Políticas de firewall

Las políticas de firewall te permiten agrupar varias reglas de firewall para que puedas actualizarlas todas a la vez, con eficacia controlada por roles de Identity and Access Management (IAM). Estas políticas contienen reglas que pueden rechazar o permitir las conexiones de forma explícita, al igual que las reglas de firewall de la nube privada virtual (VPC).

Políticas jerárquicas de firewall

Las políticas de firewall jerárquicas te permiten agrupar reglas en un objeto de política que puede aplicarse a muchas redes de VPC en uno o más proyectos. Puedes asociar políticas de firewall jerárquicas con una organización completa o carpetas individuales.

Para obtener más información sobre las especificaciones y las políticas de los firewalls jerárquicos, consulta Políticas de firewall jerárquicas.

Políticas de firewall de red globales

Las políticas de firewall de red globales te permiten agrupar reglas en un objeto de política aplicable a todas las regiones (global). Después de asociar una política de firewall de red global con una red de VPC, las reglas de la política pueden aplicarse a los recursos en la red de VPC.

Para obtener más información sobre las especificaciones de las políticas de firewall de la red globales, consulta la políticas de firewall de red globales.

Políticas de firewall de red regionales

Las políticas de firewall de red regionales te permiten agrupar reglas en un objeto de política aplicable a una región específica. Después de asociar una política de firewall de red regional con una red de VPC, las reglas de la política pueden aplicarse a los recursos dentro de esa región de la red de VPC.

Para obtener más información sobre las especificaciones y las políticas de los firewalls regionales, consulta las políticas de firewall de red regionales.

Orden de evaluación de políticas y reglas

Las reglas en las políticas de firewall jerárquicas, las políticas de firewall de red globales, las políticas de firewall de red regionales y las reglas de firewall de VPC se implementan como parte del procesamiento de los paquetes de VM de lapila de virtualización de red de Andromeda. Las reglas se evalúan para cada interfaz de red (NIC) de la VM.

La aplicabilidad de una regla no depende de la especificidad de los protocolos y la configuración de puertos. Por ejemplo, una regla de permiso de prioridad más alta para todos los protocolos tiene prioridad sobre una regla de denegación de prioridad más baja específica al puerto 22 de TCP.

Además, la aplicabilidad de una regla no depende de la especificidad del parámetro de destino. Por ejemplo, una regla de permiso de prioridad más alta para todas las VMs (todos los objetivos) tiene prioridad, incluso si existe una regla de denegación de prioridad más baja con un parámetro de destino más específico, por ejemplo, una cuenta de servicio o etiqueta específica.

De forma predeterminada, y cuando el networkFirewallPolicyEnforcementOrder de la red de VPC que usa la NIC de la VM es AFTER_CLASSIC_FIREWALL, Google Cloud evalúa las reglas aplicables a la NIC de la VM en el siguiente orden:

  1. Si una política de firewall jerárquica está asociada con la organización que contiene el proyecto de la VM, Google Cloud evalúa todas las reglas aplicables en la política de firewall jerárquica. Debido a que las reglas en las políticas de firewall jerárquicas deben ser únicas, la regla de mayor prioridad que coincide con la dirección del tráfico y las características de la capa 4 determina cómo se procesa el tráfico:
    • La regla puede permitir el tráfico. Se detiene el proceso de evaluación.
    • La regla puede rechazar el tráfico. Se detiene el proceso de evaluación.
    • La regla puede enviar el tráfico para la inspección de capa 7 (apply_security_profile_group) al extremo de firewall. La decisión de permitir o descartar el paquete depende del extremo de firewall y el perfil de seguridad configurado. En ambos casos, se detiene el proceso de evaluación de reglas.
    • La regla puede permitir el procesamiento de reglas definidas como se describe en los siguientes pasos si se cumple alguna de las siguientes condiciones:
      • Una regla con una acción goto_next coincide con el tráfico.
      • Ninguna regla coincide con el tráfico. En este caso, se aplica una regla goto_next implícita.
  2. Si una política de firewall jerárquica está asociada con la principal más distante (superior) del proyecto de la VM, Google Cloud evalúa todas las reglas aplicables en la política de firewall jerárquica para esa carpeta. Debido a que las reglas en las políticas de firewall jerárquica deben ser únicas, la regla de mayor prioridad que coincide con la dirección del tráfico y las características de la capa 4 determina cómo se procesa el tráfico (allow, deny, apply_security_profile_group o goto_next) como se describe en el primer paso.
  3. Google Cloud repite las acciones del paso anterior para una política de firewall jerárquica asociada con la siguiente carpeta que está más cerca del proyecto de la VM en la jerarquía de recursos. Google Cloud primero evalúa las reglas en las políticas de firewall jerárquicas asociadas con la principal de carpeta más distante (más cercana al nodo de la organización) y, luego, evalúa las reglas en las políticas de firewall jerárquicas asociadas con la siguiente carpeta (secundaria). al proyecto de la VM.

