As regras de firewall da nuvem privada virtual (VPC) se aplicam a uma única rede VPC. Para ter um controle mais preciso sobre o tráfego enviado ou recebido pelas instâncias de máquina virtual (VM) na sua rede VPC, us etags de rede ou contas de serviço nas regras de firewall da VPC. No entanto, as regras de firewall da VPC têm as seguintes limitações:
Sem edição em lote: as regras de firewall da VPC são aplicadas por regra e editadas individualmente, o que pode ser um processo ineficiente.
Controle limitado do Identity and Access Management (IAM): as tags de rede não oferecem os controles avançados do IAM necessários para uma segmentação de tráfego estrita.
Para lidar com as limitações das regras de firewall da VPC, o Cloud Next Generation Firewall oferece suporte a políticas de firewall de rede globais e regionais. É possível definir e aplicar políticas de firewall de rede a várias redes VPC em várias regiões. Essas políticas também oferecem suporte a tags seguras controladas pelo IAM que permitem aplicar um controle granular no nível da VM para uma microssegmentação segura e confiável de todos os tipos de tráfego de rede.
Para mais informações, consulte Benefícios da migração de regras de firewall da VPC para uma política de firewall de rede.
Para aproveitar os recursos das políticas de firewall de rede a fim de controlar efetivamente o acesso à sua rede VPC, é possível migrar as regras de firewall atuais da VPC para uma política de firewall de rede global.
Benefícios da migração de regras de firewall da VPC para uma política de firewall de rede
Uma política de firewall de rede oferece uma experiência consistente em toda a hierarquia de recursos do Google Cloud e vários benefícios operacionais em relação às regras de firewall da VPC.
Fornece segurança granular e controle de acesso usando tags regidas pelo IAM. O Google Cloud permite anexar tags separadas a cada interface de rede de uma VM. Com base nas tags, é possível definir regras da política de firewall para restringir o acesso não autorizado aos recursos e ao tráfego de carga de trabalho. Assim, você tem um nível mais alto de controle sobre os recursos, o que ajuda a garantir um ambiente de autoatendimento e privilégio mínimo para cada grupo de usuários ou aplicativo. As regras de firewall da VPC usam tags de rede, que não são compatíveis com o controle de acesso do IAM.
Permite o gerenciamento simplificado de regras. As políticas de firewall de rede são compatíveis com a edição em lote, o que permite editar várias regras em uma única política. As regras de firewall da VPC operam apenas no nível da regra.
Facilita as operações. As políticas de firewall de rede são compatíveis com o uso de recursos, como grupos de endereços, objetos de nome de domínio totalmente qualificado (FQDN, na sigla em inglês), objetos de geolocalização, detecção de ameaças e prevenção de invasões. As regras de firewall da VPC não são compatíveis com esses recursos avançados.
Oferece suporte à residência de dados flexível. As políticas de firewall de rede podem ser aplicadas a várias regiões ou a uma única região de uma rede. As regras de firewall da VPC só podem ser aplicadas globalmente.
Ferramenta de migração de regras de firewall da VPC
A ferramenta de migração de regras de firewall da VPC pode migrar automaticamente as regras de firewall da VPC para uma política de firewall de rede global. É um utilitário de linha de comando que pode ser acessado usando a CLI do Google Cloud.
Especificações
A ferramenta de migração cria uma política de firewall de rede global, converte as regras de firewall atuais da VPC em regras de política de firewall e adiciona as novas regras à política.
Se duas ou mais regras de firewall da VPC tiverem a mesma prioridade, a ferramenta de migração atualizará automaticamente as prioridades da regra para evitar qualquer sobreposição. Uma regra com uma ação
denytem uma prioridade maior do que uma regra com uma açãoallow. Durante a atualização das prioridades, a ferramenta preserva a sequência relativa das regras de firewall da VPC originais.Por exemplo, se você tiver quatro regras de firewall da VPC com prioridade
1000e uma quinta regra com prioridade2000, a ferramenta de migração vai atribuir um número de prioridade exclusivo às quatro primeiras regras com a sequência1000,1001,1002e1003. A quinta regra com prioridade2000recebe uma nova prioridade exclusiva de1004. Isso garante que as novas prioridades das quatro primeiras regras sejam maiores do que as de todas as regras com prioridade menor que1000.Se as regras de firewall da VPC tiverem dependências, como tags de rede ou contas de serviço, a ferramenta de migração poderá aproveitar as tags controladas pelo IAM que servem para substituir essas tags de rede e contas de serviço.
Se a rede VPC tiver regras de firewall da VPC e uma política de firewall de rede associada, a ferramenta de migração moverá as regras de firewall da VPC compatíveis e as regras da política de rede para a nova política de firewall de rede global.
A ferramenta de migração não migra as regras de firewall da VPC criadas automaticamente pelos serviços do Google, como o Google Kubernetes Engine (GKE). Essas regras continuam existindo na sua rede como regras de firewall da VPC. Portanto, se sua rede VPC contiver recursos do GKE, entre em contato com o Suporte do Google Cloud para identificar a melhor estratégia para migrar regras de firewall da VPC geradas pelo GKE.
A ferramenta de migração preserva as configurações de registro das regras de firewall da VPC. Se uma regra de firewall da VPC tiver a geração de registros ativada, a ferramenta de migração a manterá ativada. Se a geração de registros estiver desativada, a ferramenta de migração a manterá dessa mesma forma.
A ferramenta de migração gera apenas a política de firewall de rede global. A ferramenta não exclui as regras de firewall da VPC atuais nem associa a nova política de firewall de rede global à rede VPC necessária. É preciso associar manualmente a política de firewall de rede global à rede VPC necessária e, em seguida, remover a associação entre as regras de firewall da VPC e a rede VPC.
Depois de associar a política de firewall de rede global à rede VPC necessária, é possível desativar as regras de firewall da VPC se as regras da política na política de firewall de rede global estiverem funcionando conforme o esperado.
É possível associar a nova política de firewall de rede global, além de regras de firewall da VPC à mesma rede VPC, porque as regras são aplicadas de acordo com a ordem de avaliação da política e da regra. No entanto, recomendamos desativar as regras de firewall da VPC.
Cenários de migração
Considere as seguintes situações ao migrar suas regras de firewall da VPC para uma política de firewall de rede global:
- As regras de firewall da VPC não contêm tags de rede ou contas de serviço.
- As regras de firewall da VPC contêm tags de rede ou contas de serviço de destino ou ambas.
Confira no diagrama a seguir o fluxo de trabalho de migração para as combinações de configurações anteriores. Escolha o fluxo de trabalho que corresponda aos seus requisitos de rede.
A seguir
- Migrar regras de firewall da VPC que não usam tags de rede e contas de serviço
- Migrar regras de firewall da VPC que usam tags de rede e contas de serviço