I criteri firewall gerarchici consentono di creare e applicare criteri firewall coerenti in tutta l'organizzazione. Puoi assegnare criteri firewall gerarchici all'organizzazione nel suo complesso o a singole cartelle. Questi criteri contengono regole che possono negare o consentire esplicitamente le connessioni, così come le regole firewall VPC (Virtual Private Cloud).
Inoltre, le regole dei criteri firewall gerarchici possono delegare la valutazione ai criteri di livello inferiore o alle regole firewall di rete VPC con un'azione goto_next.
Le regole di livello inferiore non possono sostituire una regola da una posizione più alta nella gerarchia delle risorse. In questo modo, gli amministratori di tutta l'organizzazione gestiscono le regole firewall critiche in un'unica posizione.
Specifiche
- I criteri firewall gerarchici vengono creati a livello di organizzazione e cartella. La creazione di un criterio non applica automaticamente le regole all'organizzazione o alla cartella.
- Una volta creati, i criteri possono essere applicati (associati a) qualsiasi risorsa dell'organizzazione.
- I criteri firewall gerarchici sono container per le regole firewall. Quando associ un criterio all'organizzazione o a una cartella, tutte le regole vengono applicate immediatamente. Puoi scambiare i criteri per una risorsa, che scambia atomicamente tutte le regole firewall applicate alle istanze di macchine virtuali (VM) al di sotto di quella risorsa.
- La valutazione delle regole è gerarchicamente basata sulla gerarchia delle risorse. Vengono valutate tutte le regole associate all'organizzazione, seguite da quelle del primo livello di cartelle e così via.
- Le regole dei criteri firewall gerarchici hanno una nuova azione
goto_nextche puoi utilizzare per delegare la valutazione delle connessioni ai livelli inferiori della gerarchia.
Le regole dei criteri firewall gerarchici possono essere utilizzate per configurare l'ispezione di livello 7 del traffico corrispondente, ad esempio il servizio di prevenzione delle intrusioni.
Per creare una regola del criterio firewall, utilizza l'azione
apply_security_profile_groupe il nome del gruppo di profili di sicurezza. Il traffico corrispondente alla regola del criterio firewall viene intercettato e inoltrato in modo trasparente all'endpoint firewall per l'ispezione di livello 7 e poi indietro. Per scoprire come creare una regola del criterio firewall, consulta Creare regole firewall.
- Le regole dei criteri firewall gerarchici possono essere indirizzate a reti VPC e VM specifiche utilizzando risorse di destinazione per le reti e account di servizio di destinazione per le VM. In questo modo puoi creare eccezioni per gruppi di VM. Le regole dei criteri firewall gerarchici non supportano il targeting per tag di istanza.
- Ogni regola del criterio firewall gerarchico può includere intervalli IPv4 o IPv6, ma non entrambi.
- Per facilitare la conformità e il debug, è possibile controllare le regole firewall applicate a un'istanza VM utilizzando la pagina dei dettagli della rete VPC e la pagina dei dettagli dell'interfaccia di rete dell'istanza VM.
Gerarchia delle risorse
I criteri firewall vanno creati e applicati come passaggi separati. Puoi creare e applicare criteri firewall a livello di organizzazione o di cartella nella gerarchia delle risorse. Una regola del criterio firewall può bloccare le connessioni, consentire le connessioni o rinviare la valutazione delle regole firewall alle cartelle di livello inferiore o alle regole firewall VPC definite nelle reti VPC.
Organizzazione è la risorsa di primo livello nella gerarchia delle risorse in Google Cloud, in cui puoi creare o associare criteri firewall gerarchici. Tutte le cartelle e le reti VPC dell'organizzazione ereditano questo criterio.
Le cartelle sono risorse di livello medio nella gerarchia delle risorse di Google Cloud, tra l'organizzazione e i progetti, in cui puoi creare o assegnare criteri firewall gerarchici. Tutte le cartelle e le reti VPC in una cartella ereditano il criterio associato.
