I criteri firewall gerarchici consentono di creare e applicare
il criterio firewall in tutta l'organizzazione. Puoi assegnare un firewall gerarchico
all'intera organizzazione o a singole cartelle. Queste norme
contengono regole che possono consentire o negare esplicitamente le connessioni, così come
Regole firewall Virtual Private Cloud (VPC).
Inoltre, le regole gerarchiche dei criteri firewall possono delegare la valutazione
criteri di livello inferiore o regole firewall di rete VPC con
Azione goto_next.
Le regole di livello inferiore non possono sostituire una regola di un livello superiore nella gerarchia delle risorse. In questo modo, gli amministratori a livello di organizzazione regole firewall critiche in un unico posto.
Specifiche
- I criteri firewall gerarchici vengono creati a livello di organizzazione a livello di cartella. La creazione di un criterio non applica automaticamente le regole a l'organizzazione o cartella.
- Una volta creati, i criteri possono essere applicati (associati) a qualsiasi risorsa dell'organizzazione.
- I criteri firewall gerarchici sono container per le regole firewall. Quando Associare un criterio all'organizzazione o a una cartella, tutte le regole vengono applicati immediatamente. Puoi scambiare i criteri per una risorsa, in modo da scambiare in modo atomico tutte le regole firewall applicate alle istanze di macchine virtuali (VM) all'interno di quella risorsa.
- La valutazione delle regole è gerarchica in base alla gerarchia delle risorse. Tutti vengono valutate regole associate all'organizzazione, seguite da quelle del primo livello delle cartelle e così via.
- Le regole del criterio firewall gerarchico dispongono di una nuova azione
goto_nextche puoi utilizzare per delegare la valutazione delle connessioni ai livelli inferiori della gerarchia.
Le regole dei criteri firewall gerarchici possono essere utilizzate per configurare l'ispezione del livello 7 del traffico corrispondente, ad esempio il servizio di prevenzione delle intrusioni.
Per creare una regola del criterio del firewall, utilizza l'
apply_security_profile_groupazione e il nome del gruppo di profili di sicurezza. Il traffico corrispondente alla regola del criterio firewall viene intercettato e inoltrato in modo trasparente all'endpoint firewall per l'ispezione di livello 7 e viceversa. Per apprendere come creare una regola di criterio firewall consulta Creare regole firewall.
- Le regole dei criteri firewall gerarchici possono essere scelte come target per reti e VM VPC specifiche utilizzando le risorse target per le reti e gli account di servizio target per le VM. In questo modo puoi creare eccezioni per gruppi di VM. Le regole del criterio firewall gerarchico non supportano il targeting per tag istanza.
- Ogni regola del criterio firewall gerarchico può includere intervalli IPv4 o IPv6, ma non entrambi.
- Per facilitare la conformità e il debug, le regole firewall applicate a una VM per controllare l'istanza utilizzando i dettagli della rete VPC e quella dei dettagli dell'interfaccia di rete dell'istanza VM.
Gerarchia delle risorse
Puoi creare e applicare i criteri firewall come passaggi separati. Puoi creare e applicare criteri firewall a livello di organizzazione o cartella della gerarchia delle risorse. Una regola del criterio firewall può bloccare le connessioni, consentirle o rimandare la valutazione delle regole firewall a cartelle di livello inferiore o a regole firewall VPC definite nelle reti VPC.
Organizzazione è la risorsa di primo livello nella gerarchia delle risorse di Google Cloud in cui puoi creare o associare criteri firewall gerarchici. Tutte le cartelle e le reti VPC dell'organizzazione ereditano questo criterio.
Le cartelle sono risorse di livello intermedio nella gerarchia delle risorse di Google Cloud, tra l'organizzazione e i progetti, in cui puoi creare o assegnare criteri di firewall gerarchici. Tutte le cartelle e le reti VPC erediterà il criterio associato.
