I criteri firewall gerarchici consentono di creare e applicare un criterio firewall coerente in tutta l'organizzazione. Puoi assegnare criteri firewall gerarchici all'intera organizzazione o a singole cartelle. Questi criteri contengono regole che possono consentire o negare esplicitamente le connessioni, così come le regole firewall Virtual Private Cloud (VPC).
Inoltre, le regole gerarchiche dei criteri firewall possono delegare la valutazione a criteri di livello inferiore o regole firewall di rete VPC con un'azione goto_next.
Le regole di livello inferiore non possono sostituire una regola da una posizione più elevata nella gerarchia delle risorse. Ciò consente agli amministratori a livello di organizzazione di gestire le regole firewall critiche in un unico posto.
Specifiche
- I criteri firewall gerarchici vengono creati a livello di organizzazione e cartella. La creazione di un criterio non applica automaticamente le regole all'organizzazione o alla cartella.
- Una volta creati, i criteri possono essere applicati a qualsiasi risorsa dell'organizzazione (associata).
- I criteri firewall gerarchici sono container per le regole firewall. Quando associ un criterio all'organizzazione o a una cartella, tutte le regole vengono applicate immediatamente. Puoi scambiare i criteri per una risorsa, che scambia a livello atomico tutte le regole firewall applicate alle istanze di macchine virtuali (VM) al di sotto della risorsa.
- La valutazione delle regole è gerarchica e si basa sulla gerarchia delle risorse. Vengono valutate tutte le regole associate all'organizzazione, seguite da quelle del primo livello di cartelle e così via.
- Le regole dei criteri firewall gerarchici hanno una nuova azione
goto_nextche puoi utilizzare per delegare la valutazione delle connessioni ai livelli inferiori della gerarchia.
Le regole dei criteri firewall gerarchici possono essere utilizzate per configurare l'ispezione di livello 7 del traffico corrispondente, ad esempio il servizio di prevenzione delle intrusioni.
Puoi creare una regola del criterio firewall utilizzando l'azione
apply_security_profile_groupe il nome del gruppo di profili di sicurezza. Il traffico corrispondente alla regola del criterio firewall viene intercettato e inoltrato in modo trasparente all'endpoint firewall per l'ispezione di livello 7 e viceversa. Per scoprire come creare una regola del criterio firewall, consulta Creare regole firewall.
- Le regole dei criteri firewall gerarchici possono essere indirizzate a reti VPC e VM specifiche utilizzando risorse di destinazione per le reti e account di servizio di destinazione per le VM. In questo modo puoi creare eccezioni per i gruppi di VM. Le regole dei criteri firewall gerarchici non supportano il targeting per tag di istanza.
- Ogni regola del criterio firewall gerarchico può includere intervalli IPv4 o IPv6, ma non entrambi.
- Per facilitare la conformità e il debug, le regole firewall applicate a un'istanza VM possono essere controllate utilizzando la pagina dei dettagli della rete VPC e la pagina dei dettagli dell'interfaccia di rete dell'istanza VM.
Gerarchia delle risorse
Puoi creare e applicare i criteri firewall come passaggi separati. Puoi creare e applicare criteri firewall a livello di organizzazione o cartella della gerarchia delle risorse. Una regola del criterio firewall può bloccare le connessioni, consentire le connessioni o rinviare la valutazione delle regole firewall a cartelle di livello inferiore o alle regole firewall VPC definite nelle reti VPC.
Organizzazione è la risorsa di primo livello nella gerarchia delle risorse in Google Cloud in cui puoi creare o associare criteri firewall gerarchici. Tutte le cartelle e le reti VPC nell'organizzazione ereditano questo criterio.
Le cartelle sono risorse di livello medio nella gerarchia delle risorse di Google Cloud, tra l'organizzazione e i progetti, in cui puoi creare o assegnare criteri firewall gerarchici. Tutte le cartelle e le reti VPC in una cartella ereditano il criterio associato.
Un progetto si trova in una cartella o nell'organizzazione. Puoi spostare i progetti tra le risorse di un'organizzazione. I progetti contengono reti VPC. I criteri firewall gerarchici non possono essere assegnati ai progetti, ma solo all'organizzazione
Una rete VPC è la partizione di Google Cloud per le comunicazioni con spazio IP interno isolato. Questo è il livello al quale vengono specificate e applicate route, criteri firewall di rete e regole firewall VPC tradizionali. Le regole dei criteri firewall gerarchici possono sostituire o delegare la valutazione delle connessioni a criteri e regole firewall di rete globali.