  4. Si existen reglas de firewall de VPC en la red de VPC que usa la NIC de la VM, Google Cloud evalúa todas las reglas de firewall de VPC aplicables.

    A diferencia de las reglas en las políticas de firewall:

    • Las reglas de firewall de VPC no tienen ninguna acción explícita de goto_next o apply_security_profile_group. Una regla de firewall de VPC solo se puede configurar para permitir o denegar el tráfico.

    • Dos o más reglas de firewall de VPC en una red de VPC pueden compartir el mismo número de prioridad. En ese caso, las reglas de rechazo tienen prioridad sobre las reglas de permiso. Para obtener detalles adicionales sobre la prioridad de las reglas de firewall de VPC, consulta Prioridad en la documentación de reglas de firewall de VPC.

    Si no se aplica ninguna regla de firewall de VPC al tráfico, Google Cloud continúa con el paso siguiente, implícito goto_next.

  5. Si una política de firewall de red global está asociada con la red de VPC de la NIC de la VM, Google Cloud evalúa todas las reglas aplicables en la política de firewall. Debido a que las reglas de las políticas de firewall deben ser únicas, la regla de mayor prioridad que coincide con la dirección del tráfico y las características de la capa 4 determina cómo se procesa el tráfico (allow, deny, apply_security_profile_group y goto_next) como se describe en el primer paso.

  6. Si una política de firewall de red regional está asociada con la red de VPC de la NIC de la VM y la región de la VM, Google Cloud evalúa todas las reglas aplicables en la política de firewall. Debido a que las reglas en las políticas de firewall deben ser únicas, la regla de mayor prioridad que coincide con la dirección del tráfico y las características de la capa 4 determina cómo se procesa el tráfico —allow, deny o goto_next— como se describe en el primer paso.

  7. Como paso final en la evaluación, Google Cloud aplica las reglas implícitas de firewall de permiso de salida y de denegación de entrada.

En el diagrama siguiente, se muestra el flujo de resolución para las reglas de firewall.

Flujo de resolución de las reglas de firewall.
Figura 1. Flujo de resolución de las reglas de firewall (haz clic para ampliar).

Cambia el orden de evaluación de políticas y reglas

Google Cloud te permite cambiar el proceso de evaluación de reglas predeterminado mediante el intercambio del orden de las reglas de firewall de VPC y las políticas de firewall de red (tanto globales como regionales). Cuando realizas este intercambio, la política de firewall de red global (paso 5) y la política de firewall de red regional (paso 6) se evalúan antes que las reglas de firewall de VPC (paso 4) en elorden de evaluación de reglas.

Para cambiar el orden de evaluación de la regla, ejecuta el siguiente comando a fin de establecer el atributo networkFirewallPolicyEnforcementOrder de la red de VPC en BEFORE_CLASSIC_FIREWALL:

gcloud compute networks update VPC-NETWORK-NAME \
    --network-firewall-policy-enforcement-order BEFORE_CLASSIC_FIREWALL

Para obtener más información, consulta el método networks.patch.

Reglas de firewall vigentes

Las reglas de políticas de firewall jerárquicas, las reglas de firewall de VPC y las reglas de políticas de firewall de red globales y regionales controlan las conexiones. Puede resultarte útil ver todas las reglas de firewall que afectan a una red individual o a una interfaz de VM.

