Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Políticas de firewall

As políticas de firewall permitem agrupar várias regras de firewall para que você possa atualizá-las de uma só vez, efetivamente controladas pelos papéis do Identity and Access Management (IAM). Essas políticas contêm regras que podem negar ou permitir conexões explicitamente, assim como as regras de firewall da nuvem privada virtual (VPC).

Políticas de firewall hierárquicas

As políticas hierárquicas de firewall permitem agrupar regras em um objeto de política que pode ser aplicado a muitas redes VPC em um ou mais projetos. É possível associar políticas de firewall hierárquicas a uma organização inteira ou pastas individuais.

Veja detalhes e especificações da política de firewall hierárquica em Políticas de firewall hierárquicas.

Políticas globais de firewall de rede

As políticas globais de firewall de rede permitem agrupar regras em um objeto de política aplicável a todas as regiões (global). Depois de associar uma política de firewall de rede global a uma rede VPC, as regras na política podem ser aplicadas a recursos na rede VPC.

Veja detalhes e especificações da política de firewall de rede global em Políticas de firewall de rede global.

Políticas de firewall da rede regional

As políticas de firewall da rede regional permitem agrupar regras em um objeto de política aplicável a uma região específica. Depois de associar uma política de firewall da rede regional a uma rede VPC, as regras na política podem ser aplicadas aos recursos nessa região da rede VPC.

Veja detalhes e especificações da política de firewall regional em Políticas de firewall de rede regionais.

Ordem da política e da avaliação de regras

Regras em políticas hierárquicas de firewall, políticas de firewall de rede global, políticas de firewall de rede regional e regras de firewall VPC são implementadas como parte do processamento de pacotes de VM da pilha de virtualização de rede Andromeda. As regras são avaliadas para cada interface de rede (NIC, na sigla em inglês) da VM.

A aplicabilidade de uma regra não depende da especificidade da configuração de portas e protocolos. Por exemplo, uma regra de permissão de prioridade mais alta para todos os protocolos tem precedência sobre uma regra de negação de prioridade inferior específica para a porta 22 TCP.

Além disso, a aplicabilidade de uma regra não depende da especificidade do parâmetro de destino. Por exemplo, uma regra de permissão de prioridade mais alta para todas as VMs (todos os destinos) tem precedência, mesmo que exista uma regra de negação de prioridade mais baixa com um parâmetro de destino mais específico. Por exemplo: uma conta de serviço ou uma tag de serviço específica.

Por padrão, e quando o networkFirewallPolicyEnforcementOrder da rede VPC usada pela NIC da VM for AFTER_CLASSIC_FIREWALL, o Google Cloud avaliará as regras aplicáveis ao NIC da VM na seguinte ordem:

  1. Se uma política hierárquica de firewall estiver associada à organização que contém o projeto da VM, o Google Cloud avaliará todas as regras aplicáveis na política de firewall hierárquica. Como as regras nas políticas hierárquicas de firewall precisam ser exclusivas, a regra de prioridade mais alta que corresponde à direção do tráfego e às características da camada 4 determina como o tráfego é processado:
    • A regra pode permitir o tráfego. O processo de avaliação é interrompido.
    • A regra pode negar o tráfego. O processo de avaliação é interrompido.
    • Se as opções a seguir forem verdadeiras, a regra poderá permitir o processamento de regras definidas conforme descrito nas próximas etapas:
      • Uma regra com uma ação goto_next corresponde ao tráfego.
      • Nenhuma regra corresponde ao tráfego. Nesse caso, uma regra goto_next implícita se aplica.
  2. Se uma política de firewall hierárquica estiver associada ao ancestral de pasta mais distante (principal) do projeto da VM, o Google Cloud avaliará todas as regras aplicáveis na política de firewall hierárquica dessa pasta. Como as regras em políticas hierárquicas de firewall precisam ser exclusivas, a regra de prioridade mais alta que corresponde à direção do tráfego e as características da camada 4 determina como o tráfego é processado: allow, deny, ou goto_next, conforme descrito na primeira etapa.
  3. O Google Cloud repete as ações da etapa anterior para uma política de firewall hierárquica associada à próxima pasta que está mais próxima do projeto da VM na hierarquia de recursos. Primeiro, o Google Cloud avalia as regras das políticas hierárquicas de firewall associadas ao ancestral de pasta mais distante (mais próximo do nó da organização) e, em seguida, avalia as regras de políticas de firewall hierárquicas associadas à próxima pasta (filha) ao projeto da VM.

