Criteri firewall

I criteri firewall consentono di raggruppare diverse regole firewall in modo da poterle aggiornare tutte insieme, con un controllo efficace mediante ruoli IAM (Identity and Access Management). Questi criteri contengono regole che possono negare o consentire esplicitamente le connessioni, così come le regole firewall VPC (Virtual Private Cloud).

Criteri firewall gerarchici

I criteri firewall gerarchici consentono di raggruppare le regole in un oggetto criterio applicabile a molte reti VPC in uno o più progetti. Puoi associare i criteri firewall gerarchici a un'intera organizzazione o a singole cartelle.

Per specifiche e dettagli dei criteri firewall gerarchici, consulta Criteri firewall gerarchici.

Criteri firewall di rete globali

I criteri firewall di rete globali consentono di raggruppare le regole in un oggetto criterio applicabile a tutte le regioni (globali). Dopo aver associato un criterio firewall di rete globale a una rete VPC, le regole nel criterio possono essere applicate alle risorse nella rete VPC.

Per le specifiche e i dettagli dei criteri firewall di rete globali, vedi Criteri firewall di rete globali.

Criteri firewall di rete regionali

I criteri firewall di rete a livello di regione consentono di raggruppare le regole in un oggetto criterio applicabile a una regione specifica. Dopo aver associato un criterio firewall di rete a livello di regione a una rete VPC, le regole nel criterio possono essere applicate alle risorse all'interno di quella regione della rete VPC.

Per le specifiche e i dettagli dei criteri firewall a livello di regione, consulta Criteri firewall di rete a livello di regione.

Ordine di valutazione di criteri e regole

Le regole nei criteri firewall gerarchici, nei criteri dei firewall di rete globali, nei criteri dei firewall di rete regionali e nelle regole firewall VPC vengono implementate nell'ambito dell'elaborazione dei pacchetti VM dello stack di virtualizzazione di rete Andromeda. Le regole vengono valutate per ogni interfaccia di rete (NIC) della VM.

L'applicabilità di una regola non dipende dalla specificità dei protocolli e della configurazione delle porte. Ad esempio, una regola di autorizzazione con priorità più alta per tutti i protocolli ha la precedenza su una regola di negazione con priorità inferiore specifica per la porta 22 di TCP.

Inoltre, l'applicabilità di una regola non dipende dalla specificità del parametro target. Ad esempio, una regola di autorizzazione con priorità più alta per tutte le VM (tutti i target) ha la precedenza anche se esiste una regola di negazione con priorità inferiore con un parametro di destinazione più specifico, ad esempio un account di servizio o un tag specifico.

Per impostazione predefinita, e quando networkFirewallPolicyEnforcementOrder della rete VPC utilizzata dal NIC della VM è AFTER_CLASSIC_FIREWALL, Google Cloud valuta le regole applicabili al NIC della VM nel seguente ordine:

  1. Se all'organizzazione che contiene il progetto della VM è associato un criterio firewall gerarchico, Google Cloud valuta tutte le regole applicabili nel criterio firewall gerarchico. Poiché le regole nei criteri firewall gerarchici devono essere univoche, la regola di priorità più elevata che corrisponde alla direzione del traffico e alle caratteristiche del livello 4 determina la modalità di elaborazione del traffico:
    • La regola può autorizzare il traffico. Il processo di valutazione si interrompe.
    • La regola può negare il traffico. Il processo di valutazione si interrompe.
    • La regola può inviare il traffico per l'ispezione di livello 7 (apply_security_profile_group) all'endpoint del firewall. La decisione di consentire o ignorare il pacchetto dipende dall'endpoint firewall e dal profilo di sicurezza configurato. In entrambi i casi, il processo di valutazione delle regole si interrompe.
    • La regola può consentire l'elaborazione di regole definite come descritto nei passaggi successivi se una delle seguenti condizioni è vera:
      • Una regola con un'azione goto_next corrisponde al traffico.
      • Nessuna regola corrisponde al traffico. In questo caso, viene applicata una regola goto_next implicita.
  2. Se un criterio firewall gerarchico è associato al predecessore della cartella più distante (in alto) del progetto della VM, Google Cloud valuta tutte le regole applicabili nel criterio firewall gerarchico per quella cartella. Poiché le regole nei criteri firewall gerarchici devono essere univoche, la regola di priorità massima che corrisponde alla direzione del traffico e alle caratteristiche di livello 4 determina il modo in cui viene elaborato il traffico: allow, deny, apply_security_profile_group o goto_next, come descritto nel primo passaggio.
  3. Google Cloud ripete le azioni del passaggio precedente per un criterio firewall gerarchico associato alla cartella successiva più vicina al progetto della VM nella gerarchia delle risorse. Google Cloud prima valuta le regole nei criteri firewall gerarchici associati al predecessore della cartella più lontano (più vicino al nodo organizzazione), quindi valuta le regole nei criteri firewall gerarchici associati alla successiva cartella (figlio) più vicina al progetto della VM.

