As políticas de firewall hierárquicas permitem-lhe criar e aplicar uma política de firewall consistente em toda a sua organização. Pode atribuir políticas de firewall hierárquicas à organização como um todo ou a pastas individuais. Estas políticas contêm regras que podem recusar ou permitir explicitamente ligações, tal como as regras de firewall da nuvem virtual privada (VPC).
Além disso, as regras da política de firewall hierárquica podem delegar a avaliação em políticas de nível inferior ou regras de firewall da rede de VPC com uma ação goto_next.
As regras de nível inferior não podem substituir uma regra de um local superior na hierarquia de recursos. Isto permite que os administradores de toda a organização façam a gestão das regras de firewall críticas num único local.
Especificações
- As políticas de firewall hierárquicas são criadas ao nível da organização e da pasta. A criação de uma política não aplica automaticamente as regras à organização nem à pasta.
- As políticas, depois de criadas, podem ser aplicadas (associadas) a quaisquer recursos na organização.
- As políticas de firewall hierárquicas são contentores para regras de firewall. Quando associa uma política à organização ou a uma pasta, todas as regras são aplicadas imediatamente. Pode trocar políticas de um recurso, o que troca atomicamente todas as regras de firewall aplicadas a instâncias de máquinas virtuais (VMs) nesse recurso.
- A avaliação de regras é hierárquica com base na hierarquia de recursos. Todas as regras associadas à organização são avaliadas, seguidas das regras do primeiro nível de pastas e assim sucessivamente.
- As regras da política de firewall hierárquica têm uma nova ação
goto_nextque pode usar para delegar a avaliação da ligação a níveis inferiores da hierarquia.
As regras da política de firewall hierárquica podem ser usadas para configurar a inspeção da camada 7 do tráfego correspondente, como o serviço de deteção e prevenção de intrusões.
Crie uma regra de política de firewall usando a
apply_security_profile_groupação e o nome do grupo de perfis de segurança. O tráfego que corresponde à regra de política de firewall é intercetado e encaminhado de forma transparente para o ponto final da firewall para inspeção da camada 7 e vice-versa. Para saber como criar uma regra de política de firewall, consulte o artigo Crie regras de firewall.
- As regras da política de firewall hierárquica podem ser segmentadas para VMs e redes da VPC específicas através da utilização de recursos de destino para redes e contas de serviço de destino para VMs. Isto permite-lhe criar exceções para grupos de VMs. As regras de políticas de firewall hierárquicas não suportam a segmentação por etiquetas de instâncias.
- Cada regra de política de firewall hierárquica pode incluir intervalos IPv4 ou IPv6, mas não ambos.
- Para ajudar na conformidade e na depuração, as regras de firewall aplicadas a uma instância de VM podem ser auditadas através da página de detalhes da rede VPC e da página de detalhes da interface de rede da instância de VM.
Hierarquia de recursos
Cria e aplica políticas de firewall como passos separados. Pode criar e aplicar políticas de firewall ao nível da organização ou da pasta da hierarquia de recursos. Uma regra de política de firewall pode bloquear ligações, permitir ligações ou diferir a avaliação de regras de firewall para pastas de nível inferior ou regras de firewall de VPC definidas em redes VPC.
Organization é o recurso de nível superior na hierarquia de recursos em Google Cloud que pode criar ou associar políticas de firewall hierárquicas. Todas as pastas e redes de VPC na organização herdam esta política.
As pastas são recursos de nível intermédio na Google Cloud hierarquia de recursos, entre a organização e os projetos, onde pode criar ou atribuir políticas de firewall hierárquicas. Todas as pastas e redes VPC numa pasta herdam a respetiva política associada.
Um projeto existe numa pasta ou na organização. Pode mover projetos entre recursos numa organização. Os projetos contêm redes VPC. Não é possível atribuir políticas de firewall hierárquicas a projetos, apenas à organização ou a pastas.
Uma rede VPC é a Google Cloud partição para comunicação interna do espaço IP isolado. Este é o nível no qual os trajetos, as políticas de firewall de rede e as regras de firewall de VPC tradicionais são especificados e aplicados. As regras de política de firewall hierárquica podem substituir ou delegar a avaliação de ligações a políticas e regras de firewall de rede global.
Por predefinição, todas as regras da política de firewall hierárquica aplicam-se a todas as VMs em todos os projetos na organização ou na pasta onde a política está associada. No entanto, pode restringir as VMs que recebem uma determinada regra especificando redes de destino ou contas de serviço de destino.
Os níveis da hierarquia aos quais as regras de firewall podem agora ser aplicadas estão representados no diagrama seguinte. As caixas amarelas representam políticas de firewall hierárquicas que contêm regras de firewall, enquanto as caixas brancas representam regras de firewall de VPC.
Detalhes da política de firewall hierárquica
As regras de políticas de firewall hierárquicas são definidas num recurso de política de firewall que funciona como um contentor para regras de firewall. As regras definidas numa política de firewall não são aplicadas até que a política seja associada a um recurso (uma organização ou uma pasta).
