As regras de firewall da nuvem virtual privada (VPC) aplicam-se a uma única rede VPC. Para ter um controlo mais preciso sobre o tráfego enviado ou recebido pelas instâncias de máquinas virtuais (VM) na sua rede VPC, pode usar etiquetas de rede ou contas de serviço nas regras de firewall da VPC. No entanto, as regras de firewall da VPC têm as seguintes limitações:
Sem edição em lote: as regras de firewall da VPC são aplicadas com base em cada regra e têm de ser editadas individualmente, o que pode ser ineficiente.
Controlo de gestão de identidade e de acesso (IAM) limitado: as etiquetas de rede não oferecem os controlos de IAM robustos necessários para uma segmentação de tráfego rigorosa.
Para resolver as limitações das regras de firewall da VPC, a firewall de nova geração do Google Cloud suporta políticas de firewall de rede globais e regionais. Pode definir e aplicar políticas de firewall de rede a várias redes VPC em várias regiões. Estas políticas também suportam etiquetas seguras regidas pela IAM que lhe permitem aplicar um controlo detalhado ao nível da VM para uma microsegmentação segura e fiável de todos os tipos de tráfego de rede.
Para mais informações, consulte o artigo Vantagens da migração das regras de firewall da VPC para uma política de firewall de rede.
Para controlar o acesso à sua rede VPC, pode migrar as regras de firewall da VPC existentes para uma política de firewall de rede global para tirar partido das capacidades das políticas de firewall de rede.
Vantagens da migração das regras de firewall da VPC para uma política de firewall de rede
Uma política de firewall de rede oferece uma experiência de firewall consistente em toda a Google Cloud hierarquia de recursos e oferece várias vantagens operacionais em relação às regras de firewall da VPC.
Oferece segurança detalhada e controlo de acesso através de etiquetas regidas pela IAM. Google Cloud Permite anexar etiquetas separadas a cada interface de rede de uma VM. Com base nas etiquetas, pode definir as regras da política de firewall para restringir o acesso não autorizado aos seus recursos e tráfego de carga de trabalho. Assim, obtém um nível de controlo mais detalhado sobre os seus recursos, o que ajuda a garantir um ambiente de ajuda autónoma com privilégios mínimos para cada grupo de utilizadores ou aplicação. As regras de firewall da VPC usam etiquetas de rede, que não suportam o controlo de acesso da IAM.
Permite uma gestão simplificada das regras. As políticas de firewall de rede suportam a edição em lote, o que lhe permite editar várias regras numa única política. As regras de firewall de VPC funcionam apenas ao nível de cada regra.
Facilita as operações. As políticas de firewall de rede suportam a utilização de funcionalidades, como objetos de nome de domínio totalmente qualificado (FQDN), objetos de geolocalização, deteção de ameaças, prevenção de intrusões e grupos de endereços. As regras de firewall da VPC não suportam estas funcionalidades avançadas.
Suporta residência dos dados flexível. As políticas de firewall de rede podem ser aplicadas a várias regiões ou a uma única região de uma rede. As regras de firewall da VPC só podem ser aplicadas globalmente.
Ferramenta de migração de regras de firewall da VPC
A ferramenta de migração de regras de firewall da VPC pode migrar automaticamente as regras de firewall da VPC para uma política de firewall de rede global. A ferramenta é um utilitário de linha de comandos ao qual pode aceder através da CLI do Google Cloud.
Especificações
A ferramenta de migração cria uma política de firewall de rede global, converte as regras de firewall da VPC existentes em regras de política de firewall e adiciona as novas regras à política.
Se duas ou mais regras de firewall da VPC tiverem a mesma prioridade, a ferramenta de migração atualiza automaticamente as prioridades das regras para evitar sobreposições. É atribuída uma prioridade mais elevada a uma regra com uma ação
denydo que a uma regra com uma açãoallow. Ao atualizar as prioridades, a ferramenta preserva a sequência relativa das regras de firewall da VPC originais.Por exemplo, se tiver quatro regras de firewall de VPC com uma prioridade de
1000e uma quinta regra com uma prioridade de2000, a ferramenta de migração atribui um número de prioridade exclusivo às primeiras quatro regras com a sequência:1000,1001,1002e1003. À quinta regra com a prioridade de2000é atribuída uma nova prioridade única de1004. Isto garante que as novas prioridades das primeiras quatro regras são superiores à de todas as regras com uma prioridade inferior a1000.Se as regras de firewall da VPC contiverem dependências, como etiquetas de rede ou contas de serviço, a ferramenta de migração pode tirar partido das etiquetas regidas pelo IAM que servem como substituição dessas etiquetas de rede e contas de serviço.
Se a sua rede VPC contiver regras de firewall da VPC e uma política de firewall de rede associada, a ferramenta de migração move as regras de firewall da VPC compatíveis, bem como as regras da política de firewall de rede, para a nova política de firewall de rede global.
A ferramenta de migração preserva as definições de registo das regras de firewall da VPC existentes. Se uma regra de firewall da VPC tiver o registo ativado, a ferramenta de migração mantém-no ativado. Se o registo estiver desativado, a ferramenta de migração mantém-no desativado.
A ferramenta de migração gera apenas a política de firewall de rede global. A ferramenta não elimina as regras de firewall de VPC existentes nem associa a nova política de firewall de rede global à rede VPC necessária. Tem de associar manualmente a política de firewall de rede global à rede VPC necessária e, em seguida, remover a associação entre as regras de firewall da VPC e a rede VPC.
Depois de associar a política de firewall de rede global à rede VPC necessária, pode desativar as regras de firewall de VPC se as regras da política de firewall de rede global estiverem a funcionar conforme previsto.
Se necessário, também pode associar a nova política de firewall de rede global, bem como as regras de firewall da VPC, à mesma rede da VPC, porque as regras são aplicadas de acordo com a política e a ordem de avaliação das regras. No entanto, recomendamos que desative as regras da firewall da VPC.
Cenários de migração
Considere os seguintes cenários quando migrar as regras de firewall da VPC para uma política de firewall de rede global:
- As regras de firewall da VPC não contêm etiquetas de rede nem contas de serviço.
- As regras de firewall da VPC contêm etiquetas de rede ou contas de serviço de destino, ou ambas.
O diagrama seguinte mostra o fluxo de trabalho de migração para as combinações de configurações anteriores. Escolha o fluxo de trabalho que corresponde aos requisitos da sua rede.
O que se segue?
- Migre regras de firewall da VPC que não usam etiquetas de rede nem contas de serviço
- Migre regras de firewall da VPC que usam etiquetas de rede e contas de serviço