Le regole firewall VPC (Virtual Private Cloud) si applicano a una singola rete VPC. Per un controllo più granulare sul traffico inviato o ricevuto dalle istanze di macchine virtuali (VM) nella rete VPC, puoi utilizzare i tag di rete o gli account di servizio nelle regole del firewall VPC. Tuttavia, le regole del firewall VPC hanno le seguenti limitazioni:
Nessuna modifica collettiva: le regole firewall VPC vengono applicate singolarmente e devono essere modificate singolarmente, il che può essere inefficiente.
Controllo limitato di Identity and Access Management (IAM): i tag di rete non offrono i controlli IAM robusti necessari per una segmentazione rigorosa del traffico.
Per risolvere le limitazioni delle regole firewall VPC, Cloud Next Generation Firewall supporta i criteri firewall di rete globali e regionali. Puoi definire e applicare criteri firewall di rete a più reti VPC in più regioni. Queste norme supportano anche i tag sicuri regolati da IAM che ti consentono di applicare un controllo granulare a livello di VM per una microsegmentazione sicura e affidabile di tutti i tipi di traffico di rete.
Per saperne di più, consulta Vantaggi della migrazione delle regole firewall VPC a un criterio firewall di rete.
Per controllare l'accesso alla rete VPC, puoi eseguire la migrazione delle regole firewall VPC esistenti a un criterio firewall di rete globale per sfruttare le funzionalità dei criteri firewall di rete.
Vantaggi della migrazione delle regole firewall VPC a un criterio firewall di rete
Un criterio firewall di rete offre un'esperienza firewall coerente nella gerarchia delle risorseGoogle Cloud e offre diversi vantaggi operativi rispetto alle regole firewall VPC.
Fornisce sicurezza e controllo dell'accesso granulari utilizzando i tag governati da IAM. Google Cloud ti consente di associare tag separati a ogni interfaccia di rete di una VM. In base ai tag, puoi definire le regole delle policy del firewall per limitare l'accesso non autorizzato alle risorse e al traffico dei carichi di lavoro. In questo modo, ottieni un livello più granulare di controllo sulle risorse, il che contribuisce a garantire un ambiente self-service con privilegi minimi per ogni gruppo di utenti o applicazione. Le regole firewall VPC utilizzano i tag di rete, che non supportano il controllo dell'accesso IAM.
Consente una gestione semplificata delle regole. I criteri firewall di rete supportano la modifica collettiva, che consente di modificare più regole all'interno di un unico criterio. Le regole firewall VPC operano solo a livello di regola.
Offre facilità di utilizzo. I criteri del firewall di rete supportano l'uso di funzionalità come oggetti di nome di dominio completo (FQDN), oggetti di geolocalizzazione, rilevamento delle minacce, prevenzione delle intrusioni e gruppi di indirizzi. Le regole firewall VPC non supportano queste funzionalità avanzate.
Supporta una residenza dei dati flessibile. I criteri firewall di rete possono essere applicati a più regioni o a una singola regione di una rete. Le regole firewall VPC possono essere applicate solo a livello globale.
Strumento di migrazione delle regole firewall VPC
Lo strumento di migrazione delle regole firewall VPC può eseguire automaticamente la migrazione delle regole firewall VPC a un criterio firewall di rete globale. Lo strumento è un'utilità a riga di comando a cui puoi accedere utilizzando l'interfaccia a riga di comando Google Cloud.
Specifiche
Lo strumento di migrazione crea un criterio firewall di rete globale, converte le regole firewall VPC esistenti in regole del criterio firewall e aggiunge le nuove regole al criterio.
Se due o più regole firewall VPC hanno la stessa priorità, lo strumento di migrazione aggiorna automaticamente le priorità delle regole per evitare sovrapposizioni. A una regola con un'azione
denyviene assegnata una priorità più alta rispetto a una regola con un'azioneallow. Durante l'aggiornamento delle priorità, lo strumento preserva la sequenza relativa delle regole firewall VPC originali.Ad esempio, se hai quattro regole firewall VPC con una priorità di
1000e una quinta regola con una priorità di2000, lo strumento di migrazione assegna un numero di priorità univoco alle prime quattro regole con la sequenza1000,1001,1002e1003. Alla quinta regola con priorità2000viene assegnata una nuova priorità univoca1004. In questo modo, le nuove priorità per le prime quattro regole sono superiori a quelle di tutte le regole con priorità inferiore a1000.Se le regole del firewall VPC contengono dipendenze, ad esempio tag di rete o account di servizio, lo strumento di migrazione può utilizzare i tag regolati da IAM che sostituiscono i tag di rete e gli account di servizio.
Se la tua rete VPC contiene regole firewall VPC e un criterio firewall di rete associato, lo strumento di migrazione sposta le regole firewall VPC compatibili e le regole del criterio firewall di rete nel nuovo criterio firewall di rete globale.
Lo strumento di migrazione non esegue la migrazione delle regole firewall VPC che vengono create automaticamente dai servizi Google, come Google Kubernetes Engine (GKE). Queste regole continueranno a esistere nella tua rete come regole firewall VPC. Pertanto, se la tua rete VPC contiene risorse GKE, contatta l'Google Cloudassistenza per identificare la strategia migliore per eseguire la migrazione delle regole firewall VPC generate da GKE.
Lo strumento di migrazione conserva le impostazioni di log delle regole firewall VPC esistenti. Se per una regola firewall VPC è attiva la registrazione, lo strumento di migrazione la mantiene attiva. Se il logging è disattivato, lo strumento di migrazione lo mantiene disattivato.
Lo strumento di migrazione genera solo il criterio firewall di rete globale. Lo strumento non elimina le regole firewall VPC esistenti né associa il nuovo criterio firewall di rete globale alla rete VPC richiesta. Devi associare manualmente il criterio firewall di rete globale alla rete VPC richiesta, quindi rimuovere l'associazione tra le regole del firewall VPC e la rete VPC.
Dopo aver associato il criterio firewall di rete globale alla rete VPC richiesta, puoi disattivare le regole firewall VPC se le regole del criterio nel criterio firewall di rete globale funzionano come previsto.
Se necessario, puoi associare il nuovo criterio firewall di rete globale e le regole firewall VPC alla stessa rete VPC perché le regole vengono applicate in base all'ordine di valutazione delle policy e delle regole. Tuttavia, ti consigliamo di disattivare le regole del firewall VPC.
Scenari di migrazione
Considera i seguenti scenari quando esegui la migrazione delle regole firewall VPC a un criterio firewall di rete globale:
- Le regole firewall VPC non contengono tag di rete o account di servizio.
- Le regole firewall VPC contengono tag di rete o account di servizio di destinazione o entrambi.
Il seguente diagramma mostra il flusso di lavoro di migrazione per le combinazioni di configurazione precedenti. Scegli il flusso di lavoro più adatto ai requisiti della tua rete.
Passaggi successivi
- Eseguire la migrazione delle regole firewall VPC che non utilizzano tag di rete e account di servizio
- Eseguire la migrazione delle regole firewall VPC che utilizzano tag di rete e account di servizio