Un progetto si trova in una cartella o nell'organizzazione. Puoi spostare progetti tra le risorse di un'organizzazione. I progetti contengono reti VPC. I criteri firewall gerarchici non possono essere assegnati ai progetti, ma solo all'organizzazione o alle cartelle.
Una rete VPC è la partizione Google Cloud per la comunicazione isolata dello spazio IP interno. Questo è il livello a cui vengono specificate e applicate route, criteri firewall di rete e regole firewall VPC tradizionali. Le regole dei criteri firewall gerarchici possono sostituire o delegare la valutazione delle connessioni ai criteri e alle regole firewall di rete globali.
Per impostazione predefinita, tutte le regole dei criteri firewall gerarchici si applicano a tutte le VM in tutti i progetti all'interno dell'organizzazione o della cartella a cui è associato il criterio. Tuttavia, puoi limitare le VM a cui viene applicata una determinata regola specificando reti di destinazione o account di servizio di destinazione.
I livelli della gerarchia a cui è ora possibile applicare le regole firewall sono rappresentati nel diagramma seguente. Le caselle gialle rappresentano i criteri firewall gerarchici contenenti le regole firewall, mentre le caselle bianche rappresentano le regole firewall VPC.
Dettagli dei criteri firewall gerarchici
Le regole di criterio firewall gerarchici sono definite in una risorsa di criteri firewall che funge da container per le regole firewall. Le regole definite in un criterio firewall non vengono applicate finché il criterio non viene associato a una risorsa (un'organizzazione o una cartella).
Un singolo criterio può essere associato a più risorse. Se modifichi una regola in un criterio, la modifica della regola si applica a tutte le risorse associate.
È possibile associare un solo criterio firewall a una risorsa. Le regole dei criteri firewall gerarchici e le regole firewall VPC vengono valutate in un ordine ben definito.
Un criterio firewall che non è associato a nessuna risorsa è un criterio firewall gerarchico non associato.
Nomi dei criteri
Quando crei un nuovo criterio, Google Cloud genera automaticamente un ID per il criterio. Inoltre, devi specificare anche un nome breve per il criterio.
Quando utilizzi l'interfaccia gcloud per aggiornare un criterio esistente, puoi fare riferimento all'ID generato dal sistema o a una combinazione di nome breve e ID organizzazione. Quando utilizzi l'API per aggiornare il criterio, devi fornire l'ID generato dal sistema.
Dettagli delle regole dei criteri firewall gerarchici
Le regole dei criteri firewall gerarchici funzionano come le regole dei criteri firewall e le regole firewall VPC, ma esistono alcune differenze:
I criteri firewall gerarchici supportano le reti di destinazione, al contrario dei criteri firewall di rete globali. Puoi specificare le reti di destinazione per limitare una regola del criterio firewall alle VM nelle reti specificate. Se specifichi le reti VPC nella regola, puoi controllare quali reti sono configurate con quella regola.
Se combinata con
goto_nextoallow, specificare le reti di destinazione consente di creare eccezioni per reti specifiche quando vuoi definire un criterio altrimenti restrittivo.I criteri firewall gerarchici non hanno un'integrazione dei tag sicura.
I criteri firewall gerarchici sono risorse a livello di organizzazione, mentre i criteri firewall di rete globali sono risorse a livello di progetto.
Regole predefinite
Quando crei un criterio firewall gerarchico, il firewall Cloud Next Generation aggiunge al criterio regole predefinite con la priorità più bassa. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola definita esplicitamente nel criterio e vengono trasferite a criteri o regole di rete di livello inferiore.
