Le regole firewall VPC (Virtual Private Cloud) si applicano a una singola rete VPC. Per un controllo più preciso sul traffico inviato o ricevuto dalle istanze della macchina virtuale (VM) nella rete VPC, puoi utilizzare i tag di rete o gli account di servizio nelle regole firewall VPC. Tuttavia, le regole firewall VPC presentano le seguenti limitazioni:
Nessuna modifica in gruppo: le regole firewall VPC vengono applicate a livello di singola regola e devono essere modificate singolarmente, il che può essere inefficiente.
Controllo limitato di Identity and Access Management (IAM): i tag di rete non offrono i controlli IAM affidabili necessari per la segmentazione rigorosa del traffico.
Per risolvere i limiti delle regole firewall VPC, il firewall Cloud Next Generation supporta i criteri firewall di rete globali e regionali. Puoi definire e applicare criteri firewall di rete a più reti VPC in più regioni. Questi criteri supportano inoltre tag protetti gestiti da IAM che consentono di applicare un controllo granulare a livello di VM per una micro-segmentazione sicura e affidabile di tutti i tipi di traffico di rete.
Per ulteriori informazioni, consulta Vantaggi della migrazione delle regole firewall VPC a un criterio firewall di rete.
Per sfruttare le funzionalità dei criteri firewall di rete per controllare in modo efficace l'accesso alla tua rete VPC, puoi eseguire la migrazione delle regole firewall VPC esistenti in un criterio firewall di rete globale.
Vantaggi della migrazione delle regole firewall VPC a un criterio firewall di rete
Un criterio firewall di rete offre un'esperienza firewall coerente in tutta la gerarchia delle risorse di Google Cloud e offre diversi vantaggi operativi rispetto alle regole firewall VPC.
Offre una sicurezza granulare e controllo dell'accesso mediante l'utilizzo di tag governati di IAM. Google Cloud consente di collegare tag separati a ciascuna interfaccia di rete di una VM. In base ai tag, puoi definire le regole dei criteri firewall per limitare l'accesso non autorizzato alle risorse e al traffico dei carichi di lavoro. Puoi quindi ottenere un livello più preciso di controllo sulle tue risorse, contribuendo a garantire un ambiente self-service con privilegi minimi per ogni gruppo di utenti o applicazione. Le regole firewall VPC utilizzano i tag di rete, che non supportano il controllo dell'accesso IAM.
Abilita la gestione semplificata delle regole. I criteri firewall di rete supportano la modifica in gruppo, che consente di modificare più regole all'interno di un singolo criterio. Le regole firewall VPC operano solo a livello di regola.
Semplifica le operazioni. I criteri firewall di rete supportano l'uso di funzionalità, ad esempio gruppi di indirizzi, oggetti nome di dominio completi (FQDN), oggetti di geolocalizzazione, rilevamento delle minacce e prevenzione delle intrusioni. Le regole firewall VPC non supportano queste funzionalità avanzate.
Supporta la residenza flessibile dei dati. I criteri firewall di rete possono essere applicati a più regioni o a una singola regione di una rete. Le regole firewall VPC possono essere applicate solo a livello globale.
Strumento di migrazione delle regole firewall VPC
Lo strumento di migrazione delle regole firewall VPC può eseguire automaticamente la migrazione delle regole firewall VPC a un criterio firewall di rete globale. Lo strumento è un'utilità a riga di comando a cui puoi accedere tramite Google Cloud CLI.
Specifiche
Lo strumento di migrazione crea un criterio firewall di rete globale, converte le regole firewall VPC esistenti in regole dei criteri firewall e aggiunge le nuove regole al criterio.
Se due o più regole firewall VPC hanno la stessa priorità, lo strumento di migrazione aggiorna automaticamente le priorità delle regole per evitare sovrapposizioni. A una regola con un'azione
denyviene assegnata una priorità maggiore rispetto a una regola con un'azioneallow. Durante l'aggiornamento delle priorità, lo strumento conserva la sequenza relativa delle regole firewall VPC originali.Ad esempio, se hai quattro regole firewall VPC con priorità
1000e una quinta regola con priorità2000, lo strumento di migrazione assegna un numero di priorità univoco alle prime quattro regole con la sequenza:1000,1001,1002e1003. Alla quinta regola con priorità2000viene assegnata una nuova priorità univoca pari a1004. In questo modo, le nuove priorità per le prime quattro regole saranno superiori a quelle di tutte le regole con priorità inferiore a1000.Se le regole firewall VPC contengono dipendenze, ad esempio tag di rete o account di servizio, lo strumento di migrazione può sfruttare i tag regolati da IAM che sostituiscono questi tag di rete e account di servizio.
Se la tua rete VPC contiene regole firewall VPC e un criterio firewall di rete associato, lo strumento di migrazione sposta le regole firewall VPC compatibili e le regole del criterio firewall di rete nel nuovo criterio firewall di rete globale.
Lo strumento di migrazione non esegue la migrazione delle regole firewall VPC create automaticamente dai servizi Google, come Google Kubernetes Engine (GKE). Queste regole continuano a esistere nella rete come regole firewall VPC. Quindi, se la tua rete VPC contiene risorse GKE, contatta l'assistenza Google Cloud per identificare la strategia migliore per la migrazione delle regole firewall VPC generate da GKE.
Lo strumento di migrazione conserva le impostazioni di log delle regole firewall VPC esistenti. Se il logging è attivato per una regola firewall VPC, lo strumento di migrazione lo mantiene attivo. Se il logging è disattivato, lo strumento di migrazione lo mantiene disattivato.
Lo strumento di migrazione genera solo il criterio firewall di rete globale. Lo strumento non elimina le regole firewall VPC esistenti né associa il nuovo criterio firewall di rete globale alla rete VPC richiesta. Devi associare manualmente il criterio firewall di rete globale alla rete VPC richiesta, quindi rimuovere l'associazione tra le regole firewall VPC e la rete VPC.
Dopo aver associato il criterio firewall di rete globale alla rete VPC richiesta, puoi disabilitare le regole firewall VPC se queste funzionano come previsto.
È possibile associare il nuovo criterio firewall di rete globale e le regole firewall VPC alla stessa rete VPC perché le regole vengono applicate in base all'ordine di valutazione dei criteri e delle regole. Tuttavia, ti consigliamo di disabilitare le regole del firewall VPC.
Scenari di migrazione
Considera gli scenari seguenti quando esegui la migrazione delle regole firewall VPC a un criterio firewall di rete globale:
- Le regole firewall VPC non contengono tag di rete o account di servizio.
- Le regole firewall VPC contengono tag di rete, account di servizio di destinazione o entrambi.
Il seguente diagramma mostra il flusso di lavoro di migrazione per le combinazioni di configurazione precedenti. Scegli il flusso di lavoro che corrisponde ai tuoi requisiti di rete.
Passaggi successivi
- Esegui la migrazione delle regole firewall VPC che non utilizzano tag di rete e account di servizio
- Esegui la migrazione delle regole firewall VPC che utilizzano tag di rete e account di servizio