Políticas jerárquicas de firewall

Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Puedes asignar políticas de firewall jerárquicas a toda la organización o a carpetas individuales. Estas políticas contienen reglas que pueden rechazar o permitir las conexiones de forma explícita, al igual que las reglas de firewall de la nube privada virtual (VPC). Además, las reglas de políticas de firewall jerárquicas pueden delegar la evaluación a políticas de nivel inferior o a las reglas de firewall de la red de VPC con una acción goto_next.

Las reglas de nivel inferior no pueden anular una regla de un nivel superior en la jerarquía de recursos. Esto permite que los administradores de toda la organización administren las reglas de firewall fundamentales en un solo lugar.

Especificaciones

  • Las políticas jerárquicas de firewall se crean a nivel de la organización y la carpeta. La creación de una política no aplica automáticamente las reglas a la organización o la carpeta.
  • Una vez creadas, las políticas se pueden aplicar (asociadas a) cualquier recurso de la organización.
  • Las políticas de firewall jerárquicas son contenedores para las reglas de firewall. Cuando asocias una política con la organización o una carpeta, todas las reglas se aplican de inmediato. Puedes intercambiar políticas para un recurso, lo cual intercambia de forma atómica todas las reglas de firewall que se aplicaron a instancias de máquinas virtuales (VM) en ese recurso.
  • La evaluación de reglas es jerárquica según la jerarquía de recursos. Se evalúan todas las reglas asociadas a la organización, seguidas por las que se encuentran en el primer nivel de carpetas y así sucesivamente.
  • Las reglas de políticas de firewall jerárquicas tienen una acción goto_next nueva que puedes usar para delegar la evaluación de conexión a niveles inferiores de la jerarquía.
  • Las reglas de políticas de firewall jerárquicas se pueden usar para configurar la inspección de la capa 7 del tráfico coincidente, como el servicio de prevención de intrusiones.

    Crea una regla de política de firewall con la acción apply_security_profile_group y el nombre del grupo de perfil de seguridad. El tráfico que coincide con la regla de política de firewall se intercepta y se reenvía de forma transparente al extremo de firewall para la inspección de la capa 7 y de vuelta. Para aprender a crear una regla de política de firewall, consulta Crea reglas de firewall.

  • Las reglas de políticas jerárquicas de firewall deben segmentarse a redes de VPC y VM específicas mediante el uso de recursos de destino para redes y cuentas de servicio objetivo para VM. Esto te permite crear excepciones para grupos de VM. Las reglas de políticas de firewall jerárquicas no son compatibles con la elección de un destino mediante etiquetas de instancia.
  • Cada regla de política de firewall jerárquica puede incluir rangos de IPv4 o IPv6, pero no ambos.
  • A fin de ayudar con el cumplimiento y la depuración, las reglas de firewall aplicadas a una instancia de VM se pueden auditar mediante la página de detalles de la red de VPC y la página de detalles de la interfaz de red de la instancia de VM.

Jerarquía de recursos

Puedes crear y aplicar políticas de firewall como pasos independientes. Puedes crear y aplicar políticas de firewall a nivel de la organización o la carpeta de la jerarquía de recursos. Una regla de políticas de firewall puede bloquear conexiones, permitirlas o aplazar la evaluación de reglas de firewall en carpetas de nivel inferior o reglas de firewall de VPC definidas en redes de VPC.

  • La organización es el recurso de nivel superior en la jerarquía de recursos de Google Cloud en la que puedes crear o asociar políticas jerárquicas de firewall. Todas las carpetas y las redes de VPC de la organización heredan esta política.

  • Las carpetas son recursos de nivel intermedio en la jerarquía de recursos de Google Cloud, entre la organización y los proyectos, en los que puedes crear o asignar políticas jerárquicas de firewall. Todas las carpetas y redes de VPC de una carpeta heredan su política asociada.

  • Un proyecto reside en una organización o carpeta. Puedes mover proyectos entre los recursos de una organización. Los proyectos contienen redes de VPC. Las políticas de firewall jerárquicas no se pueden asignar a proyectos, solo a la organización o a las carpetas.