Per informazioni sui vari tipi di regole predefinite e sulle loro caratteristiche, consulta Regole predefinite.
i ruoli IAM (Identity and Access Management)
I ruoli IAM regolano le seguenti azioni relative ai criteri firewall gerarchici:
- Creazione di un criterio disponibile in una determinata risorsa
- Associare un criterio a una risorsa specifica
- Modificare un criterio esistente
- Visualizzazione delle regole firewall effettive per una determinata rete o VM
La tabella seguente descrive i ruoli necessari per ogni passaggio:
| Abilità | Ruolo necessario |
|---|---|
| Crea un nuovo criterio firewall gerarchico | Ruolo compute.orgFirewallPolicyAdmin sulla risorsa in cui verrà pubblicato il criterio |
| Associa un criterio a una risorsa | Ruolo compute.orgSecurityResourceAdmin sulla risorsa di destinazione e il ruolo compute.orgFirewallPolicyAdmin o compute.orgFirewallPolicyUser sulla risorsa in cui si trova il criterio o sul criterio stesso |
| Modifica il criterio aggiungendo, aggiornando o eliminando le regole firewall dei criteri | Ruolo compute.orgFirewallPolicyAdmin sulla risorsa in cui si trova il criterio o sul criterio stesso |
| Elimina il criterio | Ruolo compute.orgFirewallPolicyAdmin sulla risorsa in cui si trova il criterio o sul criterio stesso |
| Visualizza le regole firewall effettive per una rete VPC | Uno dei seguenti ruoli per la rete: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Visualizza le regole firewall effettive per una VM in una rete | Uno dei seguenti ruoli per la VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
I ruoli seguenti sono pertinenti ai criteri firewall gerarchici.
| Nome ruolo | Descrizione |
|---|---|
| compute.orgFirewallPolicyAdmin | Possono essere concessi per una risorsa o per un singolo criterio. Se concesso a livello di risorsa, consente agli utenti di creare, aggiornare ed eliminare i criteri firewall gerarchici e le relative regole. Se viene concesso per un singolo criterio, consente all'utente di aggiornare le regole del criterio, ma non di creare o eliminare il criterio. Questo ruolo consente inoltre all'utente di associare un criterio a una risorsa se dispone anche del ruolo compute.orgSecurityResourceAdmin per quella risorsa. |
| compute.orgSecurityResourceAdmin | Concesso a livello di organizzazione o a livello di cartella, consente agli amministratori a livello di cartella di associare un criterio alla risorsa. Per utilizzarlo, gli amministratori devono inoltre disporre del ruolo compute.orgFirewallPolicyUser o compute.orgFirewallPolicyAdmin per la risorsa proprietaria del criterio o sul criterio stesso. |
| compute.orgFirewallPolicyUser | Concesso per una risorsa o per un singolo criterio, gli amministratori possono
utilizzare i singoli criteri o criteri associati alla risorsa. Per associare un criterio a questa risorsa, gli utenti devono avere anche il ruolo compute.orgSecurityResourceAdmin nella risorsa di destinazione. |
|
compute.securityAdmin compute.viewer compute.networkUser compute.networkViewer |
Consente agli utenti di visualizzare le regole firewall applicate alla rete o all'istanza. Include l'autorizzazione compute.networks.getEffectiveFirewalls
per le reti e compute.instances.getEffectiveFirewalls per le istanze. |
Nell'esempio seguente, Joe può creare, modificare ed eliminare qualsiasi criterio firewall gerarchico nella cartella policies, ma non può collegare il criterio firewall gerarchico a una cartella perché non ha il ruolo orgSecurityResourceAdmin in nessuna cartella.
Tuttavia, poiché Guido ha concesso a Maria le autorizzazioni per utilizzare policy-1, può elencare e associare questo criterio firewall gerarchico alla cartella dev-projects o a tutti i suoi discendenti. Il ruolo orgFirewallPolicyUser non concede
l'autorizzazione per associare i criteri a nessuna cartella; l'utente deve anche avere il
ruolo orgSecurityResourceAdmin per la cartella di destinazione.
Gestisci risorse dei criteri firewall gerarchici
Poiché un criterio firewall gerarchico definisce solo un insieme di regole firewall e non il luogo in cui vengono applicate, puoi creare queste risorse in una parte diversa della gerarchia dalle risorse a cui si applicano. In questo modo puoi associare un'unica risorsa del criterio firewall gerarchico a più cartelle nell'organizzazione.