Un progetto si trova in una cartella o nell'organizzazione. Puoi spostare i progetti tra le risorse di un'organizzazione. I progetti contengono reti VPC. I criteri firewall gerarchici non possono essere assegnati ai progetti, ma solo all'organizzazione o alle cartelle.
Una rete VPC è la partizione di Google Cloud per comunicazione nello spazio IP interno. Questo è il livello a cui vengono specificati e applicati route, criteri firewall di rete e regole firewall VPC tradizionali. Le regole dei criteri firewall gerarchici possono delega la valutazione della connessione a criteri e regole firewall di rete globali.
Per impostazione predefinita, tutte le regole del criterio firewall gerarchico si applicano a tutte le VM di tutti i progetti nell'organizzazione o nella cartella in cui è associato il criterio. Tuttavia, puoi limitare le VM che ricevono una determinata regola che specifica le reti o gli account di servizio di destinazione.
I livelli della gerarchia a cui ora è possibile applicare le regole firewall sono rappresentati nel seguente diagramma. Le caselle gialle rappresentano la gerarchia criteri firewall che contengono regole firewall, mentre le caselle bianche rappresentano le regole firewall VPC.
Dettagli dei criteri firewall gerarchici
Le regole dei criteri firewall gerarchici sono definite in una risorsa del criterio firewall che funge da contenitore per le regole firewall. Le regole definite in un criterio firewall non vengono applicate finché il criterio non viene associato a una risorsa (un'organizzazione o una cartella).
Un singolo criterio può essere associato a più risorse. Se modifichi una regola in un criterio, la modifica della regola si applica a tutte le risorse associate.
A una risorsa può essere associato un solo criterio firewall. Le regole dei criteri firewall gerarchici e le regole firewall VPC vengono valutate in un ordine ben definito.
Un criterio firewall non associato ad alcuna risorsa è non associato il criterio firewall gerarchico.
Nomi dei criteri
Quando crei un nuovo criterio, Google Cloud genera automaticamente un ID per il criterio. Inoltre, devi specificare anche un nome breve per il criterio.
Quando utilizzi l'interfaccia gcloud per aggiornare un criterio esistente, puoi fare riferimento
l'ID generato dal sistema o una combinazione di nome breve e
Organization ID (ID organizzazione). Quando utilizzi l'API per aggiornare il criterio, devi fornire l'ID generato dal sistema.
Dettagli della regola del criterio firewall gerarchico
Le regole dei criteri firewall gerarchici funzionano come le regole dei criteri firewall e le regole firewall VPC, ma esistono alcune differenze:
I criteri firewall gerarchici supportano le reti di destinazione, mentre i criteri firewall di rete globale no. Puoi specificare le reti di destinazione per limitare una regola del criterio firewall alle VM nelle reti specificate. Specificare Le reti VPC nella regola ti consentono di controllare quali le reti siano configurate con quella regola.
Se combinato con
goto_nextoallow, la specifica delle reti di destinazione consente di creare eccezioni per reti specifiche quando vuoi definire un criterio altrimenti restrittivo.I criteri firewall gerarchici non hanno un'integrazione sicura di tag.
I criteri firewall gerarchici sono risorse a livello di organizzazione, i criteri firewall di rete globali sono risorse a livello di progetto.
Regole predefinite
Quando crei un criterio firewall gerarchico, Cloud Next Generation Firewall aggiunge al criterio le regole predefinite con la priorità più bassa. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola esplicitamente definita nel criterio. la trasmissione di queste connessioni a criteri di livello inferiore o regole di rete.
