Panoramica dei criteri firewall gerarchici

I criteri firewall gerarchici consentono di creare e applicare un criterio firewall standard all'interno dell'organizzazione. Puoi assegnare criteri firewall gerarchici all'organizzazione nel suo complesso o a singole cartelle. Questi criteri contengono regole che possono rifiutare o consentire esplicitamente le connessioni, così come le regole firewall per il Virtual Private Cloud (VPC). Inoltre, le regole dei criteri firewall gerarchici possono delegare la valutazione a criteri di livello inferiore o regole firewall di rete VPC con un'azione goto_next.

Le regole di livello inferiore non possono sostituire una regola da una posizione superiore nella gerarchia delle risorse. In questo modo gli amministratori a livello di organizzazione possono gestire le regole firewall critiche in un unico posto.

Specifiche

  • I criteri firewall gerarchici vengono creati nei nodi dell'organizzazione e delle cartelle. La creazione di un criterio non applica automaticamente le regole al nodo.
  • Una volta creati, i criteri possono essere applicati a (associati a) qualsiasi nodo nell'organizzazione.
  • I criteri firewall gerarchici sono container per le regole firewall. Quando associ un criterio all'organizzazione o a una cartella, tutte le regole vengono applicate immediatamente. Puoi scambiare i criteri per un nodo, che scambia anatomicamente tutte le regole firewall applicate alle istanze delle macchine virtuali (VM) sotto tale nodo.
  • La valutazione delle regole è gerarchica in base alla gerarchia delle risorse. Tutte le regole associate al nodo dell'organizzazione vengono valutate, seguite da quelle del primo livello delle cartelle e così via.
  • Le regole dei criteri firewall gerarchici prevedono una nuova azione goto_next che puoi utilizzare per delegare la valutazione delle connessioni a livelli gerarchici inferiori.
  • Le regole dei criteri firewall gerarchici possono essere indirizzate a reti e VM VPC specifiche utilizzando risorse di destinazione per le reti e account di servizio di destinazione per le VM. Questo ti consente di creare eccezioni per gruppi di VM. Le regole dei criteri firewall gerarchici non supportano il targeting per tag di istanza.
  • Ogni regola del criterio firewall gerarchico può includere intervalli IPv4 o IPv6, ma non entrambi.
  • Per semplificare la conformità e il debug, le regole firewall applicate a un'istanza VM possono essere controllate utilizzando la pagina dei dettagli della rete VPC e la pagina dei dettagli dell'interfaccia di rete dell'istanza VM.

Gerarchia delle risorse

I criteri firewall vengono creati e applicati come passaggi separati. Puoi creare e applicare criteri firewall nei nodi dell'organizzazione o delle cartelle della gerarchia delle risorse. Una regola del criterio firewall può bloccare le connessioni, autorizzarle o rimandare la valutazione delle regole del firewall alle cartelle di livello inferiore o alle regole del firewall VPC definite nelle reti VPC.

  • L'organizzazione è il nodo di primo livello nella gerarchia delle risorse di Google Cloud, dove puoi creare o associare criteri firewall gerarchici. Tutte le cartelle e le reti VPC dell'organizzazione ereditano questo criterio.

  • Le cartelle sono nodi di livello medio nella gerarchia delle risorse di Google Cloud, tra l'organizzazione e i progetti, in cui puoi creare o assegnare criteri gerarchici a firewall. Tutte le cartelle e le reti VPC in una cartella ereditano il criterio associato.

  • Un progetto si trova sotto una cartella o nell'organizzazione. Puoi spostare progetti tra i nodi di un'organizzazione. I progetti contengono reti VPC. I criteri firewall gerarchici non possono essere assegnati ai progetti, ma solo all'organizzazione o alle cartelle.

  • Una rete VPC è la partizione Google Cloud per la comunicazione con spazi IP interni isolati. Questo è il livello a cui vengono specificate e applicate le route e le regole firewall VPC tradizionali. Le regole dei criteri firewall gerarchici possono sostituire le regole del firewall di rete oppure possono delegare la valutazione della connessione.

Per impostazione predefinita, tutte le regole del criterio firewall gerarchico si applicano a tutte le VM in tutti i progetti dell'organizzazione o della cartella a cui è associato. Tuttavia, puoi limitare le VM che ricevono una determinata regola specificando reti di destinazione o account di servizio di destinazione.