Reglas de firewall vigentes de la red

Puedes ver todas las reglas de firewall que se aplican a una red de VPC. La lista incluye todos los tipos de reglas que se indican a continuación:

  • Reglas heredadas de políticas de firewall jerárquicas
  • Reglas de firewall de VPC
  • Reglas aplicadas desde las políticas de firewall de red globales y regionales

Reglas de firewall vigentes de la instancia

Puedes ver todas las reglas de firewall que se aplican a la interfaz de red de una VM. La lista incluye todos los tipos de reglas que se indican a continuación:

  • Reglas heredadas de políticas de firewall jerárquicas
  • Reglas aplicadas desde el firewall de VPC de la interfaz
  • Reglas aplicadas desde las políticas de firewall de red globales y regionales

Las reglas se ordenan desde el nivel de organización hasta la red de VPC. Solo se muestran las reglas que se aplican a la interfaz de VM. No se muestran las reglas de otras políticas.

Para ver las reglas de políticas de firewall efectivas dentro de una región, consulta Obtén políticas de firewall efectivas para una red.

Reglas predefinidas

Cuando creas una política de firewall jerárquica, una política de firewall de red global o una política de firewall de red regional, Cloud NGFW agrega reglas predefinidas a la política. Las reglas predefinidas que Cloud NGFW agrega a la política dependen de cómo creas la política.

Si creas una política de firewall con la consola de Google Cloud, Cloud NGFW agrega las siguientes reglas a la política nueva:

  1. Reglas ir al siguiente para los rangos de IPv4 privados
  2. Reglas de denegación predefinidas de inteligencia ante amenazas
  3. Reglas de denegación de ubicación geográfica predefinidas
  4. Reglas de Ir a la siguiente prioridad más baja posible

Si creas una política de firewall con Google Cloud CLI o la API, Cloud NGFW solo agrega las reglas ir a la siguiente menor prioridad posible a la política.

Todas las reglas predefinidas en una política de firewall nueva usan intencionalmente las prioridades bajas (números de prioridad grande) para que puedas anularlas con la creación de reglas con prioridades más altas. Excepto por las reglas ir a la siguiente menor prioridad posible, también puedes personalizar las reglas predefinidas.

Reglas goto-next para los rangos de IPv4 privados

  • Una regla de salida con rangos de IPv4 de destino que tienen el valor 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, la prioridad 1000 y la acción goto_next.

  • Una regla de entrada con los rangos IPv4 de origen 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, la prioridad 1001 y la acción goto_next.

Reglas de denegación predefinidas de inteligencia ante amenazas

  • Una regla de entrada con la lista de origen de inteligencia ante amenazasiplist-tor-exit-nodes, la prioridad 1002 y la acción deny.

  • Una regla de entrada con la lista de origen de inteligencia ante amenazas iplist-known-malicious-ips, la prioridad 1003 y la acción deny.

  • Una regla de salida con la lista de destino de amenazas de destino iplist-known-malicious-ips, la prioridad 1004 y la acción deny.

Si deseas obtener más información sobre inteligencia ante amenazas, consulta Inteligencia ante amenazas para las reglas de políticas de firewall.

Reglas de denegación de ubicación geográfica predefinidas

  • Una regla de entrada con ubicaciones geográficas de origen que coinciden con CU, IR, KP, SY, XC y XD, prioridad 1005 y acción deny.

Para obtener más información sobre las ubicaciones geográficas, consulta Objetos de ubicación geográfica.

Reglas ir a la siguiente menor prioridad posible

No puedes modificar o borrar las siguientes reglas:

  • Una regla de salida con el rango de IPv6 de destino ::/0, la prioridad 2147483644 y la acción goto_next.

  • Una regla de entrada con el rango de IPv6 de origen ::/0, la prioridad 2147483645 y la acción goto_next.

  • Una regla de salida con el rango de IPv4 de destino 0.0.0.0/0, la prioridad 2147483646 y la acción goto_next.

  • Una regla de entrada con el rango de IPv4 de origen 0.0.0.0/0, la prioridad 2147483647 y la acción goto_next.

¿Qué sigue?