Políticas de firewall

As políticas de firewall permitem agrupar várias regras de firewall para que você possa atualizá-las de uma só vez, efetivamente controladas pelos papéis do Identity and Access Management (IAM). Essas políticas contêm regras que podem negar ou permitir conexões explicitamente, assim como as regras de firewall da nuvem privada virtual (VPC).

Políticas de firewall hierárquicas

As políticas hierárquicas de firewall permitem agrupar regras em um objeto de política que pode ser aplicado a muitas redes VPC em um ou mais projetos. É possível associar políticas de firewall hierárquicas a uma organização inteira ou pastas individuais.

Veja detalhes e especificações da política de firewall hierárquica em Políticas de firewall hierárquicas.

Políticas globais de firewall de rede

As políticas de firewall da rede global permitem agrupar regras em um objeto de política aplicável a todas as regiões (global). Depois de associar uma política de firewall de rede global a uma rede VPC, as regras na política podem ser aplicadas a recursos na rede VPC.

Veja detalhes e especificações da política de firewall de rede global em Políticas de firewall de rede global.

Políticas de firewall da rede regional

As políticas de firewall da rede regional permitem agrupar regras em um objeto de política aplicável a uma região específica. Depois de associar uma política de firewall da rede regional a uma rede VPC, as regras na política podem ser aplicadas aos recursos nessa região da rede VPC.

Veja detalhes e especificações da política de firewall regional em Políticas de firewall de rede regionais.

Ordem da política e da avaliação de regras

Regras em políticas hierárquicas de firewall, políticas globais de firewall de rede, políticas de firewall de rede regional e regras de firewall VPC são implementadas como parte do processamento de pacote de VM da pilha de virtualização de rede Andromeda As regras são avaliadas para cada interface de rede (NIC) da VM.

A aplicabilidade de uma regra não depende da especificidade da configuração de protocolos e portas. Por exemplo, uma regra de permissão de prioridade mais alta para todos os protocolos tem precedência sobre uma regra de negação de prioridade mais baixa específica para a porta 22 TCP.

Além disso, a aplicabilidade de uma regra não depende da especificidade do parâmetro de destino. Por exemplo, uma regra de permissão de prioridade mais alta para todas as VMs (todas as metas) tem precedência, mesmo que exista uma regra de negação de prioridade mais baixa com um parâmetro de meta mais específico. por exemplo, uma conta de serviço ou tag específica.

Determinar a ordem de avaliação de regras e políticas

A ordem em que as regras da política de firewall e da VPC são avaliadas é determinada pela flag networkFirewallPolicyEnforcementOrder da rede VPC anexada à placa de rede da VM.

A flag networkFirewallPolicyEnforcementOrder pode ter estes dois valores:

  • BEFORE_CLASSIC_FIREWALL: se você definir a flag como BEFORE_CLASSIC_FIREWALL, as políticas de firewall de rede globais e regionais serão avaliadas antes das regras de firewall da VPC em ordem de avaliação da regra.

  • AFTER_CLASSIC_FIREWALL : se você definir a flag como AFTER_CLASSIC_FIREWALL, as políticas de firewall de rede globais e regionais serão avaliadas após as regras de firewall da VPC na ordem de avaliação da regra. AFTER_CLASSIC_FIREWALL é o valor padrão da flag networkFirewallPolicyEnforcementOrder.

Para alterar a ordem de avaliação da regra, consulte Alterar a política e a ordem de avaliação de regras.

Ordem de avaliação de regras e políticas padrão

Por padrão, e quando o networkFirewallPolicyEnforcementOrder da rede VPC anexada à placa de rede da VM for AFTER_CLASSIC_FIREWALL, o Google Cloud avaliará as regras aplicáveis a essa placa na seguinte ordem:

  1. Se uma política hierárquica de firewall estiver associada à organização que contém o projeto da VM, o Google Cloud avaliará todas as regras aplicáveis na política hierárquica de firewall. Como as regras nas políticas hierárquicas de firewall precisam ser únicas, a regra de prioridade mais alta que corresponde à direção do tráfego e às características da camada 4 determina como o tráfego é processado:
    • A regra pode permitir o tráfego. O processo de avaliação será interrompido.
    • A regra pode negar o tráfego. O processo de avaliação será interrompido.
    • A regra pode enviar o tráfego para a inspeção da camada 7 (apply_security_profile_group) para o endpoint de firewall. A decisão de permitir ou descartar o pacote depende do endpoint do firewall e do perfil de segurança configurado. Em ambos os casos, o processo de avaliação da regra é interrompido.
    • Se algum dos itens a seguir for verdadeiro, a regra poderá permitir o processamento de regras definidas conforme descrito nas próximas etapas:
      • Uma regra com uma ação goto_next corresponde ao tráfego.
      • Nenhuma regra corresponde ao tráfego. Nesse caso, é aplicada uma regra goto_next implícita.
  2. Se uma política hierárquica de firewall estiver associada ao ancestral de pasta mais distante (principal) do projeto da VM, o Google Cloud avaliará todas as regras aplicáveis na política hierárquica de firewall dessa pasta. Como as regras nas políticas hierárquicas de firewall precisam ser únicas, a regra de prioridade mais alta que corresponde à direção do tráfego e as características da camada 4 determina como o tráfego é processado: allow, deny, apply_security_profile_group ou goto_next, conforme descrito na primeira etapa.
  3. O Google Cloud repete as ações da etapa anterior para uma política hierárquica de firewall associada à próxima pasta, que está mais próximo do projeto da VM na hierarquia de recursos. Primeiro, o Google Cloud avalia regras em políticas hierárquicas de firewall associadas ao ancestral de pasta mais distante (mais próximo da organização) e depois avalia as regras em políticas hierárquicas de firewall associadas à próxima pasta (filho) para o projeto da VM.
  4. Se houver regras de firewall da VPC na rede VPC usada pela NIC da VM, o Google Cloud avaliará todas as regras de firewall da VPC aplicáveis.

    Ao contrário das regras nas políticas de firewall:

    • As regras de firewall da VPC não têm uma ação goto_next ou apply_security_profile_group explícita. Uma regra de firewall da VPC só pode ser configurada para permitir ou negar tráfego.

    • Duas ou mais regras de firewall da VPC em uma rede VPC podem compartilhar o mesmo número de prioridade. Nessa situação, as regras de negação têm precedência sobre as regras de permissão. Para mais detalhes sobre a prioridade das regras de firewall da VPC, consulte Prioridade na documentação das regras de firewall da VPC.

    Se nenhuma regra de firewall da VPC se aplicar ao tráfego, o Google Cloud seguirá para a próxima etapa: goto_next.

  5. Se uma política de firewall de rede global estiver associada à rede VPC da NIC da VM, o Google Cloud avaliará todas as regras aplicáveis na política de firewall. Como as regras nas políticas de firewall precisam ser únicas, a regra de prioridade mais alta que corresponde à direção do tráfego e às características da camada 4 determina como o tráfego é processado: allow, deny, apply_security_profile_group ou goto_next, conforme descrito na primeira etapa.

  6. Se uma política de firewall de rede regional estiver associada à rede VPC da NIC da VM e à região da VM, o Google Cloud avaliará todas as regras aplicáveis na política de firewall. Como as regras nas políticas de firewall precisam ser únicas, a regra de prioridade mais alta que corresponde à direção do tráfego e às características da camada 4 determina como o tráfego é processado:allow ,deny ougoto_next conforme descrito na primeira etapa.

  7. Como etapa final da avaliação, o Google Cloud aplica as regras de firewall implícitas de saída e de negação de entrada implícitas.

O diagrama a seguir mostra o fluxo de resolução para regras de firewall.

Fluxo de resolução de regras de firewall
Figura 1. Fluxo de resolução de regras de firewall (clique para ampliar).

Alterar a política e a ordem de avaliação da regra

O Google Cloud oferece a opção de alterar o processo padrão de avaliação de regras, trocando a ordem das regras de firewall de VPC e das políticas de firewall de rede (global e regional). Quando você faz essa troca, a política de firewall de rede global (etapa 5) e a política de firewall de rede regional (etapa 6) são avaliadas antes das regras de firewall de VPC (etapa 4) na ordem de avaliação de regra.

Se você quiser alterar a ordem de avaliação da regra, execute o seguinte comando para definir o atributo networkFirewallPolicyEnforcementOrder da rede VPC como BEFORE_CLASSIC_FIREWALL:

gcloud compute networks update VPC-NETWORK-NAME \
    --network-firewall-policy-enforcement-order BEFORE_CLASSIC_FIREWALL

Para mais informações, consulte o método networks.patch.