I livelli della gerarchia a cui ora possono essere applicate le regole firewall sono rappresentati nel diagramma seguente. Le caselle gialle rappresentano criteri firewall gerarchici che contengono regole firewall, mentre le caselle bianche rappresentano le regole firewall VPC.

Criteri firewall gerarchici contenenti regole (caselle gialle) a livello di organizzazione e di cartella e regole firewall VPC a livello di rete VPC
I criteri firewall gerarchici contenenti regole (caselle gialle) vengono applicati a livello di organizzazione e di cartella. Le regole del firewall VPC vengono applicate a livello di rete VPC.

Valutazione regole

Le regole dei criteri firewall gerarchici vengono applicate a livello di VM, così come le regole firewall VPC. Vale a dire che non vengono applicati a livello di rete come sarebbero i firewall tradizionali.

Google Cloud valuta le regole dei criteri firewall gerarchici e le regole firewall VPC in questo ordine:

  1. Se un criterio firewall è associato a un'organizzazione, Google Cloud valuta le regole del criterio applicate alla VM. Ogni regola fa sì che le connessioni vengano autorizzate o rifiutate oppure la regola può indicare alla valutazione del firewall di passare al livello successivo della gerarchia, che può essere una cartella o una rete VPC.

  2. Google Cloud valuta le regole dei criteri associate a ogni cartella, a partire dalla cartella principale nell'organizzazione per arrivare alle cartelle secondarie se presenti.

    La valutazione di ogni regola comporta il blocco o il rifiuto delle connessioni oppure la regola può indicare alla valutazione del firewall di andare al livello successivo della gerarchia, che può essere un'altra cartella o una rete VPC.

  3. Infine, vengono valutate le regole firewall VPC. Le regole del firewall VPC consentono o negano le connessioni.

Flusso di risoluzione della regola firewall
Flusso di risoluzione della regola firewall

Dettagli del criterio firewall gerarchico

Le regole di criterio firewall gerarchico sono definite in una risorsa di criteri firewall che funge da container per le regole firewall. Le regole definite in un criterio firewall vengono applicate solo quando il criterio viene associato a un nodo (un'organizzazione o una cartella).

Un singolo criterio può essere associato a più nodi. Se modifichi una regola in un criterio, tale modifica verrà applicata a tutti i nodi attualmente associati.

È possibile associare un solo criterio firewall a un nodo. Le regole dei criteri firewall gerarchici e le regole firewall VPC vengono valutate in un ordine ben definito.

Un criterio firewall non associato ad alcun nodo è un criterio firewall gerarchico non associato.

Nomi dei criteri

Quando crei un nuovo criterio, Google Cloud genera automaticamente un ID per il criterio. Inoltre, devi specificare anche un nome breve per la norma. Se utilizzi l'interfaccia gcloud per aggiornare un criterio esistente, puoi fare riferimento all'ID generato dal sistema o a una combinazione di nome breve e ID organizzazione. Quando utilizzi l'API per aggiornare il criterio, devi fornire l'ID generato dal sistema.

Dettagli delle regole dei criteri firewall gerarchici

I criteri firewall gerarchici contengono regole che in genere funzionano come le regole firewall VPC, ma esistono alcune differenze.

Regola in entrata (in entrata)
Priorità Azione Applicazione Destinazione (definisce la destinazione) Filtro di origine Protocolli e porte
Numero intero da 0 a 65535 inclusi allow, deny o goto_next enabled (valore predefinito) o disabled Il parametro target specifica la destinazione; può essere uno dei seguenti:
  • Tutte le istanze in tutte le reti VPC in tutti i progetti nei nodi pertinenti
  • Istanze per account di servizio
  • Istanze in base all'elenco specificato di reti
 Uno dei seguenti valori:
  • Intervallo di indirizzi IPv4
  • Intervallo di indirizzi IPv6
Se non viene specificata alcuna origine, viene utilizzato un intervallo IPv4 di 0.0.0.0/0.

Specifica un protocollo o un protocollo e una porta di destinazione.