Uma única política pode ser associada a vários recursos. Se modificar uma regra numa política, essa alteração da regra aplica-se a todos os recursos associados.
Só é possível associar uma política de firewall a um recurso. As regras de políticas de firewall hierárquicas e as regras de firewall da VPC são avaliadas numa ordem bem definida.
Uma política de firewall que não está associada a nenhum recurso é uma política de firewall hierárquica não associada.
Nomes das políticas
Quando cria uma nova política, Google Cloud é gerado automaticamente um ID
para a política. Além disso, também especifica um diminutivo para a política.
Quando usa a interface gcloud para atualizar uma política existente, pode referenciar o ID gerado pelo sistema ou uma combinação do nome abreviado e do ID da sua organização. Quando usar a API para atualizar a política, tem de fornecer o ID gerado pelo sistema.
Detalhes da regra de política de firewall hierárquica
As regras de políticas de firewall hierárquicas funcionam da mesma forma que as regras de políticas de firewall e as regras de firewall da VPC, mas existem algumas diferenças:
As políticas de firewall hierárquicas suportam redes de destino, ao passo que as políticas de firewall de rede global não o fazem. Pode especificar redes de destino para restringir uma regra de política de firewall a VMs nas redes especificadas. A especificação de redes VPC na regra dá-lhe controlo sobre as redes que são configuradas com essa regra.
Quando combinadas com
goto_nextouallow, a especificação de redes de destino permite-lhe criar exceções para redes específicas quando quiser definir uma política restritiva.As políticas de firewall hierárquicas são recursos ao nível da organização, enquanto as políticas de firewall de rede global são recursos ao nível do projeto.
Regras predefinidas
Quando cria uma política de firewall hierárquica, o Cloud Next Generation Firewall adiciona regras predefinidas com a prioridade mais baixa à política. Estas regras são aplicadas a quaisquer ligações que não correspondam a uma regra definida explicitamente na política, o que faz com que essas ligações sejam transmitidas a políticas ou regras de rede de nível inferior.
Para saber mais sobre os vários tipos de regras predefinidas e as respetivas caraterísticas, consulte o artigo Regras predefinidas.
Funções da gestão de identidade e de acesso (IAM)
As funções IAM regem as seguintes ações relativamente às políticas de firewall hierárquicas:
- Criar uma política que reside num recurso específico
- Associar uma política a um recurso específico
- Modificar uma política existente
- Ver as regras de firewall eficazes para uma rede ou uma VM específica
A tabela seguinte descreve as funções necessárias para cada passo:
| Capacidade | Função necessária |
|---|---|
| Crie uma nova política de firewall hierárquica | compute.orgFirewallPolicyAdmin função no recurso onde a política vai residir |
| Associe uma política a um recurso | Função compute.orgSecurityResourceAdmin no recurso de destino e função compute.orgFirewallPolicyAdmin ou compute.orgFirewallPolicyUser no recurso onde a política reside ou na própria política |
| Modifique a política adicionando, atualizando ou eliminando regras de firewall de políticas | compute.orgFirewallPolicyAdmin função no recurso onde a política reside ou na própria política |
| Elimine a política | compute.orgFirewallPolicyAdmin função no recurso onde a política reside ou na própria política |
| Veja as regras de firewall eficazes para uma rede da VPC | Qualquer uma das seguintes funções para a rede: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Veja as regras de firewall eficazes para uma VM numa rede | Qualquer uma das seguintes funções para a VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
As seguintes funções são relevantes para as políticas de firewall hierárquicas.
| Nome da função | Descrição |
|---|---|
| compute.orgFirewallPolicyAdmin | Podem ser concedidas num recurso ou numa política individual. Se concedida ao nível de um recurso, permite aos utilizadores criar, atualizar e eliminar políticas de firewall hierárquicas e as respetivas regras. Se concedida numa política individual, permite ao utilizador atualizar as regras da política, mas não criar nem eliminar a política. Esta função também permite
ao utilizador associar uma política a um recurso se também tiver a função
compute.orgSecurityResourceAdmin nesse recurso. |
| compute.orgSecurityResourceAdmin | Concedida ao nível da organização ou a uma pasta, permite que os administradores ao nível da pasta associem uma política a esse recurso. Os administradores também têm de ter a função compute.orgFirewallPolicyUser ou compute.orgFirewallPolicyAdmin no recurso que detém a política ou na própria política para a poderem usar. |
| compute.orgFirewallPolicyUser | Concedida num recurso ou numa política individual, permite aos administradores
usar a política individual ou as políticas associadas ao recurso. Os utilizadores
também têm de ter a função compute.orgSecurityResourceAdmin no
recurso de destino para associar uma política a esse recurso. |
|
compute.securityAdmin compute.viewer compute.networkUser compute.networkViewer |
Permite que os utilizadores vejam as regras de firewall aplicadas à rede ou à instância. Inclui a autorização compute.networks.getEffectiveFirewalls para redes e a autorização compute.instances.getEffectiveFirewalls para instâncias. |
No exemplo seguinte, o João pode criar, modificar e eliminar qualquer política de firewall hierárquica na pasta policies, mas não pode anexar a política de firewall hierárquica a uma pasta porque não tem a função orgSecurityResourceAdmin em nenhuma pasta.
