurityResourceAdmin per la risorsa di destinazione e scegliere compute.orgFirewallPolicyAdmin o compute.orgFirewallPolicyUser ruolo sulla risorsa in cui si trova il criterio o sul criterio stesso |
| Modifica il criterio aggiungendo, aggiornando o eliminando le regole firewall del criterio | compute.orgFirewallPolicyAdmin sulla risorsa in cui si trova il criterio o sul criterio stesso |
| Elimina il criterio | compute.orgFirewallPolicyAdmin sulla risorsa in cui si trova il criterio o sul criterio stesso |
| Visualizza le regole firewall effettive per una rete VPC | Uno qualsiasi dei seguenti ruoli per la rete: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Visualizza le regole firewall effettive per una VM in una rete | Uno qualsiasi dei seguenti ruoli per la VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
I ruoli seguenti sono pertinenti per i criteri firewall gerarchici.
| Nome ruolo | Descrizione |
|---|---|
| compute.orgFirewallPolicyAdmin | Può essere concesso per una risorsa o per un singolo criterio. Se concesso a una risorsa,
consente agli utenti di creare, aggiornare ed eliminare criteri firewall gerarchici.
le loro regole. Se concessa in base a un singolo criterio, consente all'utente di aggiornare
le regole del criterio, ma non crearlo o eliminarlo. Questo ruolo consente inoltre
all'utente di associare un criterio a una risorsa, se dispone anche
Ruolo compute.orgSecurityResourceAdmin per quella risorsa. |
| compute.orgSecurityResourceAdmin | Concessa a livello di organizzazione o a livello di cartella, consente
per associare un criterio alla risorsa. Gli amministratori devono inoltre
avere l'compute.orgFirewallPolicyUser o
ruolo compute.orgFirewallPolicyAdmin per la risorsa
sia il proprietario della norma o della norma stessa al fine di farne uso. |
| compute.orgFirewallPolicyUser | Concessa su una risorsa o su un singolo criterio, consente agli amministratori
utilizzare i singoli criteri o i criteri associati alla risorsa. Utenti
deve avere anche il ruolo compute.orgSecurityResourceAdmin nella
risorsa di destinazione per associare un criterio alla risorsa. |
|
compute.securityAdmin compute.viewer compute.networkUser compute.networkViewer |
Consente agli utenti di visualizzare le regole firewall applicate alla rete o all'istanza. Include l'autorizzazione compute.networks.getEffectiveFirewalls
per le reti e compute.instances.getEffectiveFirewalls per le istanze. |
Nel seguente esempio, Joe può creare, modificare ed eliminare qualsiasi
criterio firewall nella cartella policies, ma lui non può collegare il bucket
firewall in una cartella perché non dispone
orgSecurityResourceAdmin per qualsiasi cartella.
Tuttavia, poiché Joe ha concesso a Mary le autorizzazioni per utilizzare policy-1, può elencare e
associare il criterio firewall gerarchico alla cartella dev-projects oppure
qualsiasi dei suoi discendenti. Il ruolo orgFirewallPolicyUser non concede
l'autorizzazione ad associare i criteri a qualsiasi cartella; l'utente deve disporre anche
orgSecurityResourceAdmin nella cartella di destinazione.
Gestisci le risorse dei criteri firewall gerarchici
Poiché un criterio firewall gerarchico definisce solo un insieme di regole firewall non dove vengono applicate, puoi creare queste risorse in una parte diversa della gerarchia dalle risorse a cui si applicano. In questo modo puoi associare una singola risorsa di criteri firewall gerarchica con più cartelle dell'organizzazione.
Nell'esempio seguente, policy-1 viene applicato a dev-projects e
corp-projects cartelle e quindi sono applicate a tutti i progetti in quelle cartelle.
Modificare le regole di un criterio
Puoi aggiungere, rimuovere e modificare le regole in un criterio. Ogni modifica è stata apportata individualmente; non esiste un meccanismo per l'aggiornamento batch delle regole in un criterio. Le modifiche vengono applicate più o meno nell'ordine in cui vengono eseguiti i comandi, sebbene ma questo non è garantito.
Se apporti modifiche significative a un criterio firewall gerarchico e devi per assicurarti che vengano applicati contemporaneamente, puoi clonare il criterio criterio temporaneo e assegnarlo alle stesse risorse. Puoi quindi apportare le modifiche all'originale, quindi riassegnare l'originale Google Cloud. Per la procedura da seguire, consulta Clonazione delle regole da un criterio a un'altra.
Nell'esempio seguente, policy-1 è collegato alla cartella dev-projects,
e vuoi apportare diverse modifiche
da applicare a livello atomico. Crea un nuovo elemento
sul criterio denominato scratch-policy, quindi copia tutte le regole esistenti da
Da policy-1 a scratch-policy per la modifica. Al termine della modifica,
copia tutte le regole da scratch-policy a policy-1.
Spostare un criterio
I criteri firewall gerarchici, come i progetti, sono associati a una cartella o risorsa dell'organizzazione. Man mano che lo schema delle cartelle si evolve, potresti dover Spostare un criterio firewall gerarchico in una nuova cartella, magari prima di una l'eliminazione dei dati. I criteri di proprietà di una cartella vengono eliminati se questa viene eliminata.
Il seguente diagramma illustra lo spostamento di un criterio tra risorse o le associazioni delle regole del criterio.
Associa un criterio firewall gerarchico a una cartella
Un criterio firewall gerarchico non viene applicato in modo forzato a meno che non sia associato a un un'organizzazione o una cartella. Una volta associato, viene applicato a tutte le VM in a tutte le reti in quell'organizzazione o cartella.
Modifiche alla gerarchia delle risorse
La propagazione delle modifiche alla gerarchia delle risorse tramite di un sistema operativo completo. Consigliamo di evitare aggiornamenti simultanei all'elenco collegamenti ai criteri firewall e la gerarchia delle risorse, perché le reti potrebbero erediteranno immediatamente il criterio firewall gerarchico definito nel nuovo posizione nella gerarchia.
Ad esempio, se stai spostando la cartella dept-A da dev-projects
cartella alla cartella eng-projects e modificando l'associazione di policy-1
a eng-projects anziché a dev-projects, assicurati di non annullare l'associazione
policy-1 da dev-projects contemporaneamente. Se la cartella dev-projects
perde l'associazione gerarchica dei criteri firewall prima che tutti
le reti sottostanti hanno aggiornato le loro origini per un breve periodo di tempo
quelle reti VPC non sono protette da policy-1.
Utilizzo di criteri firewall gerarchici con il VPC condiviso
Negli scenari VPC condivisi, viene visualizzata un'interfaccia VM connesso alla rete di un progetto host è regolato dal firewall gerarchico delle regole dei criteri del progetto host, non di quello di servizio.
Anche se i progetti di servizio si trovano in una cartella diversa da quella del progetto host, le interfacce VM nella rete condivisa ereditano ancora dal progetto host regole cartelle.
Utilizzo di criteri firewall gerarchici con il peering di rete VPC
Negli scenari di peering di rete VPC, l'interfaccia della VM associata a ciascuno Le reti VPC ereditano i criteri nella gerarchia nella rispettive reti VPC. Di seguito è riportato un Esempio di peering di rete VPC in cui le reti in peering VPC appartengono a organizzazioni diverse.
Passaggi successivi
- Per creare e modificare criteri e regole firewall gerarchici, consulta Utilizzare criteri firewall gerarchici.
- Per esempi di implementazioni di criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.