Se non viene impostata, la regola si applica a tutti i protocolli e alle porte di destinazione.
Regola in uscita (in uscita)
Priorità Azione Applicazione Destinazione (definisce l'origine) Filtro di destinazione Protocolli e porte
Numero intero da 0 a 65535 inclusi allow, deny o goto_next enabled (valore predefinito) o disabled Il parametro target specifica l'origine; può essere uno dei seguenti:
  • Tutte le istanze nella rete VPC
  • Istanze per account di servizio
  • Istanze in base all'elenco specificato di reti
 Il valore sarà uno dei seguenti:
  • Intervallo di indirizzi IPv4
  • Intervallo di indirizzi IPv6
Se non viene specificata alcuna destinazione, viene utilizzato un intervallo IPv4 di 0.0.0.0/0.		 Specifica un protocollo o un protocollo e una porta di destinazione.

Se non è impostata, la regola si applica a tutti i protocolli e le porte di destinazione.

Priorità

  • A differenza delle regole firewall VPC, in cui più regole possono avere la stessa priorità, le regole dei criteri firewall gerarchici devono avere una priorità specificata e ogni priorità deve essere univoca all'interno di un criterio firewall.

  • Le regole di criterio firewall gerarchico non hanno nomi. Al contrario, il criterio firewall ha un ID e un nome, e ogni regola al suo interno ha un numero di priorità univoco.

  • All'interno di un criterio firewall gerarchico, le regole firewall vengono valutate in ordine di priorità, a partire dalla regola con priorità più alta (numero più basso). Pertanto, una regola con priorità 0 in un criterio assegnato al nodo dell'organizzazione sostituisce qualsiasi altra regola dell'organizzazione. È buona norma assegnare numeri alle priorità delle regole che consentano l'inserimento in un secondo momento (ad esempio 100, 200, 300).

Azione in caso di corrispondenza

  • allow
    Una regola del criterio firewall gerarchico allow sostituisce qualsiasi regola deny con una priorità più bassa o a un livello inferiore nella gerarchia. Utilizza le regole allow in un criterio dell'organizzazione o della cartella per consentire incondizionatamente alcuni tipi di connessioni a tutte le VM sotto quel nodo nella gerarchia.

    Ad esempio, se utilizzi probe gestiti a livello centrale che monitorano tutte le VM nella tua organizzazione, puoi creare una regola allow a livello di organizzazione per garantire che le richieste provenienti dalle probes non siano bloccate da nessuna rete in nessun progetto.

  • deny
    Una regola del criterio firewall gerarchico deny sostituisce qualsiasi regola allow con una priorità più bassa o a un livello inferiore nella gerarchia.

    Ad esempio, per assicurarti che nessuna delle VM nella tua organizzazione sia accessibile da un intervallo IP specifico, puoi creare una regola deny per quell'intervallo.

  • goto_next
    Indica al firewall di spostare la valutazione del firewall al livello successivo della gerarchia. Puoi utilizzarla per delegare tipi specifici di connessioni per la gestione di livelli inferiori.

Destinazioni

Puoi specificare le reti di destinazione e gli account di servizio di destinazione a cui si applica una regola gerarchica di criteri relativi ai firewall.

Reti di destinazione (risorse di destinazione)

Puoi specificare le reti di destinazione per limitare una regola del criterio firewall gerarchico alle VM nelle reti specificate. Puoi specificare le reti VPC nella regola per stabilire quali reti sono configurate con tale regola.

In combinazione con goto_next o allow, specificare le reti di destinazione consente di creare eccezioni per reti specifiche quando vuoi definire un criterio altro restrittivo.

Account di servizio di destinazione

Puoi specificare account di servizio di destinazione per limitare una regola del criterio firewall gerarchico alle VM in esecuzione con accesso agli account di servizio specificati.

La direzione della regola determina se i target della regola siano istanze di origine o di destinazione. Le istanze includono istanze VM, cluster GKE e istanze dell'ambiente flessibile di App Engine.

  • Se la direzione della regola è in entrata, la destinazione definisce le istanze di destinazione.

  • Se la direzione della regola è in uscita, il target definisce le istanze di origine.

La specifica delle reti di destinazione e degli account di servizio di destinazione è facoltativa:

  • Se non vengono specificate reti di destinazione, la regola viene applicata a tutte le reti VPC sotto il nodo a cui è associato il criterio.

  • Se non vengono specificati account di servizio di destinazione, la regola si applica a tutte le istanze VM sotto il nodo a cui è associato il criterio.

  • Se vengono specificate sia le reti di destinazione sia gli account di servizio di destinazione, la regola si applica solo alle istanze di VM che soddisfano entrambi i criteri di destinazione.

