Etiquetas seguras para firewalls

As regras da firewall de nova geração da nuvem usam etiquetas para especificar origens e destinos. Esta abordagem flexível evita a dependência de endereços IP.

Tipos de etiquetas

O NGFW da nuvem suporta dois tipos de etiquetas:

  • As etiquetas regidas pela gestão de identidade e de acesso (IAM), também denominadas etiquetas seguras, são criadas e geridas no Resource Manager como chaves de etiquetas e valores de etiquetas. Os valores de etiquetas seguros podem ser usados para especificar origens para regras de entrada e destinos para regras de entrada ou saída numa política de firewall hierárquica, numa política de firewall de rede global ou numa política de firewall de rede regional.

  • As etiquetas de rede são strings de carateres sem controlos de acesso que podem ser adicionadas a instâncias de máquinas virtuais (VMs) ou a modelos de instâncias. As etiquetas de rede podem ser usadas para especificar origens para regras de firewall de nuvem virtual privada (VPC) de entrada e destinos para regras de firewall de VPC de entrada ou saída. As etiquetas de rede não podem ser usadas por regras numa política de firewall hierárquica, numa política de firewall de rede global ou numa política de firewall de rede regional. Para mais informações sobre etiquetas de rede, consulte o artigo Adicione etiquetas de rede.

Para mais informações sobre as diferenças entre etiquetas seguras e etiquetas de rede, consulte o artigo Comparação entre etiquetas seguras e etiquetas de rede.

A secção seguinte desta página descreve as etiquetas seguras nas políticas de firewall.

Especificações

As etiquetas seguras têm as seguintes especificações:

  • Recurso principal: o recurso principal é o recurso onde a chave da etiqueta segura está definida. As chaves de etiquetas podem ser criadas num projeto principal ou numa organização. Para mais informações sobre como criar chaves de etiquetas, consulte o artigo Crie e faça a gestão de etiquetas seguras.

  • Finalidade e dados de finalidade: para usar uma chave de etiqueta segura com o Cloud NGFW, tem de definir o atributo purpose da chave de etiqueta como GCE_FIREWALL e especificar o atributo purpose-data:

    • Pode definir o atributo purpose-data da chave da etiqueta como network, seguido de uma única especificação da rede de VPC.

      • Para chaves de etiquetas com um projeto principal, se definir o atributo purpose-data da chave de etiqueta como network, a rede VPC especificada tem de estar localizada no mesmo projeto que a chave de etiqueta.

      • Para chaves de etiquetas com uma organização principal, se definir o atributo purpose-data da chave de etiqueta como network, a rede VPC especificada tem de estar localizada na mesma organização que a chave de etiqueta.

    • Pode definir o atributo purpose-data da chave da etiqueta como organization=auto. Isto identifica todas as redes VPC na organização.

    Não é possível alterar o atributo purpose nem o atributo purpose-data depois de criar uma chave de etiqueta. Para mais informações sobre como formatar a especificação da rede no atributo purpose-data de uma chave de etiqueta, consulte Finalidade na documentação da API Resource Manager.

  • Estrutura e formato: uma chave de etiqueta segura pode fazer referência a até 1000 valores de etiqueta únicos. Os principais da IAM com a função de administrador da etiqueta (roles/resourcemanager.tagAdmin) criam chaves de etiqueta e valores de etiqueta para cada chave de etiqueta. Para mais informações sobre os limites de etiquetas seguras, consulte a secção Limites.

  • Mover projetos entre organizações: pode mover um projeto de uma organização para outra. Antes de mover um projeto, desassocie todas as chaves de etiquetas que tenham um atributo purpose-data a especificar uma organização usada no seu projeto da organização original. Se não desanexar primeiro as etiquetas seguras, recebe uma mensagem de erro durante a mudança.

  • Controlo de acesso: as políticas de IAM determinam que os principais de IAM podem gerir e usar etiquetas seguras:

    • Os principais da IAM com a função de administrador da etiqueta (roles/resourcemanager.tagAdmin) podem criar chaves de etiquetas e gerir os respetivos valores de etiquetas:

      • Os principais do IAM aos quais foi concedida a função de administrador de etiquetas (roles/resourcemanager.tagAdmin) na política do IAM da organização podem criar chaves de etiquetas com a organização como principal.

      • Os principais do IAM aos quais foi concedida a função de administrador de etiquetas (roles/resourcemanager.tagAdmin) na política do IAM da organização, de uma pasta ou de um projeto podem criar chaves de etiquetas com um projeto como principal.