Nell'esempio seguente, policy-1 viene applicato alle cartelle dev-projects e corp-projects e, di conseguenza, a tutti i progetti in quelle cartelle.
Modificare le regole di un criterio
È possibile aggiungere, rimuovere e modificare le regole di un criterio. Ogni modifica viene apportata singolarmente; non esiste alcun meccanismo per l'aggiornamento collettivo delle regole in un criterio. Le modifiche vengono applicate all'incirca nell'ordine in cui vengono eseguiti i comandi, anche se questo non è garantito.
Se apporti modifiche significative a un criterio firewall gerarchico e devi assicurarti che vengano applicati contemporaneamente, puoi clonare il criterio in un criterio temporaneo e assegnare il criterio temporaneo alle stesse risorse. Puoi quindi apportare modifiche all'originale e assegnare di nuovo l'originale alle risorse. Per la procedura da seguire, consulta Clonazione delle regole da un criterio all'altro.
Nell'esempio seguente, policy-1 è collegato alla cartella dev-projects e vorresti apportare diverse modifiche da applicare a livello atomico. Crea un nuovo
criterio denominato scratch-policy, quindi copia tutte le regole esistenti da
policy-1 a scratch-policy per la modifica. Al termine della modifica,
copia tutte le regole da scratch-policy a policy-1.
Spostare un criterio
I criteri firewall gerarchici, ad esempio i progetti, sono associati a una cartella o a una risorsa dell'organizzazione. Man mano che lo schema delle cartelle si evolve, potresti dover spostare un criterio firewall gerarchico in una nuova cartella, magari prima dell'eliminazione. I criteri di proprietà di una cartella vengono eliminati se la cartella viene eliminata.
Il seguente diagramma illustra lo spostamento di un criterio tra le associazioni di risorse o la valutazione delle regole nel criterio.
Associare un criterio firewall gerarchico a una cartella
Un criterio firewall gerarchico non viene applicato in modo forzato, a meno che non sia associato a un'organizzazione o a una cartella. Dopo l'associazione, viene applicata a tutte le VM in tutte le reti in quell'organizzazione o cartella.
Modifiche alla gerarchia delle risorse
La propagazione delle modifiche alla gerarchia delle risorse nel sistema potrebbe richiedere del tempo. Ti consigliamo di evitare aggiornamenti simultanei degli allegati dei criteri firewall gerarchici e della gerarchia delle risorse, perché le reti potrebbero non ereditare immediatamente il criterio firewall gerarchico definito nella nuova posizione nella gerarchia.
Ad esempio, se sposti la cartella dept-A dalla cartella dev-projects alla cartella eng-projects e modifichi l'associazione di policy-1 in eng-projects anziché in dev-projects, assicurati di non annullare contemporaneamente l'associazione di policy-1 da dev-projects. Se la cartella dev-projects perde l'associazione gerarchica dei criteri firewall prima che tutte le reti VPC sottostanti siano state aggiornate, per un breve periodo di tempo queste reti VPC non saranno protette da policy-1.
Utilizza criteri firewall gerarchici con VPC condiviso
Negli scenari di VPC condivisi, un'interfaccia VM connessa alla rete di un progetto host è regolata dalle regole dei criteri firewall gerarchici del progetto host, non del progetto di servizio.
Anche se i progetti di servizio si trovano in una cartella diversa dal progetto host, le interfacce VM nella rete condivisa ereditano comunque dalle regole della cartella del progetto host.
Utilizza criteri firewall gerarchici con peering di rete VPC
Negli scenari di peering di rete VPC, l'interfaccia VM associata a ciascuna rete VPC eredita i criteri della gerarchia nelle rispettive reti VPC. Di seguito è riportato un esempio di peering di rete VPC in cui le reti in peering VPC appartengono a organizzazioni diverse.
Passaggi successivi
- Per creare e modificare criteri e regole firewall gerarchici, vedi Utilizzare criteri firewall gerarchici.
- Per esempi di implementazioni gerarchiche di criteri firewall, vedi Esempi di criteri firewall gerarchici.