Protocolli e porte

Analogamente alle regole del firewall VPC, devi specificare uno o più limiti di porta e protocollo quando crei una regola. Quando specifichi TCP o UDP in una regola, puoi specificare il protocollo, il protocollo e una porta di destinazione oppure il protocollo e un intervallo di porte di destinazione, non puoi specificare solo una porta o un intervallo di porte. Inoltre, puoi specificare solo le porte di destinazione. Le regole basate sulle porte di origine non sono supportate.

Nelle regole firewall puoi utilizzare i seguenti nomi di protocollo: tcp, udp, icmp (per ICMP IPv4), esp, ah, sctp e ipip. Per tutti gli altri protocolli, utilizza i numeri di protocollo IANA.

Molti protocolli utilizzano lo stesso nome e lo stesso numero sia in IPv4 sia in IPv6, ma alcuni protocolli non lo fanno, come ICMP. Per specificare l'ICMP IPv4, utilizza icmp o il numero di protocollo 1. Per ICMP IPv6, utilizza il numero di protocollo 58.

Le regole firewall non supportano la specifica di tipi e codici ICMP, ma solo del protocollo.

Il protocollo Hop-by-Hop IPv6 non è supportato nelle regole firewall.

Logging

Il logging per le regole del criterio firewall gerarchico funziona come per il log delle regole firewall VPC, ad eccezione di quanto segue:

  • Il campo di riferimento include l'ID del criterio firewall e un numero che indica il livello gerarchico del nodo a cui è associato il criterio. Ad esempio, 0 significa che il criterio è applicato a un'organizzazione e 1 significa che il criterio è applicato a una cartella di primo livello dell'organizzazione.

  • I log per le regole dei criteri firewall gerarchici includono un campo target_resource che identifica le reti VPC a cui si applica la regola.

Il logging può essere abilitato solo per allow e deny; non può essere abilitato per le regole goto_next.

Regole predefinite

Tutti i criteri firewall gerarchici hanno quattro regole goto_next predefinite con priorità minima. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola definita esplicitamente nel criterio, che vengono quindi trasferite ai criteri di livello inferiore o alle regole di rete.

Regole IPv4:

  • Una regola in uscita la cui destinazione è 0.0.0.0/0, con una priorità molto bassa (2147483646), che invia l'elaborazione della connessione al livello di valutazione successivo (goto_next).

  • Una regola in entrata la cui origine è 0.0.0.0/0, con una priorità molto bassa (2147483647), che invia l'elaborazione della connessione al livello di valutazione successivo (goto_next).

Regole IPv6:

  • Una regola in uscita la cui destinazione è ::/0, con una priorità molto bassa (2147483644), che invia l'elaborazione della connessione al livello di valutazione successivo (goto_next).

  • Una regola in entrata la cui origine è ::/0, con una priorità molto bassa (2147483645), che invia l'elaborazione della connessione al livello di valutazione successivo (goto_next).

Queste regole predefinite sono visibili ma non possono essere modificate o eliminate. Queste regole sono diverse dalle regole implicite e precompilate di una rete VPC.

Ruoli IAM (Identity and Access Management)

Per i criteri gerarchici, i ruoli IAM regolano le seguenti azioni:

  • Creazione di un criterio che risiede in un determinato nodo
  • Associare un criterio a un determinato nodo
  • Modifica di un criterio esistente
  • Visualizzazione delle regole firewall efficaci per una determinata rete o VM

La tabella seguente descrive i ruoli necessari per ogni passaggio:

Funzionalità Ruolo necessario
Crea un nuovo criterio firewall gerarchico compute.orgFirewallPolicyAdmin sul nodo in cui verrà pubblicato il criterio
Associa un criterio a un nodo compute.orgSecurityResourceAdmin nel nodo di destinazione _and_ compute.orgFirewallPolicyAdmin _or_ compute.orgFirewallPolicyUser sul criterio stesso
Modifica il criterio aggiungendo, aggiornando o eliminando regole firewall di criteri compute.orgFirewallPolicyAdmin sul nodo in cui si trova il criterio o sul criterio stesso
Elimina il criterio compute.orgFirewallPolicyAdmin sul nodo in cui si trova il criterio o sul criterio stesso
Visualizzare le regole firewall efficaci per una rete VPC Uno qualsiasi dei seguenti ruoli per la rete:
compute.networkAdmin
compute.networkViewer
compute.securityAdmin
compute.securityReadOnly
compute.viewer
Visualizza le regole firewall efficaci per una VM in una rete Uno qualsiasi dei seguenti ruoli per la VM:
compute.instanceAdmin
compute.securityAdmin
compute.securityReadOnly
compute.viewer

I ruoli seguenti sono pertinenti ai criteri firewall gerarchici.