No entanto, como o João concedeu autorizações à Maria para usar policy-1, ela pode listar e associar essa política de firewall hierárquica à pasta dev-projects ou a qualquer um dos seus descendentes. A função orgFirewallPolicyUser não concede
autorização para associar as políticas a pastas. O utilizador também tem de ter a função
orgSecurityResourceAdmin na pasta de destino.
Faça a gestão dos recursos de políticas de firewall hierárquicas
Uma vez que uma política de firewall hierárquica apenas define um conjunto de regras de firewall e não onde são aplicadas, pode criar estes recursos numa parte diferente da hierarquia dos recursos aos quais se aplicam. Isto permite-lhe associar um único recurso de política de firewall hierárquica a várias pastas na organização.
No exemplo seguinte, a política policy-1 é aplicada às pastas dev-projects e corp-projects e, por isso, é aplicada a todos os projetos nessas pastas.
Modifique as regras de uma política
Pode adicionar, remover e modificar regras numa política. Cada alteração é feita individualmente. Não existe nenhum mecanismo para atualizar regras em lote numa política. As alterações são aplicadas aproximadamente pela ordem em que os comandos são executados, embora isto não seja garantido.
Se estiver a fazer alterações extensivas a uma política de firewall hierárquica e precisar de garantir que são aplicadas em simultâneo, pode clonar a política para uma política temporária e atribuir a política temporária aos mesmos recursos. Em seguida, pode fazer as alterações ao original e, depois, atribuir o original novamente aos recursos. Para ver os passos para o fazer, consulte o artigo Clonar regras de uma política para outra.
No exemplo seguinte, policy-1 está anexado à pasta dev-projects e quer fazer várias alterações que se aplicam de forma atómica. Crie uma nova política denominada scratch-policy e, de seguida, copie todas as regras existentes de policy-1 para scratch-policy para edição. Depois de terminar a edição,
copie todas as regras de scratch-policy de volta para policy-1.
Mova uma política
As políticas de firewall hierárquicas, como os projetos, são subordinadas a um recurso de pasta ou de organização. À medida que o esquema de pastas evolui, pode ter de mover uma política de firewall hierárquica para uma nova pasta, talvez antes de eliminar uma pasta. As políticas pertencentes a uma pasta são eliminadas se a pasta for eliminada.
O diagrama seguinte ilustra a movimentação de uma política entre associações de recursos ou a avaliação de regras na política.
Associe uma política de firewall hierárquica a uma pasta
Uma política de firewall hierárquica não é aplicada, a menos que esteja associada a uma organização ou uma pasta. Depois de associada, é aplicada a todas as VMs em todas as redes dessa organização ou pasta.
Alterações à hierarquia de recursos
As alterações à hierarquia de recursos podem demorar algum tempo a serem propagadas no sistema. Recomendamos que evite atualizações simultâneas às associações da política de firewall hierárquica e à hierarquia de recursos, porque as redes podem não herdar imediatamente a política de firewall hierárquica definida na nova localização na hierarquia.
Por exemplo, se estiver a mover a pasta dept-A da pasta dev-projects
para a pasta eng-projects e a alterar a associação de policy-1
para eng-projects em vez de dev-projects, certifique-se de que não desassocia
policy-1 de dev-projects ao mesmo tempo. Se a pasta dev-projects perder a associação à política de firewall hierárquica antes de a hierarquia de todas as redes VPC
subordinadas ser atualizada, durante um curto período, essas redes VPC não estão protegidas pelo policy-1.
Use políticas de firewall hierárquicas com a VPC partilhada
Em cenários de VPC partilhada, uma interface de VM ligada a uma rede de projeto anfitrião é regida pelas regras de política de firewall hierárquica do projeto anfitrião e não do projeto de serviço.
Mesmo que os projetos de serviço estejam numa pasta diferente da do projeto anfitrião, as interfaces de VM na rede partilhada continuam a herdar as regras da pasta do projeto anfitrião.
Use políticas de firewall hierárquicas com o intercâmbio da rede da VPC
Em cenários de intercâmbio da rede da VPC, a interface da VM associada a cada uma das redes VPC herda as políticas na hierarquia nas redes VPC respetivas. Segue-se um exemplo de intercâmbio da rede da VPC em que as redes da VPC com intercâmbio pertencem a organizações diferentes.
O que se segue?
- Para criar e modificar políticas e regras de firewall hierárquicas, consulte o artigo Use hierarchical firewall policies.
- Para ver exemplos de implementações de políticas de firewall hierárquicas, consulte o artigo Exemplos de políticas de firewall hierárquicas.