  4. Se esistono regole firewall VPC nella rete VPC utilizzata dal NIC della VM, Google Cloud valuta tutte le regole firewall VPC applicabili.

    A differenza delle regole nei criteri firewall:

    • Le regole firewall VPC non hanno azioni goto_next o apply_security_profile_group esplicite. Una regola firewall VPC può essere configurata solo per consentire o negare il traffico.

    • Due o più regole firewall VPC in una rete VPC possono condividere lo stesso numero di priorità. In questo caso, le regole di negazione hanno la precedenza su quelle di autorizzazione. Per ulteriori dettagli sulla priorità delle regole firewall VPC, consulta Priorità nella documentazione sulle regole firewall VPC.

    Se nessuna regola firewall VPC si applica al traffico, Google Cloud continua con il passaggio successivo, secondo quanto implicito goto_next.

  5. Se alla rete VPC del NIC della VM è associato un criterio firewall di rete globale, Google Cloud valuta tutte le regole applicabili nel criterio firewall. Poiché le regole nei criteri firewall devono essere univoche, la regola con priorità più elevata che corrisponde alla direzione del traffico e alle caratteristiche di livello 4 determina il modo in cui viene elaborato il traffico: allow, deny, apply_security_profile_group o goto_next, come descritto nel primo passaggio.

  6. Se un criterio firewall di rete a livello di regione è associato alla rete VPC del NIC della VM e alla regione della VM, Google Cloud valuta tutte le regole applicabili nel criterio firewall. Poiché le regole nei criteri firewall devono essere univoche, la regola con priorità più elevata che corrisponde alla direzione del traffico e alle caratteristiche di livello 4 determina la modalità di elaborazione del traffico (allow, deny o goto_next), come descritto nel primo passaggio.

  7. Come passaggio finale della valutazione, Google Cloud applica le regole firewall VPC di autorizzazione in uscita e di negazione implicita per il traffico in entrata.

Il seguente diagramma mostra il flusso di risoluzione per le regole firewall.

Flusso di risoluzione delle regole firewall.
Figura 1. Flusso di risoluzione delle regole firewall (fai clic per ingrandire).

Modifica l'ordine di valutazione dei criteri e delle regole

Google Cloud offre la possibilità di modificare il processo di valutazione delle regole predefinite invertendo l'ordine delle regole firewall VPC e dei criteri firewall di rete (sia globali che a livello di regione). Quando esegui questo scambio, il criterio firewall di rete globale (passaggio 5) e il criterio firewall di rete a livello di regione (passaggio 6) vengono valutati prima delle regole firewall VPC (passaggio 4) nell'ordine di valutazione delle regole.

Per modificare l'ordine di valutazione della regola, esegui questo comando per impostare l'attributo networkFirewallPolicyEnforcementOrder della rete VPC su BEFORE_CLASSIC_FIREWALL:

gcloud compute networks update VPC-NETWORK-NAME \
    --network-firewall-policy-enforcement-order BEFORE_CLASSIC_FIREWALL

Per saperne di più, consulta il metodo networks.patch.

Regole firewall efficaci

Le regole dei criteri firewall gerarchici, le regole firewall VPC e le regole di criteri firewall di rete globali e regionali controllano le connessioni. Potresti trovare utile visualizzare tutte le regole firewall che interessano una singola rete o interfaccia VM.