  • Una red de VPC es la partición de Google Cloud para la comunicación de espacios de IP interna aislada. Este es el nivel en el que se especifican y aplican las rutas, las políticas de firewall de red y las reglas de firewall de VPC tradicionales. Las reglas de políticas de firewall jerárquicas pueden anular o delegar la evaluación de conexión a las reglas y políticas de firewall de red globales.

De forma predeterminada, todas las reglas de políticas de firewall jerárquicas se aplican a todas las VM en todos los proyectos de la organización o la carpeta a la que está asociada la política. Sin embargo, puedes restringir qué VM obtienen una regla determinada si especificas las redes de destino o cuentas de servicio objetivo.

Los niveles de la jerarquía en los que se pueden aplicar las reglas de firewall se representan en el siguiente diagrama. Los cuadros amarillos representan políticas de firewall jerárquicas que contienen reglas de firewall, y los cuadros blancos representan reglas de firewall de VPC.

Políticas de firewall jerárquicas que contienen reglas (cuadros amarillos) a nivel de organización y de carpeta, y reglas de firewall de VPC a nivel de red de VPC
Las políticas jerárquicas de firewall que contienen reglas (cuadros amarillos) se aplican a nivel de la organización y la carpeta. Las reglas de firewall de VPC se aplican a nivel de la red de VPC.

Detalles de las políticas de firewall jerárquicas

Las reglas de políticas de firewall jerárquicas se definen en un recurso de política de firewall que actúa como un contenedor para las reglas de firewall. Las reglas que se definen en una política de firewall no se aplican hasta que la política esté asociada a un recurso (una organización o una carpeta).

Se puede asociar una sola política a varios recursos. Si modificas una regla en una política, esa modificación se aplica a todos los recursos asociados.

Solo se puede asociar una política de firewall a un recurso. Las reglas de políticas de firewall jerárquicas y las reglas de firewall de VPC se evalúan en un orden bien definido.

Una política de firewall que no está asociada a ningún recurso es una política de firewall jerárquica no asociada.

Nombres de políticas

Cuando creas una política nueva, Google Cloud genera un ID para la política de forma automática. Además, debes especificar un nombre corto para la política. Cuando usas la interfaz de gcloud para actualizar una política existente, puedes hacer referencia al ID generado por el sistema o a una combinación del nombre corto y el ID de la organización. Cuando usas la API para actualizar la política, debes proporcionar el ID que generó el sistema.

Detalles de las reglas de políticas de firewall jerárquicas

Las reglas de políticas de firewall jerárquicas funcionan igual que las reglas de políticas de firewall y las reglas de firewall de VPC, pero existen algunas diferencias:

  • Las políticas de firewall jerárquicas admiten redes de destino, mientras que las políticas de firewall de red globales no lo hacen. Puedes especificar redes de destino para restringir una regla de política de firewall a las VMs en las redes especificadas. Especificar las redes de VPC en la regla te permite controlar qué redes están configuradas con esa regla.

    Si la combinas con goto_next o allow, especificar redes de destino te permite crear excepciones para redes específicas cuando quieras definir una política que de otra manera estaría restringida.

  • Las políticas de firewall jerárquicas no tienen integración segura con etiquetas.

  • Las políticas de firewall jerárquicas son recursos a nivel de la organización, mientras que las políticas de firewall de red globales son recursos a nivel de proyecto.

Reglas predefinidas

Cuando creas una política jerárquica de firewall, Cloud Next Generation Firewall agrega reglas predefinidas con la prioridad más baja a la política. Estas reglas se aplican a cualquier conexión que no coincida con una regla definida de manera explícita en la política, lo que provoca que esas conexiones se pasen a políticas o reglas de red de nivel inferior.