Per saperne di più sui vari tipi di regole e relative caratteristiche, consulta l'articolo Regole predefinite.
i ruoli IAM (Identity and Access Management)
I ruoli IAM regolano le seguenti azioni relative ai criteri del firewall gerarchico:
- Creazione di un criterio che risiede in una determinata risorsa
- Associazione di un criterio a una particolare risorsa
- Modifica di un criterio esistente
- Visualizzazione delle regole firewall effettive per una determinata rete o VM
La tabella seguente descrive i ruoli necessari per ogni passaggio:
| Abilità | Ruolo necessario |
|---|---|
| Crea un nuovo criterio firewall gerarchico | Il ruolo compute.orgFirewallPolicyAdmin nella risorsa in cui verrà applicato il criterio |
| Associare un criterio a una risorsa | Il ruolo compute.orgSecurityResourceAdmin sulla risorsa di destinazione e il ruolo compute.orgFirewallPolicyAdmin o compute.orgFirewallPolicyUser sulla risorsa in cui si trova il criterio o sul criterio stesso |
| Modifica il criterio aggiungendo, aggiornando o eliminando le regole del criterio firewall | compute.orgFirewallPolicyAdmin sulla risorsa in cui si trova il criterio o sul criterio stesso |
| Elimina il criterio | compute.orgFirewallPolicyAdmin sulla risorsa in cui si trova il criterio o sul criterio stesso |
| Visualizzare le regole firewall effettive per una rete VPC | Uno dei seguenti ruoli per la rete: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Visualizzare le regole firewall effettive per una VM in una rete | Uno qualsiasi dei seguenti ruoli per la VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
I seguenti ruoli sono pertinenti ai criteri firewall gerarchici.
| Nome ruolo | Descrizione |
|---|---|
| compute.orgFirewallPolicyAdmin | Può essere concessa a una risorsa o a un singolo criterio. Se concesso a una risorsa, consente agli utenti di creare, aggiornare ed eliminare i criteri firewall gerarchici e le relative regole. Se concessa per un singolo criterio, consente all'utente di aggiornare
le regole del criterio, ma non di creare o eliminare il criterio. Questo ruolo consente inoltre all'utente di associare un criterio a una risorsa se dispone anche del ruolo compute.orgSecurityResourceAdmin per quella risorsa. |
| compute.orgSecurityResourceAdmin | Se concessa a livello di organizzazione o a una cartella, consente agli amministratori a livello di cartella di associare un criterio a quella risorsa. Per poter utilizzare i criteri, gli amministratori devono anche avere il ruolo compute.orgFirewallPolicyUser o compute.orgFirewallPolicyAdmin nella risorsa che possiede i criteri o nel criterio stesso. |
| compute.orgFirewallPolicyUser | Concessa su una risorsa o su un singolo criterio, consente agli amministratori
utilizzare i singoli criteri o i criteri associati alla risorsa. Utenti
deve avere anche il ruolo compute.orgSecurityResourceAdmin nella
risorsa di destinazione per associare un criterio alla risorsa. |
|
compute.securityAdmin compute.viewer compute.networkUser compute.networkViewer |
Consente agli utenti di visualizzare le regole del firewall applicate alla rete o all'istanza. Include l'autorizzazione compute.networks.getEffectiveFirewalls per le reti e compute.instances.getEffectiveFirewalls per le istanze. |
Nel seguente esempio, Joe può creare, modificare ed eliminare qualsiasi
criterio firewall nella cartella policies, ma lui non può collegare il bucket
firewall in una cartella perché non dispone
orgSecurityResourceAdmin per qualsiasi cartella.
Tuttavia, poiché Mario ha concesso a Maria le autorizzazioni per utilizzare policy-1, può elencare e
associare il criterio di firewall gerarchico alla cartella dev-projects o
a uno dei suoi discendenti. Il ruolo orgFirewallPolicyUser non concede l'autorizzazione per associare i criteri a nessuna cartella. L'utente deve disporre anche del ruolo orgSecurityResourceAdmin nella cartella di destinazione.
Gestisci le risorse dei criteri firewall gerarchici
Poiché un criterio firewall gerarchico definisce solo un insieme di regole firewall non dove vengono applicate, puoi creare queste risorse in una parte diversa della gerarchia dalle risorse a cui si applicano. In questo modo puoi associare un'unica risorsa di criteri firewall gerarchica con più cartelle dell'organizzazione.