Regole firewall effettive di rete

Puoi visualizzare tutte le regole firewall applicate a una rete VPC. L'elenco include tutti i seguenti tipi di regole:

  • Regole ereditate dai criteri firewall gerarchici
  • Regole firewall VPC
  • Regole applicate dai criteri firewall di rete globali e a livello di regione

Regole firewall efficaci per l'istanza

Puoi visualizzare tutte le regole firewall applicate all'interfaccia di rete di una VM. L'elenco include tutti i seguenti tipi di regole:

  • Regole ereditate dai criteri firewall gerarchici
  • Regole applicate dal firewall VPC dell'interfaccia
  • Regole applicate dai criteri firewall di rete globali e a livello di regione

Le regole sono ordinate dal livello dell'organizzazione fino alla rete VPC. Sono visualizzate solo le regole che si applicano all'interfaccia della VM. Le regole in altri criteri non vengono visualizzate.

Per visualizzare le regole dei criteri firewall effettive all'interno di una regione, consulta Ottenere criteri firewall efficaci per una rete.

Regole predefinite

Quando crei un criterio firewall gerarchico, un criterio firewall di rete globale o un criterio firewall di rete a livello di regione, Cloud NGFW aggiunge regole predefinite al criterio. Le regole predefinite che Cloud NGFW aggiunge al criterio dipendono da come lo crei.

Se crei un criterio firewall utilizzando la console Google Cloud, Cloud NGFW aggiunge le seguenti regole al nuovo criterio:

  1. Regole successive per gli intervalli IPv4 privati
  2. Regole di negazione predefinite di Threat Intelligence
  3. Regole di negazione della geolocalizzazione predefinite
  4. Regole del passaggio successivo con priorità più bassa possibile

Se crei un criterio firewall utilizzando Google Cloud CLI o l'API, Cloud NGFW aggiunge al criterio solo le regole goto-next con priorità più bassa possibile.

Tutte le regole predefinite in un nuovo criterio firewall utilizzano intenzionalmente priorità basse (numeri con priorità elevata), in modo da poterle sostituire creando regole con priorità più elevate. Puoi anche personalizzare le regole predefinite, fatta eccezione per le regole con priorità più bassa possibile.

Regole successive per gli intervalli IPv4 privati

  • Una regola in uscita con intervalli IPv4 di destinazione 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, priorità 1000 e azione goto_next.

  • Una regola in entrata con intervalli IPv4 di origine 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, priorità 1001 e azione goto_next.

Regole di negazione predefinite di Threat Intelligence

  • Una regola in entrata con l'elenco di Threat Intelligence di origine iplist-tor-exit-nodes, la priorità 1002 e l'azione deny.

  • Una regola in entrata con l'elenco di Threat Intelligence di origine iplist-known-malicious-ips, la priorità 1003 e l'azione deny.

  • Una regola in uscita con l'elenco di informazioni sulle minacce di destinazione iplist-known-malicious-ips, priorità 1004 e azione deny.

Per saperne di più su Threat Intelligence, vedi Informazioni sulle minacce per le regole dei criteri firewall.

Regole di negazione della geolocalizzazione predefinite

  • Una regola in entrata con l'origine corrispondente alle geolocalizzazioni CU,IR, KP, SY, XC e XD, priorità 1005 e azione deny.

Per scoprire di più sulle geolocalizzazioni, consulta la sezione Oggetti di geolocalizzazione.

Regole di passaggio successivo con priorità più bassa possibile

Non è possibile modificare o eliminare le seguenti regole:

  • Una regola in uscita con intervallo IPv6 di destinazione ::/0, priorità 2147483644 e azione goto_next.

  • Una regola in entrata con intervallo IPv6 di origine ::/0, priorità 2147483645 e azione goto_next.

  • Una regola in uscita con intervallo IPv4 di destinazione 0.0.0.0/0, priorità 2147483646 e azione goto_next.

  • Una regola in entrata con intervallo IPv4 di origine 0.0.0.0/0, priorità 2147483647 e azione goto_next.

Passaggi successivi