    • Os principais da IAM com a função Utilizador de etiquetas (roles/resourcemanager.tagUser) podem associar valores de etiquetas a instâncias de VMs ou usar valores de etiquetas em regras de firewall de uma política de firewall hierárquica, uma política de firewall de rede global ou uma política de firewall de rede regional.

      • Os principais da IAM aos quais foi concedida a função de utilizador de etiquetas (roles/resourcemanager.tagUser) na política da IAM da organização podem usar valores de etiquetas de chaves de etiquetas que tenham a organização como principal.

      • Os principais da IAM aos quais foi concedida a função de utilizador de etiquetas (roles/resourcemanager.tagUser) na política da IAM da organização, de uma pasta ou de um projeto, podem usar valores de etiquetas de chaves de etiquetas com um projeto como principal.

    • Os principais do IAM que são programadores, administradores de bases de dados ou equipas operacionais podem receber a função de utilizador de etiquetas (roles/resourcemanager.tagUser) e outras funções adequadas, sem terem de receber a função de administrador de segurança do Compute (roles/compute.securityAdmin). Desta forma, as equipas operacionais podem controlar as regras de firewall que se aplicam às interfaces de rede das instâncias de VM que gerem sem poderem modificar essas regras de firewall.

    Para mais informações acerca das autorizações necessárias, consulte as funções do IAM.

  • Suporte de regras de firewall: as regras nas políticas de firewall hierárquicas, nas políticas de firewall de rede globais e nas políticas de firewall de rede regionais suportam chaves de etiquetas como etiquetas seguras de origem ou etiquetas seguras de destino. As regras de firewall da VPC não suportam etiquetas seguras. Para mais informações, consulte o artigo Comparação entre etiquetas seguras e etiquetas de rede.

  • Associação de VMs e regras de firewall aplicáveis: quando associa um valor de etiqueta seguro a uma instância de VM, as regras de firewall aplicáveis que usam o valor da etiqueta incluem interfaces de rede de VM como origens ou destinos:

    • Se o valor da etiqueta segura associado à instância for de uma chave de etiqueta cujo atributo purpose-data especifica uma única rede de VPC:

      • As regras de firewall de entrada que usam esse valor de etiqueta como uma etiqueta segura de origem têm origens que incluem as interfaces de rede da VM que estão na rede VPC especificada.

      • As regras de firewall de entrada e saída que usam esse valor de etiqueta como destino de etiqueta segura têm destinos que incluem as interfaces de rede da VM que estão na rede da VPC especificada.

    • Se o valor da etiqueta segura associado à instância for de uma chave de etiqueta cujo atributo purpose-data especifica uma organização:

      • As regras de firewall de entrada que usam esse valor de etiqueta como uma etiqueta segura têm origens que incluem as interfaces de rede da VM que estão em qualquer rede VPC da organização.

      • As regras de firewall de entrada e saída que usam esse valor de etiqueta como destino de etiqueta segura têm destinos que incluem as interfaces de rede da VM que estão em qualquer rede VPC da organização.

  • Como as regras de firewall aplicáveis identificam os pacotes: o Cloud NGFW mapeia etiquetas seguras de origem e etiquetas seguras de destino para interfaces de rede e não endereços IP:

    • Quando uma etiqueta segura de origem de uma regra de firewall de entrada inclui uma interface de rede de VM como origem, Google Cloud corresponde a todos os pacotes enviados a partir dessa interface de rede.

    • Quando uma etiqueta segura de destino de uma regra de firewall de entrada inclui uma interface de rede de VM como destino, Google Cloud corresponde a todos os pacotes recebidos por essa interface de rede.

    • Quando uma etiqueta segura de destino de uma regra de firewall de saída inclui uma interface de rede de VM como destino, Google Cloud corresponde a todos os pacotes enviados a partir dessa interface de rede.

  • Número de valores de etiquetas por instância: pode associar cada valor de etiqueta a um número ilimitado de instâncias de VM. O número de valores de etiquetas suportados por cada instância é variável.O Google Cloud aplica um limite de 10 valores de etiquetas que se aplicam a cada interface de rede de uma VM.O Google Cloud impede que associe valores de etiquetas adicionais a uma instância de VM se mais de 10 valores de etiquetas se aplicarem a uma ou mais das respetivas interfaces de rede. Para mais informações, consulte o artigo Associe etiquetas seguras.

  • Suporte do intercâmbio da rede da VPC: as etiquetas seguras de origem nas regras de entrada de uma política de firewall podem identificar interfaces de rede de VMs de origem que se encontram em redes de VPC com intercâmbio. Isto é útil para os consumidores de serviços publicados que usam o acesso a serviços privados. Ao usar regras de firewall de entrada com etiquetas seguras de origem, os consumidores podem controlar que VMs de produtor de serviços podem enviar pacotes para as respetivas VMs de consumidor.