Nell'esempio seguente, policy-1 viene applicato alle cartelle dev-projects e
corp-projects e quindi viene applicato a tutti i progetti in queste cartelle.
Modificare le regole di un criterio
Puoi aggiungere, rimuovere e modificare le regole in un criterio. Ogni modifica è stata apportata individualmente; non esiste un meccanismo per l'aggiornamento batch delle regole in un criterio. Le modifiche vengono applicate approssimativamente nell'ordine in cui vengono eseguiti i comandi, anche se non è garantito.
Se apporti modifiche sostanziali a un criterio di firewall gerarchico e devi assicurarti che vengano applicate contemporaneamente, puoi clonare il criterio in un criterio temporaneo e assegnarlo alle stesse risorse. Puoi quindi apportare le modifiche all'originale e riassegnare l'originale alle risorse. Per la procedura da seguire, vedi Clonare le regole da un criterio all'altro.
Nell'esempio seguente, policy-1 è collegato alla cartella dev-projects,
e vuoi apportare diverse modifiche
da applicare a livello atomico. Crea un nuovo
criterio denominato scratch-policy, quindi copia tutte le regole esistenti da
policy-1 a scratch-policy per modificarle. Al termine della modifica,
copia tutte le regole da scratch-policy a policy-1.
Spostare un criterio
I criteri firewall gerarchici, come i progetti, hanno come organizzazione principale una cartella o una risorsa dell'organizzazione. Man mano che lo schema delle cartelle si evolve, potresti dover Spostare un criterio firewall gerarchico in una nuova cartella, magari prima di una l'eliminazione dei dati. I criteri di proprietà di una cartella vengono eliminati se questa viene eliminata.
Il seguente diagramma illustra il trasferimento di un criterio tra associazioni di risorse o la valutazione delle regole nel criterio.
Associare un criterio firewall gerarchico a una cartella
Un criterio firewall gerarchico non viene applicato a meno che non sia associato a un'organizzazione o a una cartella. Una volta associato, viene applicato a tutte le VM di tutte le reti all'interno dell'organizzazione o della cartella.
Modifiche alla gerarchia delle risorse
La propagazione delle modifiche alla gerarchia delle risorse tramite di un sistema operativo completo. Ti consigliamo di evitare aggiornamenti simultanei agli allegati dei criteri firewall gerarchici e alla gerarchia delle risorse, perché le reti potrebbero non ereditare immediatamente il criterio firewall gerarchico definito nella nuova posizione della gerarchia.
Ad esempio, se sposti la cartella dept-A dalla cartella dev-projects alla cartella eng-projects e modifichi l'associazione di policy-1 a eng-projects anziché a dev-projects, assicurati di non disassociare contemporaneamente policy-1 da dev-projects. Se la cartella dev-projects perde l'associazione gerarchica dei criteri del firewall prima che l'albero di tutte le reti VPC al suo interno sia stato aggiornato, per un breve periodo di tempo queste reti VPC non sono protette da policy-1.
Utilizzare i criteri firewall gerarchici con VPC condiviso
Negli scenari VPC condiviso, un'interfaccia VM collegata alla rete di un progetto host è regolata dalle regole dei criteri della firewall gerarchica del progetto host, non del progetto di servizio.
Anche se i progetti di servizio si trovano in una cartella diversa da quella del progetto host, le interfacce VM nella rete condivisa ereditano ancora dal progetto host regole cartelle.
Utilizzo di criteri firewall gerarchici con il peering di rete VPC
Negli scenari di peering di reti VPC, l'interfaccia VM associata a ciascuna delle reti VPC eredita i criteri nella gerarchia delle rispettive reti VPC. Di seguito è riportato un esempio di peering di reti VPC in cui le reti VPC in peering appartengono a organizzazioni diverse.
Passaggi successivi
- Per creare e modificare criteri e regole firewall gerarchici, consulta Utilizzare criteri firewall gerarchici.
- Per esempi di implementazioni di criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.