Para obtener información sobre los distintos tipos de reglas predefinidas y sus características, consulta Reglas predefinidas.

roles de Identity and Access Management (IAM)

Las funciones de IAM rigen las siguientes acciones en relación con las políticas jerárquicas de firewall:

  • Crear una política que resida en un recurso determinado
  • Asociar una política a un recurso en particular
  • Modificar una política existente
  • Visualizar las reglas de firewall vigentes para una red o VM en particular

En la siguiente tabla, se describen las funciones necesarias para cada paso:

Capacidad Función necesaria
Crear una nueva política jerárquica de firewall El rol de compute.orgFirewallPolicyAdmin en el recurso donde residirá la política
Asocia una política a un recurso El rol de compute.orgSecurityResourceAdmin en el recurso objetivo, y el rol de compute.orgFirewallPolicyAdmin o compute.orgFirewallPolicyUser en el recurso en el que reside la política o en la política
Modificar la política agregando, actualizando o borrando reglas de firewall de la política El rol de compute.orgFirewallPolicyAdmin en el recurso en el que reside la política o en la política
Borrar la política El rol de compute.orgFirewallPolicyAdmin en el recurso en el que reside la política o en la política
Visualizar las reglas de firewall vigentes para una red de VPC Cualquiera de los siguientes roles para la red:
compute.networkAdmin
compute.networkViewer
compute.securityAdmin
compute.viewer
Visualizar las reglas de firewall vigentes para una VM en una red Cualquiera de los siguientes roles para la VM:
compute.instanceAdmin
compute.securityAdmin
compute.viewer

Las siguientes funciones son pertinentes a las políticas de firewall jerárquicas.

Nombre de la función Descripción
compute.orgFirewallPolicyAdmin Se puede otorgar en un recurso o en una política individual. Si se otorga en un recurso, permite a los usuarios crear, actualizar y borrar políticas jerárquicas de firewall y sus reglas. Si se otorga en una política individual, permite que el usuario actualice reglas de la política, pero no que cree o borre la política. Este rol también permite al usuario asociar una política a un recurso si también tiene el rol compute.orgSecurityResourceAdmin en ese recurso.
compute.orgSecurityResourceAdmin Se otorga a nivel de organización o a una carpeta y permite que los administradores a nivel de carpeta asocien una política a ese recurso. Los administradores también deben tener el rol compute.orgFirewallPolicyUser o compute.orgFirewallPolicyAdmin en el recurso que es propietario de la política o en la política para poder usarla.
compute.orgFirewallPolicyUser Si se otorga en un recurso o en una política individual permite que los administradores utilicen la política individual o las políticas asociadas al recurso. Los usuarios también deben tener el rol compute.orgSecurityResourceAdmin en el recurso objetivo para asociar una política a ese recurso.
compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer
Permite que los usuarios vean las reglas de firewall que se aplicaron a la red o a la instancia.
Incluye el permiso compute.networks.getEffectiveFirewalls para las redes y el compute.instances.getEffectiveFirewalls para las instancias.

En el siguiente ejemplo, Joe puede crear, modificar y borrar cualquier política de firewall jerárquica en la carpeta policies, pero no puede adjuntar la política de firewall jerárquica a una carpeta porque no tiene la función orgSecurityResourceAdmin en ninguna.

Sin embargo, dado que Joe le otorgó a Mary permisos para usar policy-1, puede enumerar y asociar esa política de firewall jerárquica con la carpeta dev-projects o cualquiera de sus descendientes. La función orgFirewallPolicyUser no otorga permisos para asociar las políticas a ninguna carpeta, el usuario también debe tener la función orgSecurityResourceAdmin en la carpeta de destino.

Ejemplo de policy-1
Ejemplo de policy-1

Administra recursos de políticas de firewall jerárquicas

Debido a que una política de firewall jerárquica solo define un conjunto de reglas de firewall y no dónde se aplican, puedes crear estos recursos en una parte de la jerarquía diferente de los recursos a los que se aplican. Esto te permite asociar un solo recurso de política de firewall jerárquica con varias carpetas en la organización.

En el siguiente ejemplo, policy-1 se aplica a las carpetas dev-projects y corp-projects y, por lo tanto, a todos los proyectos dentro de esas carpetas.