Nome ruolo Descrizione
compute.orgFirewallPolicyAdmin Può essere concesso su un nodo o su un singolo criterio. Se concesso in corrispondenza di un nodo, consente agli utenti di creare, aggiornare ed eliminare i criteri firewall gerarchici e le relative regole. Se concesso su un singolo criterio, consente all'utente di aggiornare le regole del criterio, ma non di crearlo o eliminarlo. Questo ruolo consente inoltre all'utente di associare un criterio a un nodo se ha anche il ruolo compute.orgSecurityResourceAdmin su quel nodo.
compute.orgSecurityResourceAdmin La concessione a livello di organizzazione o di una cartella consente agli amministratori a livello di cartella di associare un criterio a tale nodo. Gli amministratori devono anche avere il ruolo compute.orgFirewallPolicyUser o compute.orgFirewallPolicyAdmim sul nodo che possiede il criterio o sul criterio stesso per poterlo utilizzare.
compute.orgFirewallPolicyUser La concessione a un nodo o a un singolo criterio consente agli amministratori di utilizzare il singolo criterio o i criteri associati al nodo. Gli utenti devono anche avere il ruolo compute.orgSecurityResourceAdmin sul nodo di destinazione per associare un criterio a tale nodo.
compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer
 Consente agli utenti di visualizzare le regole firewall applicate alla rete o all'istanza.
Include l'autorizzazione compute.networks.getEffectiveFirewalls per le reti e compute.instances.getEffectiveFirewalls per le istanze.

Nell'esempio seguente, Joe può creare, modificare ed eliminare qualsiasi criterio firewall gerarchico nella cartella policies, ma non può allegare il criterio gerarchico a una cartella perché non ha il ruolo orgSecurityResourceAdmin in nessuna cartella.

Tuttavia, poiché Joe ha concesso a Mary le autorizzazioni per utilizzare policy-1, può elencare e associare il criterio firewall gerarchico alla cartella dev-projects o a uno qualsiasi dei suoi discendenti. Il ruolo orgFirewallPolicyUser non concede l'autorizzazione per associare i criteri a nessuna cartella; l'utente deve anche avere il ruolo orgSecurityResourceAdmin nella cartella di destinazione.

esempio di policy-1
esempio di policy-1

Gestione delle risorse dei criteri firewall gerarchici

Dato che un criterio firewall gerarchico definisce solo un insieme di regole firewall e non dove vengono applicate, puoi creare queste risorse in una parte diversa della gerarchia rispetto ai nodi a cui sono applicate. Questo ti consente di associare una singola risorsa del criterio firewall gerarchico a più cartelle nell'organizzazione.

Nel seguente esempio, policy-1 viene applicato alle cartelle dev-projects e corp-projects, quindi viene applicato a tutti i progetti presenti in tali cartelle.

Località e associazione del criterio
Località e associazione del criterio

Modifica delle regole di un criterio

Puoi aggiungere, rimuovere e modificare le regole in un criterio. Ogni modifica viene eseguita singolarmente; non esiste un meccanismo per l'aggiornamento collettivo delle regole in un criterio. Le modifiche vengono applicate all'incirca all'ordine in cui vengono eseguiti i comandi, anche se non è garantito.

Se stai apportando modifiche estese a un criterio firewall gerarchico e devi assicurarti che vengano applicate contemporaneamente, puoi clonare il criterio a un criterio temporaneo e assegnare il criterio temporaneo agli stessi nodi. Puoi quindi apportare le modifiche all'originale e successivamente riassegnare l'originale ai nodi. Per la procedura da seguire, consulta l'articolo relativo alla clonazione delle regole da un criterio all'altro.

Nel seguente esempio, policy-1 è allegato alla cartella dev-projects e vuoi apportare diverse modifiche applicabili in modo atomico. Crea un nuovo criterio denominato scratch-policy e poi copia tutte le regole esistenti da policy-1 a scratch-policy per apportare modifiche. Al termine della modifica, copia tutte le regole da scratch-policy a policy-1.