Per impostazione predefinita, tutte le regole gerarchiche dei criteri firewall si applicano a tutte le VM in tutti i progetti nell'organizzazione o nella cartella a cui è associato il criterio. Tuttavia, puoi limitare le VM a cui viene assegnata una determinata regola specificando reti di destinazione o account di servizio di destinazione.
I livelli della gerarchia a cui ora possono essere applicate le regole firewall sono rappresentati nel seguente diagramma. Le caselle gialle rappresentano i criteri firewall gerarchici che contengono le regole firewall, mentre le caselle bianche rappresentano le regole firewall VPC.
Dettagli dei criteri firewall gerarchici
Le regole dei criteri firewall gerarchici sono definite in una risorsa di criterio firewall che funge da container per le regole firewall. Le regole definite in un criterio firewall non vengono applicate finché il criterio non viene associato a una risorsa (un'organizzazione o una cartella).
Un singolo criterio può essere associato a più risorse. Se modifichi una regola in un criterio, la modifica della regola si applica a tutte le risorse associate.
È possibile associare un solo criterio firewall a una risorsa. Le regole dei criteri firewall gerarchici e le regole firewall VPC vengono valutate in un ordine ben definito.
Un criterio firewall non associato ad alcuna risorsa è un criterio firewall gerarchico non associato.
Nomi dei criteri
Quando crei un nuovo criterio, Google Cloud genera automaticamente un ID
per il criterio. Devi inoltre specificare anche un nome breve per la norma.
Quando utilizzi l'interfaccia gcloud per aggiornare un criterio esistente, puoi fare riferimento
all'ID generato dal sistema o a una combinazione del nome breve e dell'ID
organizzazione. Quando utilizzi l'API per aggiornare il criterio, devi fornire l'ID generato dal sistema.
Dettagli regola del criterio firewall gerarchico
Le regole dei criteri firewall gerarchici funzionano come le regole dei criteri firewall e le regole firewall VPC, ma con alcune differenze:
I criteri firewall gerarchici supportano le reti di destinazione, al contrario dei criteri firewall di rete globali. Puoi specificare le reti di destinazione per limitare una regola del criterio firewall alle VM nelle reti specificate. Se specifichi le reti VPC nella regola, puoi controllare quali reti sono configurate con quella regola.
In combinazione con
goto_nextoallow, specificare le reti di destinazione consente di creare eccezioni per reti specifiche quando vuoi definire un criterio altrimenti restrittivo.I criteri firewall gerarchici non hanno un'integrazione sicura di tag.
I criteri firewall gerarchici sono risorse a livello di organizzazione, mentre i criteri firewall di rete globali sono risorse a livello di progetto.
Regole predefinite
Quando crei un criterio firewall gerarchico, Cloud Next Generation Firewall aggiunge regole predefinite con la priorità più bassa al criterio. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola esplicitamente definita nel criterio e, di conseguenza, vengono trasmesse ai criteri di livello inferiore o alle regole di rete.
Per saperne di più sui vari tipi di regole predefinite e sulle relative caratteristiche, consulta la sezione Regole predefinite.
i ruoli IAM (Identity and Access Management)
I ruoli IAM regolano le seguenti azioni per quanto riguarda i criteri firewall gerarchici:
- Creazione di un criterio che risiede in una determinata risorsa
- Associazione di un criterio a una particolare risorsa
- Modifica di un criterio esistente
- Visualizzazione delle regole firewall effettive per una determinata rete o VM
Nella tabella seguente vengono descritti i ruoli necessari per ogni passaggio:
| Abilità | Ruolo necessario |
|---|---|
| Crea un nuovo criterio firewall gerarchico | Ruolo compute.orgFirewallPolicyAdmin per la risorsa in cui verrà pubblicato il criterio |
| Associa un criterio a una risorsa | Ruolo compute.orgSecurityResourceAdmin per la risorsa di destinazione e ruolo compute.orgFirewallPolicyAdmin o compute.orgFirewallPolicyUser per la risorsa in cui si trova il criterio o per il criterio stesso |
| Modifica il criterio aggiungendo, aggiornando o eliminando le regole firewall del criterio | compute.orgFirewallPolicyAdmin sulla risorsa in cui si trova il criterio o sul criterio stesso |
| Elimina il criterio | compute.orgFirewallPolicyAdmin sulla risorsa in cui si trova il criterio o sul criterio stesso |
| Visualizza le regole firewall effettive per una rete VPC | Uno dei seguenti ruoli per la rete: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Visualizza le regole firewall effettive per una VM in una rete | Uno dei seguenti ruoli per la VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
I ruoli seguenti sono pertinenti per i criteri firewall gerarchici.