Regras de firewall eficazes

As regras da política hierárquica de firewall, as regras de firewall da VPC e as regras de política de firewall de rede global e regional controlam as conexões. Pode ser útil ver todas as regras de firewall que afetam uma rede ou interface de VM individual.

Regras de firewall eficazes da rede

É possível visualizar todas as regras de firewall aplicadas a uma rede VPC. A lista inclui todos os tipos de regras a seguir:

  • Regras herdadas de políticas hierárquicas de firewall
  • Regras de firewall da VPC
  • Regras aplicadas pelas políticas de firewall da rede global e regional

Regras de firewall efetivas da instância

É possível ver todas as regras de firewall aplicadas à interface de rede de uma VM. A lista inclui todos os tipos de regras a seguir:

  • Regras herdadas de políticas hierárquicas de firewall
  • Regras aplicadas pelo firewall da VPC da interface
  • Regras aplicadas pelas políticas de firewall da rede global e regional

As regras são ordenadas do nível da organização até as regras da VPC. Somente as regras que se aplicam à interface da VM são mostradas. As regras em outras políticas não são mostradas.

Para ver as regras de política de firewall vigentes em uma região, consulte Receber políticas eficazes de firewall regional para uma rede.

Regras predefinidas

Quando você cria uma política de firewall hierárquica, de rede global ou regional, o Cloud NGFW adiciona regras predefinidas à política. As regras predefinidas que o Cloud NGFW adiciona à política dependem de como você cria a política.

Se você criar uma política de firewall usando o console do Google Cloud, o Cloud NGFW adicionará as seguintes regras à nova política:

  1. Regras "Goto-next" para intervalos IPv4 particulares
  2. Regras de negação predefinidas de inteligência contra ameaças
  3. Regras de negação de localização geográfica predefinidas
  4. Regras para ir para a próxima prioridade com a menor prioridade possível

Se você criar uma política de firewall usando a CLI do Google Cloud ou a API, o Cloud NGFW adicionará apenas as regras goto-next de prioridade mais baixa possível à política.

Todas as regras predefinidas em uma nova política de firewall usam prioridades baixas (números de prioridade grandes) para que você possa substituí-las criando regras com prioridades mais altas. Exceto pelas regras goto-next com a menor prioridade possível, também é possível personalizar as regras predefinidas.

Regras "Goto-next" para intervalos IPv4 particulares

  • Uma regra de saída com intervalos IPv4 de destino 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridade 1000 e ação goto_next.

  • Uma regra de entrada com intervalos IPv4 de origem 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, prioridade 1001 e ação goto_next.

Regras de negação predefinidas de inteligência contra ameaças

  • Uma regra de entrada com a lista de inteligência contra ameaças de origem iplist-tor-exit-nodes, prioridade 1002 e ação deny.

  • Uma regra de entrada com a lista de inteligência contra ameaças de origem iplist-known-malicious-ips, prioridade 1003 e ação deny.

  • Uma regra de saída com a lista de inteligência contra ameaças de destino iplist-known-malicious-ips, prioridade 1004 e ação deny.

Para saber mais sobre inteligência contra ameaças, consulte Inteligência de ameaças para regras de políticas de firewall.

Regras de negação de localização geográfica predefinidas

  • Uma regra de entrada com a origem correspondente aos locais geográficos CU, IR, KP, SY, XC e XD, prioridade 1005 e ação deny.

Para saber mais sobre localizações geográficas, consulte Objetos de geolocalização.

Regras goto-next com a menor prioridade possível

Não é possível modificar ou excluir as seguintes regras:

  • Uma regra de saída com o intervalo IPv6 de destino ::/0, prioridade 2147483644 e ação goto_next.

  • Uma regra de entrada com intervalo IPv6 de origem ::/0, prioridade 2147483645 e ação goto_next.

  • Uma regra de saída com o intervalo IPv4 de destino 0.0.0.0/0, prioridade 2147483646 e ação goto_next.

  • Uma regra de entrada com o intervalo IPv4 de origem 0.0.0.0/0, prioridade 2147483647 e ação goto_next.

A seguir