Modifica un criterio
Modifica un criterio

Spostare un criterio

I criteri firewall gerarchici, come i progetti, sono padre di una cartella dell'organizzazione o di una cartella. Man mano che lo schema della cartella si evolve, potrebbe essere necessario spostare un criterio firewall gerarchico in una nuova cartella, magari prima di un'eliminazione della cartella. Se la cartella viene eliminata, i criteri di proprietà di una cartella vengono eliminati.

Il seguente diagramma illustra lo spostamento di un criterio tra nodi e la valutazione delle regole nel criterio.

Spostare un criterio
Sposta un criterio

Associare un criterio firewall gerarchico a una cartella

Un criterio firewall gerarchico non viene applicato a meno che non sia associato a un nodo organizzazione o a una cartella. Una volta associato, viene applicato a tutte le VM in tutte le reti nell'organizzazione o nella cartella.

Associa una norma
Associa un criterio

Modifiche alla gerarchia delle risorse

La propagazione delle modifiche alla gerarchia delle risorse nel sistema. Ti consigliamo di evitare aggiornamenti simultanei agli allegati dei criteri firewall gerarchici e alla gerarchia delle risorse, poiché le reti potrebbero non ereditare immediatamente il criterio firewall gerarchico definito nella nuova posizione nella gerarchia.

Spostare un criterio
Spostamento di un criterio

Ad esempio, se sposti la cartella dept-A dalla cartella dev-projects alla cartella eng-projects e cambi l'associazione di policy-1 con eng-projects anziché dev-projects, assicurati di non annullare l'associazione di policy-1 da dev-projects contemporaneamente. Se la cartella dev-projects perde la relativa associazione gerarchica dei criteri prima che per tutte le reti VPC sottostanti sia stata aggiornata la propria origine, per un breve periodo di tempo queste reti VPC non sono protette da policy-1.

Utilizzo di criteri firewall gerarchici con VPC condiviso

Negli scenari di VPC condiviso, un'interfaccia VM connessa a una rete di progetto host è regolata dalle regole dei criteri firewall gerarchici del progetto host, non del progetto di servizio.

VM in VPC condiviso
VM nel VPC condiviso

Anche se i progetti di servizio si trovano in una cartella diversa da quella del progetto host, le interfacce VM della rete condivisa continuano a ereditare le regole per le cartelle del progetto host.

Le VM del progetto di servizio ereditano le regole dal progetto host
Le VM del progetto di servizio ereditano le regole dal progetto host

Utilizzo dei criteri firewall gerarchici con peering di rete VPC

In scenari di peering di rete VPC, l'interfaccia della VM associata a ciascuna delle reti VPC eredita i criteri della gerarchia nelle rispettive reti VPC. Di seguito è riportato un esempio di peering di rete VPC in cui le reti in peering VPC appartengono a organizzazioni diverse.

Le VM ereditano dalle reti corrispondenti
Le VM ereditano dalle rispettive reti

Regole firewall effettive

Poiché le connessioni sono regolate sia dalle regole dei criteri firewall gerarchici sia dalle regole del firewall VPC, è utile visualizzare tutte le regole firewall che interessano una singola interfaccia di rete o una singola interfaccia VM.

Gli amministratori a livello di progetto potrebbero non avere l'autorizzazione per visualizzare le regole nei criteri firewall gerarchici che interessano le loro VM. Tuttavia, se un utente ha le autorizzazioni per visualizzare le regole firewall per una rete, può visualizzare tutte le regole che si applicano alla rete, anche se sono ereditate da una cartella o dall'organizzazione.

Criterio firewall efficace sulla rete

Puoi visualizzare tutte le regole firewall applicate a una rete VPC. L'elenco include tutte le regole ereditate dai criteri firewall gerarchici e tutte le regole applicate dalla rete VPC.

Regole firewall effettive dell'istanza

Puoi visualizzare tutte le regole firewall applicate a un'interfaccia di rete della VM. L'elenco include tutte le regole ereditate dai criteri firewall gerarchici e tutte le regole applicate dalla rete VPC dell'interfaccia.

Le regole vengono ordinate a partire dal livello dell'organizzazione fino alle regole del VPC. Vengono mostrate solo le regole che si applicano all'interfaccia della VM. Le regole in altri criteri non vengono mostrate, quindi un utente non può visualizzare il criterio firewall complessivo dell'organizzazione.

Passaggi successivi