Associe etiquetas seguras

Para usar etiquetas seguras com o NGFW na nuvem, tem de associar um valor de etiqueta a uma instância de VM. Cada chave de etiqueta segura suporta vários valores de etiqueta. No entanto, para cada chave de etiqueta, só pode associar um dos respetivos valores de etiqueta a uma instância. Para mais informações sobre as autorizações de IAM e como associar etiquetas seguras, consulte o artigo Associe etiquetas seguras.

Os exemplos nesta secção mostram como os valores das etiquetas associadas se aplicam às interfaces de rede da VM. Considere o exemplo de uma instância de VM instance1 com duas interfaces de rede:

  • O dispositivo nic0 está ligado à rede VPC network1
  • O dispositivo nic1 está ligado à rede VPC network2

Ambas as redes VPC estão na mesma organização.

Instância de VM com duas interfaces de rede, cada uma ligada a uma rede VPC diferente.
Figura 1. Instância de VM com duas interfaces de rede, cada uma ligada a uma rede VPC diferente (clique para aumentar).

O atributo purpose-data da chave da etiqueta correspondente determina a relação entre os valores das etiquetas associados e as interfaces de rede da VM.

Chaves de etiquetas cujo atributo purpose-data especifica uma rede de VPC

Suponhamos que cria duas chaves de etiquetas com os seguintes atributos purpose-data e valores de etiquetas:

  • tag_key1 tem um atributo purpose-data que especifica a rede de VPC e dois valores de etiquetas tag_value1 e tag_value2.network1

  • tag_key2 tem um atributo purpose-data que especifica a network2 rede de VPC e um valor de etiqueta tag_value3.

O atributo `purpose-data` de cada chave de etiqueta especifica uma única rede de VPC.
Figura 2. O atributo purpose-data de cada chave de etiqueta especifica uma única rede de VPC (clique para aumentar).

Quando associa os valores de etiquetas seguros tag_value1 e tag_value3 a instance1:

  • tag_value1 aplica-se à interface de rede nic0 porque o respetivo elemento principal tag_key1 tem um atributo purpose-data que especifica a rede VPC network1 e a interface de rede nic0 está em network1.

  • tag_value3 aplica-se à interface de rede nic1 porque o respetivo elemento principal tag_key2 tem um atributo purpose-data que especifica a rede VPC network2 e a interface de rede nic1 está em network2.

O diagrama seguinte mostra os valores das etiquetas de associação das chaves de etiquetas cujo atributo purpose-data especifica uma única rede de VPC.

Valores de etiquetas associados de chaves de etiquetas cujo atributo `purpose-data` especifica uma única rede VPC.
Figura 3. Valores de etiquetas associados a chaves de etiquetas cujo atributo purpose-data especifica uma única rede VPC (clique para aumentar).

Chaves de etiquetas cujo atributo purpose-data especifica a organização

Suponhamos que cria duas chaves de etiquetas com os seguintes atributos purpose-data e valores de etiquetas:

  • tag_key3 tem um atributo purpose-data que especifica a organização principal e tem dois valores de etiqueta tag_value4 e tag_value5.

  • tag_key4 tem um atributo purpose-data que especifica a organização principal e tem um valor de etiqueta tag_value6.

O atributo `purpose-data` de cada chave de etiqueta especifica a organização principal.
Figura 4. O atributo purpose-data de cada chave de etiqueta especifica a organização principal (clique para aumentar).

Quando associa o valor da etiqueta tag_value4 a instance1:

  • tag_value4 aplica-se à interface de rede nic0 porque o respetivo elemento principal tem um atributo tag_key3 que especifica a organização principal que contém a rede VPC network1 e a interface de rede nic0 está em network1.purpose-data

  • tag_value4 também se aplica à interface de rede nic1 porque o respetivo elemento principal tag_key3 inclui um atributo purpose-data que especifica a organização principal que contém a rede VPC network2. A interface de rede nic1 está em network2.

O diagrama seguinte mostra a associação de valores de etiquetas a partir de chaves de etiquetas cujo atributo purpose-data especifica a organização principal.

Valores de etiquetas associados de chaves de etiquetas cujo atributo `purpose-data` especifica a organização principal.
Figura 5. Valores de etiquetas associados a chaves de etiquetas cujo atributo purpose-data especifica a organização principal (clique para aumentar).

Configure etiquetas seguras

O fluxo de trabalho seguinte fornece uma sequência de passos de alto nível necessários para configurar etiquetas seguras nas políticas de firewall.

