전역 네트워크 방화벽 정책을 사용하면 모든 방화벽 규칙을 단일 정책 객체로 그룹화하여 일괄 업데이트할 수 있습니다. Virtual Private Cloud(VPC) 네트워크에 네트워크 방화벽 정책을 할당할 수 있습니다. 이러한 정책에는 연결을 명시적으로 거부하거나 허용할 수 있는 규칙이 포함됩니다.
사양
- 전역 네트워크 방화벽 정책은 방화벽 규칙의 컨테이너 리소스입니다.
각 전역 네트워크 방화벽 정책 리소스는 프로젝트 내에 정의됩니다.
- 전역 네트워크 방화벽 정책을 만든 후에는 정책에서 방화벽 규칙을 추가, 업데이트, 삭제할 수 있습니다.
- 전역 네트워크 방화벽 정책의 규칙에 대한 사양 정보는 방화벽 정책 규칙을 참조하세요.
- VPC 네트워크에 전역 네트워크 방화벽 정책 규칙을 적용하려면 방화벽 정책을 해당 VPC 네트워크와 연결해야 합니다.
- 전역 네트워크 방화벽 정책을 여러 VPC 네트워크와 연결할 수 있습니다. 방화벽 정책 및 연결된 네트워크가 동일한 프로젝트에 속하는지 확인합니다.
- 각 VPC 네트워크는 하나의 전역 네트워크 방화벽 정책과만 연결할 수 있습니다.
- 방화벽 정책이 VPC 네트워크와 연결되지 않은 경우에는 해당 정책의 규칙이 적용되지 않습니다. 네트워크와 연결되지 않은 방화벽 정책은 연결되지 않은 전역 네트워크 방화벽 정책입니다.
- 전역 네트워크 방화벽 정책이 하나 이상의 VPC 네트워크와 연결된 경우 방화벽 정책 규칙이 다음 방식으로 적용됩니다.
- 기존 규칙은 연결된 VPC 네트워크의 적용 가능한 리소스에 따라 적용됩니다.
- 규칙에 적용되는 변경 사항은 연결된 VPC 네트워크의 적용 가능한 리소스에 따라 적용됩니다.
- 전역 네트워크 방화벽 정책의 규칙은 정책 및 규칙 평가 순서에 설명된 대로다음 규칙과 함께 적용됩니다.
전역 네트워크 방화벽 정책 규칙은 침입 방지 서비스를 사용하는 경우와 같이 일치하는 트래픽의 레이어 7 검사를 구성하는 데 사용됩니다.
apply_security_profile_group작업과 보안 프로필 그룹 이름을 사용하여 방화벽 정책 규칙을 만듭니다. 방화벽 정책 규칙과 일치하는 트래픽은 레이어 7 검사를 할 수 있도록 방화벽 엔드포인트에 투명하게 전달됩니다. 방화벽 정책 규칙을 만드는 방법은 전역 네트워크 방화벽 규칙 만들기를 참조하세요.
전역 네트워크 방화벽 정책 규칙 세부정보
전역 네트워크 방화벽 정책의 구성요소 및 규칙 매개변수에 대한 자세한 내용은 방화벽 정책 규칙을 참조하세요.
다음 표에서는 전역 네트워크 방화벽 정책 규칙과 VPC 방화벽 규칙 사이의 주요 차이점을 요약해서 보여줍니다.
| 전역 네트워크 방화벽 정책 규칙 | VPC 방화벽 규칙 | |
|---|---|---|
| 우선순위 번호 | 정책 내에서 고유해야 합니다. | 중복 우선순위 허용 |
| 대상 서비스 계정 | 예 | 예 |
| 소스 서비스 계정 (인그레스 규칙 전용) |
아니요 | 예 |
| 태그 유형 | 보안 태그 | 네트워크 태그 |
| 이름 및 설명 | 정책 이름, 정책, 규칙 설명 | 규칙 이름 및 설명 |
| 일괄 업데이트 | 예(정책 클론, 수정, 바꾸기 기능) | 아니요 |
| 재사용 | 예 | 아니요 |
| 할당량 | 속성 수(정책에 포함된 각 규칙의 총 복잡성 기준) | 규칙 수(복잡한 방화벽 규칙과 간단한 방화벽 규칙 모두 할당량 영향이 동일함) |
사전 정의된 규칙
전역 네트워크 방화벽 정책을 만들면 Cloud Next Generation Firewall은 우선순위가 가장 낮은 사전 정의된 규칙을 정책에 추가합니다. 이러한 규칙은 정책에서 명시적으로 정의된 규칙과 일치하지 않는 연결에 적용되어 이러한 연결이 하위 수준 정책 또는 네트워크 규칙으로 전달됩니다.
사전 정의된 다양한 유형의 규칙과 특성에 대해 알아보려면 사전 정의된 규칙을 참조하세요.
Identity and Access Management(IAM) 역할
IAM 역할은 전역 네트워크 방화벽 정책과 관련하여 다음 작업을 적용합니다.
- 전역 네트워크 방화벽 정책 만들기
- 정책을 네트워크에 연결
- 기존 정책 수정
- 특정 네트워크 또는 VM에 대한 유효한 방화벽 규칙 보기
다음 표에서는 각 작업에 필요한 역할을 설명합니다.
| 작업 | 필수 역할 |
|---|---|
| 새 전역 네트워크 방화벽 정책 만들기 | 정책이 속한 프로젝트에 대한 compute.securityAdmin 역할 |
| 정책을 네트워크에 연결 | 정책이 있는 프로젝트에 대한 compute.networkAdmin 역할 |
| 정책 방화벽 규칙을 추가, 업데이트 또는 삭제하여 정책 수정 | 정책이 있는 프로젝트에 대한 compute.securityAdmin 역할 |
| 정책 삭제 | 정책이 있는 프로젝트에 대한 compute.networkAdmin 역할 |
| VPC 네트워크의 유효한 방화벽 규칙 보기 | 네트워크에 대한 다음 역할 중 하나입니다. compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| 네트워크에서 VM의 유효한 방화벽 규칙 보기 | VM에 대한 다음 역할 중 하나입니다. compute.instanceAdmin compute.securityAdmin compute.viewer |
다음 역할은 전역 네트워크 방화벽 정책과 관련이 있습니다.
| 역할 이름 | 설명 |
|---|---|
| compute.securityAdmin | 프로젝트 또는 정책 수준에서 부여할 수 있습니다. 프로젝트에 대한 권한이 부여된 사용자는 전역 네트워크 방화벽 정책 및 규칙을 생성, 업데이트, 삭제할 수 있습니다. 정책 수준에서 사용자가 정책 규칙을 업데이트할 수 있지만 정책을 만들거나 삭제할 수는 없습니다. 또한 이 역할에서는 사용자가 정책을 네트워크에 연결할 수 있습니다. |
| compute.networkAdmin | 프로젝트 수준 또는 네트워크 수준에서 부여됩니다. 네트워크에 대한 권한이 부여된 사용자는 전역 네트워크 방화벽 정책 목록을 볼 수 있습니다. |
|
compute.viewer compute.networkUser compute.networkViewer |
사용자는 네트워크 또는 인스턴스에 적용된 방화벽 규칙을 볼 수 있습니다. 네트워크의 compute.networks.getEffectiveFirewalls 권한과 인스턴스의 compute.instances.getEffectiveFirewalls 권한이 포함됩니다. |