  4. Se houver regras de firewall da VPC na rede VPC usada pelo NIC da VM, o Google Cloud avalia todas as regras de firewall da VPC aplicáveis.

    Ao contrário das regras nas políticas de firewall:

    • As regras de firewall da VPC não têm ação explícita do goto_next. Uma regra de firewall da VPC só pode ser configurada para permitir ou negar tráfego.

    • Duas ou mais regras de firewall da VPC em uma rede VPC podem compartilhar o mesmo número de prioridade. Nessa situação, as regras de negação têm precedência sobre as regras de permissão. Para mais detalhes sobre a prioridade das regras de firewall da VPC, consulte Prioridade na documentação de regras de firewall da VPC.

    Se nenhuma regra de firewall da VPC se aplicar ao tráfego, o Google Cloud vai para a próxima etapa: goto_next implícita.

  5. Se uma política de firewall de rede global estiver associada à rede VPC do NIC da VM, o Google Cloud avaliará todas as regras aplicáveis na política de firewall. Como as regras nas políticas de firewall precisam ser únicas, a regra de maior prioridade que corresponde à direção do tráfego e as características da camada 4 determina como o tráfego é processado: allow, deny ou goto_next, conforme descrito na primeira etapa.

  6. Se uma política de firewall de rede regional estiver associada à rede VPC da NIC da VM e da região da VM, o Google Cloud avaliará todas as regras aplicáveis na política de firewall. Como as regras nas políticas de firewall precisam ser únicas, a regra de prioridade mais alta que corresponde à direção do tráfego e as características da camada 4 determinam como o tráfego é processado:allow ,deny ougoto_next conforme descrito na primeira etapa.

  7. Como etapa final da avaliação, o Google Cloud aplica as regras implícitas de firewall de saída de permissão e de negação de entrada de VPC implícita.

Para trocar as etapas 4 e 5 no processo de avaliação, defina a networkFirewallPolicyEnforcementOrder da rede VPC como BEFORE_CLASSIC_FIREWALL. Para mais detalhes, consulte Networks.patch.

O diagrama a seguir mostra o fluxo de resolução para regras de firewall.

Fluxo de resolução de regras de firewall
Fluxo de resolução de regras de firewall

Regras de firewall eficazes

As regras da política hierárquica de firewall, as regras de firewall da VPC e as regras de política de firewall de rede global e regional controlam as conexões. Pode ser útil ver todas as regras de firewall que afetam uma rede ou interface de VM individual.

Regras de firewall efetivas da rede

É possível visualizar todas as regras de firewall aplicadas a uma rede VPC. A lista inclui todos os tipos de regra a seguir:

  • Regras herdadas de políticas hierárquicas de firewall
  • Regras de firewall da VPC
  • Regras aplicadas pelas políticas de firewall da rede global e regional

Regras de firewall efetivas da instância

É possível ver todas as regras de firewall aplicadas à interface de rede de uma VM. A lista inclui todos os tipos de regra a seguir:

  • Regras herdadas de políticas hierárquicas de firewall
  • Regras aplicadas pelo firewall da VPC da interface
  • Regras aplicadas pelas políticas de firewall da rede global e regional

As regras são ordenadas do nível da organização até as regras da VPC. Somente as regras que se aplicam à interface da VM são mostradas. As regras de outras políticas não são exibidas.

Para ver as regras de política de firewall vigentes em uma região, consulte Receber políticas eficazes de firewall regional para uma rede.

A seguir