  1. Pode criar etiquetas seguras ao nível da organização ou do projeto. Para criar uma etiqueta ao nível da organização, o administrador da organização tem de lhe conceder primeiro autorização do IAM. Para mais informações, consulte o artigo Conceda autorizações a etiquetas seguras.

  2. Para criar uma etiqueta segura, primeiro tem de criar uma chave de etiqueta. Esta chave de etiqueta descreve a etiqueta que está a criar. Para mais informações, consulte o artigo Crie as chaves e os valores das etiquetas seguros.

  3. Depois de criar uma chave de etiqueta segura, tem de adicionar-lhe os valores de etiquetas seguras relevantes. Para mais informações, consulte o artigo Crie as chaves e os valores das etiquetas seguros. Para conceder aos utilizadores acesso específico para gerir chaves de etiquetas seguras e anexar valores de etiquetas a recursos, use a Google Cloud consola. Para mais informações, consulte o artigo Faça a gestão do acesso às etiquetas.

  4. Depois de criar uma etiqueta segura, pode usá-la numa política de firewall de rede ou numa política de firewall hierárquica. Para mais informações, consulte os artigos Crie uma política de firewall hierárquica e Crie uma política de firewall de rede.

  5. Para permitir o tráfego selecionado entre as VMs com as chaves de etiquetas de origem e as chaves de etiquetas de destino, crie uma regra de política de firewall (de rede ou hierárquica) com os valores de etiquetas de origem e os valores de etiquetas de destino específicos. Para mais informações, consulte o artigo Crie uma regra de política de firewall com etiquetas seguras.

  6. Depois de criar uma chave de etiqueta e conceder o acesso adequado à chave de etiqueta e ao recurso, a chave de etiqueta pode ser associada a uma instância de VM. Para mais informações, consulte o artigo Associe etiquetas seguras.

Comparação entre etiquetas seguras e etiquetas de rede

A tabela seguinte resume as diferenças entre as etiquetas seguras e as etiquetas de rede. A marca de verificação indica que o atributo é suportado e o símbolo indica que o atributo não é suportado.

Atributo Etiqueta segura com o atributo purpose-data a especificar uma rede VPC Etiqueta segura com o atributo purpose-data que especifica a organização Etiqueta de rede
Recurso principal Projeto ou organização Projeto ou organização Projeto
Estruture e formate Chave da etiqueta com até 1000 valores Chave da etiqueta com até 1000 valores String simples
Controlo de acesso Usar o IAM Usar o IAM Sem controlo de acesso
Interfaces de rede aplicáveis
  • Regra de firewall de entrada com valor de etiqueta segura de origem: as origens incluem interfaces de rede de VMs na rede da VPC especificada pelo atributo purpose-data da chave da etiqueta.
  • Regra de firewall de entrada ou saída com valor de etiqueta segura de destino: targets include interfaces de rede de VMs na rede da VPC especificada pelo atributo purpose-data da chave da etiqueta.
  • Regra de firewall de entrada com valor de etiqueta segura de origem: as origens incluem interfaces de rede de VMs em qualquer rede da VPC da organização principal.
  • Regra de firewall de entrada ou saída com o valor da etiqueta segura de destino: os destinos incluem interfaces de rede de VMs em qualquer rede VPC da organização principal.
  • Regra de firewall de entrada com etiqueta de rede de origem: as origens incluem interfaces de rede de VMs em qualquer rede VPC usada pela VM, se essa rede tiver regras de firewall de VPC que usem a etiqueta de rede de origem.
  • Regra de firewall de entrada ou saída com etiqueta de rede de destino: os destinos incluem interfaces de rede de VMs em qualquer rede VPC usada pela VM se essa rede tiver regras de firewall de VPC que usem a etiqueta de rede de destino.
Suportado por regras em políticas de firewall hierárquicas
Suportado por regras nas políticas de firewall de rede globais e regionais
Suportado por regras de firewall da VPC
As regras de firewall de entrada podem incluir origens em redes VPC ligadas através da interligação de redes VPC 1 1
As regras de firewall de entrada podem incluir origens noutros raios da VPC no hub do Network Connectivity Center
1Um valor de etiqueta segura de origem pode identificar interfaces de rede noutra rede VPC quando ambas as seguintes condições são verdadeiras:
  • O atributo purpose-data da chave da etiqueta especifica a outra rede VPC (ou a organização principal que contém a outra rede VPC)
  • A outra rede VPC e a rede VPC que usa a política de firewall estão ligadas através do intercâmbio das redes da VPC

Funções de IAM

Para mais informações sobre as funções e as autorizações de IAM necessárias para criar e gerir etiquetas seguras, consulte o artigo Faça a gestão de etiquetas em recursos.

O que se segue?