Criteri firewall di rete globali

I criteri firewall di rete globali ti consentono di aggiornare in blocco tutte le regole firewall raggruppandole in un unico oggetto di criteri. Puoi assegnare i criteri del firewall di rete a una rete Virtual Private Cloud (VPC). Questi criteri contengono regole che possono negare o consentire esplicitamente le connessioni.

Specifiche

  • I criteri firewall di rete globali sono risorse contenitore per le regole del firewall. Ogni risorsa del criterio firewall di rete globale è definita all'interno di un progetto.
    • Dopo aver creato una policy del firewall di rete globale, puoi aggiungere, aggiornare ed eliminare le regole firewall al suo interno.
    • Per informazioni sulle specifiche delle regole nei criteri firewall di rete globali, consulta Regole dei criteri firewall.
  • Per applicare le regole delle policy firewall di rete globali a una rete VPC, devi associare la policy firewall alla rete VPC.
    • Puoi associare un criterio firewall di rete globale a più reti VPC. Assicurati che il criterio del firewall e le reti associate appartengano allo stesso progetto.
    • Ogni rete VPC può essere associata a un solo criterio del firewall di rete globale.
    • Se il criterio firewall non è associato a nessuna rete VPC, le regole al suo interno non hanno alcun effetto. Un criterio firewall non associato a nessuna rete è un criterio firewall di rete globale non associato.
  • Quando un criterio firewall di rete globale è associato a una o più reti VPC, le regole del criterio firewall vengono applicate nei modi seguenti:
    • Le regole esistenti vengono applicate alle risorse applicabili nelle reti VPC associate.
    • Eventuali modifiche apportate alle regole vengono applicate alle risorse applicabili nelle reti VPC associate.
  • Le regole nei criteri firewall di rete globali vengono applicate insieme ad altre regole firewall come descritto nell'ordine di valutazione dei criteri e delle regole.
  • Le regole delle policy del firewall di rete globale vengono utilizzate per configurare l'ispezione di livello 7 del traffico corrispondente, ad esempio durante l'utilizzo del servizio di prevenzione delle intrusioni.

    Crea una regola di criteri firewall con l'apply_security_profile_group azione e il nome del gruppo di profili di sicurezza. Il traffico corrispondente alla regola del criterio firewall viene inoltrato in modo trasparente all'endpoint firewall per l'ispezione di livello 7. Per scoprire come creare una regola della policy firewall, consulta Creare regole firewall di rete globale.

Dettagli della regola del criterio firewall di rete globale

Per ulteriori informazioni sui componenti e sui parametri delle regole in un criterio firewall di rete globale, consulta Regole del criterio firewall.

La seguente tabella riassume le principali differenze tra i criteri firewall di rete globale e le regole firewall VPC:

Regole dei criteri firewall di rete globali Regole firewall VPC
Numero di priorità Deve essere univoco all'interno di un criterio Priorità duplicate consentite
Account di servizio come target
Service account come origini
(solo regole di ingresso)
No
Tipo di tag Tag protetto Tag di rete
Nome e descrizione Nome, descrizione della norma e delle regole Nome e descrizione della regola
Aggiornamento batch Sì, per le funzioni di clonazione, modifica e sostituzione dei criteri No
Riutilizza No
Quota Conteggio degli attributi: in base alla complessità totale di ogni regola nel criterio Numero di regole: le regole firewall complesse e semplici hanno lo stesso impatto sulle quote

Regole predefinite

Quando crei un criterio firewall di rete globale, Cloud Next Generation Firewall aggiunge al criterio le regole predefinite con la priorità più bassa. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola definita esplicitamente nel criterio, pertanto vengono trasmesse ai criteri o alle regole di rete di livello inferiore.

Per informazioni sui vari tipi di regole predefinite e sulle relative caratteristiche, consulta Regole predefinite.

i ruoli IAM (Identity and Access Management)

I ruoli IAM regolano le seguenti azioni relative ai criteri firewall di rete globali:

  • Creazione di una policy del firewall di rete globale
  • Associare un criterio a una rete
  • Modifica di un criterio esistente
  • Visualizzazione delle regole firewall effettive per una determinata rete o VM

La tabella seguente descrive i ruoli necessari per ogni azione:

Azione Ruolo necessario
Crea una nuova policy del firewall di rete globale Ruolo compute.securityAdmin nel progetto a cui appartiene il criterio
Associare un criterio a una rete Il ruolo compute.networkAdmin nel progetto in cui verrà implementato il criterio
Modifica la policy aggiungendo, aggiornando o eliminando le regole del firewall della policy Ruolo compute.securityAdmin nel progetto in cui verrà implementato il criterio
Elimina il criterio Il ruolo compute.networkAdmin nel progetto in cui verrà implementato il criterio
Visualizzare le regole firewall effettive per una rete VPC Uno dei seguenti ruoli per la rete:
compute.networkAdmin
compute.networkViewer
compute.securityAdmin
compute.viewer
Visualizzare le regole firewall effettive per una VM in una rete Uno dei seguenti ruoli per la VM:
compute.instanceAdmin
compute.securityAdmin
compute.viewer

I seguenti ruoli sono pertinenti ai criteri firewall di rete globali.

Nome ruolo Descrizione
compute.securityAdmin Può essere concessa a livello di progetto o criterio. Se concessa per un progetto, consente agli utenti di creare, aggiornare ed eliminare le policy del firewall di rete globale e le relative regole. A livello di criterio, consente agli utenti di aggiornare le regole del criterio, ma non di creare o eliminare il criterio. Questo ruolo consente inoltre agli utenti di associare un criterio a una rete.
compute.networkAdmin Concessa a livello di progetto o di rete. Se concessa per una rete, consente agli utenti di visualizzare l'elenco dei criteri firewall di rete globali.
compute.viewer
compute.networkUser
compute.networkViewer
Consente agli utenti di visualizzare le regole del firewall applicate alla rete o all'istanza.
Include l'autorizzazione compute.networks.getEffectiveFirewalls per le reti e compute.instances.getEffectiveFirewalls per le istanze.