Asociación y ubicación de la política
Asociación y ubicación de la política

Modifica las reglas de una política

Puedes agregar, quitar y modificar reglas en una política. Los cambios se realizan de forma individual, no hay un mecanismo para actualizar las reglas de una política por lotes. Los cambios se aplican en el orden aproximado en que se ejecutan, aunque esto no está garantizado.

Si realizas cambios grandes a una política de firewall jerárquica y necesitas asegurarte de que se apliquen al mismo tiempo, puedes clonar la política en una política temporal y asignarla a los mismos recursos. Después, puedes hacer los cambios en la original y, luego, asignarla a los recursos. Si deseas obtener los pasos para realizar esta tarea, consulta Clona reglas de una política a otra.

En el siguiente ejemplo, policy-1 se adjunta a la carpeta dev-projects; te recomendamos realizar varios cambios que se apliquen de forma automática. Crea una política nueva llamada scratch-policy y, luego, copia todas las reglas existentes de policy-1 a scratch-policy para editarla. Cuando termines de editar, vuelve a copiar todas las reglas de scratch-policy a policy-1.

Modifica una política
Modifica una política

Mueve una política

Las políticas de firewall jerárquicas, como los proyectos, tienen un recurso de carpeta o de organización superior. A medida que evoluciona el esquema de las carpetas, es posible que debas mover una política de firewall jerárquica a una carpeta nueva, quizás antes de la eliminación de una carpeta. Si se borra una carpeta, también se borran las políticas dentro de ella.

En el siguiente diagrama, se ilustran las asociaciones del movimiento de una política entre recursos o la evaluación de reglas en la política.

Mueve una política
Mueve una política

Asocia una política de firewall jerárquica con una carpeta

Una política de firewall jerárquica no se aplica, a menos que esté asociada a una organización o una carpeta. Una vez que se asocia, se aplica a todas las VM en todas las redes de esa organización o carpeta.

Asocia una política
Asocia una política

Cambios en la jerarquía de recursos

Es posible que los cambios en la jerarquía de recursos tomen un tiempo en propagarse en el sistema. Te recomendamos evitar las actualizaciones simultáneas de los adjuntos de la política de firewall jerárquica y de la jerarquía de recursos, ya que las redes podrían no heredar de inmediato la política de firewall jerárquica definida en la ubicación nueva en la jerarquía.

Mueve una política
Mueve una política

Por ejemplo, si mueves la carpeta dept-A de la carpeta dev-projects a la carpeta eng-projects y cambias la asociación de policy-1 por eng-projects en lugar de dev-projects, asegúrate de no desasociar policy-1 de dev-projects al mismo tiempo. Si la carpeta dev-projects pierde su asociación de política de firewall jerárquica antes de que todas las redes de VPC que contiene actualicen sus principales, policy-1 no protegerá a esas redes de VPC por un corto período.

Usa políticas de firewall jerárquicas con VPC compartida

En situaciones de VPC compartida, una interfaz de VM conectada a una red de proyecto host se rige por las reglas de políticas de firewall jerárquicas del proyecto host, no del proyecto de servicio.

VM en VPC compartida
VM en VPC compartida

Incluso si los proyectos de servicio están en una carpeta diferente a la del proyecto host, las interfaces de VM en la red compartida aún heredan de las reglas de la carpeta del proyecto host.

Las VM del proyecto de servicio heredan reglas del proyecto host
Las VM del proyecto de servicio heredan reglas del proyecto host

Usa políticas de firewall jerárquicas con intercambio de tráfico entre redes de VPC

En situaciones de intercambio de tráfico entre redes de VPC, la interfaz de VM asociada con cada una de las redes de VPC hereda las políticas en la jerarquía de las respectivas redes de VPC. A continuación, se muestra un ejemplo de intercambio de tráfico entre redes de VPC en el que las redes con intercambio de tráfico de VPC pertenecen a organizaciones diferentes.

VM heredadas de redes respectivas
VM heredadas de redes respectivas

¿Qué sigue?