| Nome ruolo | Descrizione |
|---|---|
| compute.orgFirewallPolicyAdmin | Può essere concesso per una risorsa o per un singolo criterio. Se viene concesso a una risorsa, consente agli utenti di creare, aggiornare ed eliminare i criteri firewall gerarchici e le relative regole. Se concesso per un singolo criterio, consente all'utente di aggiornare le regole del criterio, ma non di creare o eliminare il criterio. Questo ruolo consente inoltre
all'utente di associare un criterio a una risorsa se dispone anche del
ruolo compute.orgSecurityResourceAdmin per quella risorsa. |
| compute.orgSecurityResourceAdmin | Concesso a livello di organizzazione o a una cartella, consente agli amministratori a livello di cartella di associare un criterio alla risorsa. Per poter utilizzare il criterio, gli amministratori devono inoltre disporre del ruolo compute.orgFirewallPolicyUser o compute.orgFirewallPolicyAdmin per la risorsa proprietaria del criterio o del criterio stesso. |
| compute.orgFirewallPolicyUser | Concesso su una risorsa o su un singolo criterio, gli amministratori possono
utilizzare i singoli criteri o criteri associati alla risorsa. Gli utenti devono inoltre avere il ruolo compute.orgSecurityResourceAdmin nella risorsa di destinazione per associare un criterio alla risorsa. |
|
compute.securityAdmin compute.viewer compute.networkUser compute.networkViewer |
Consente agli utenti di visualizzare le regole firewall applicate alla rete o all'istanza. Include l'autorizzazione compute.networks.getEffectiveFirewalls
per le reti e l'autorizzazione compute.instances.getEffectiveFirewalls per le istanze. |
Nell'esempio seguente, Joe può creare, modificare ed eliminare qualsiasi criterio firewall gerarchico nella cartella policies, ma non può collegarlo a una cartella perché non dispone del ruolo orgSecurityResourceAdmin in nessuna cartella.
Tuttavia, poiché Joe ha concesso a Mary le autorizzazioni per utilizzare policy-1, può elencare e associare il criterio firewall gerarchico alla cartella dev-projects o a uno qualsiasi dei relativi discendenti. Il ruolo orgFirewallPolicyUser non concede
l'autorizzazione per associare i criteri a nessuna cartella; l'utente deve avere anche il
ruolo orgSecurityResourceAdmin nella cartella di destinazione.
Gestisci le risorse dei criteri firewall gerarchici
Poiché un criterio firewall gerarchico definisce solo un insieme di regole firewall e non dove vengono applicate, puoi creare queste risorse in una parte diversa della gerarchia rispetto alle risorse a cui si applicano. In questo modo puoi associare una singola risorsa di criteri firewall gerarchici a più cartelle nell'organizzazione.
Nell'esempio seguente, policy-1 viene applicato alle cartelle dev-projects e corp-projects, così come a tutti i progetti nelle cartelle.
Modificare le regole di un criterio
Puoi aggiungere, rimuovere e modificare le regole in un criterio. Ogni modifica viene eseguita singolarmente; non esiste un meccanismo per l'aggiornamento batch delle regole in un criterio. Le modifiche vengono applicate più o meno nell'ordine in cui vengono eseguiti i comandi, ma questo non è garantito.
Se stai apportando modifiche significative a un criterio firewall gerarchico e devi assicurarti che vengano applicati contemporaneamente, puoi clonare il criterio in un criterio temporaneo e assegnare il criterio temporaneo alle stesse risorse. Puoi quindi apportare le modifiche all'originale e assegnarlo nuovamente alle risorse. Per la procedura da seguire, consulta Clonazione delle regole da un criterio all'altro.
Nell'esempio seguente, policy-1 è collegato alla cartella dev-projects e vuoi apportare diverse modifiche da applicare in modo atomico. Crea un nuovo criterio denominato scratch-policy, quindi copia tutte le regole esistenti da policy-1 a scratch-policy per modificarle. Dopo aver completato la modifica,
copia tutte le regole da scratch-policy a policy-1.
Spostare un criterio
I criteri firewall gerarchici, come i progetti, sono associati a una cartella o a una risorsa dell'organizzazione. Con l'evoluzione dello schema delle cartelle, potresti dover spostare un criterio firewall gerarchico in una nuova cartella, magari prima di eliminare una cartella. I criteri di proprietà di una cartella vengono eliminati se questa viene eliminata.
Il seguente diagramma illustra lo spostamento di un criterio tra le associazioni di risorse o la valutazione delle regole nel criterio.
Associa un criterio firewall gerarchico a una cartella
Un criterio firewall gerarchico non viene applicato in modo forzato, a meno che non sia associato a un'organizzazione o a una cartella. Dopo l'associazione, viene applicata a tutte le VM in tutte le reti all'interno dell'organizzazione o della cartella.
Modifiche alla gerarchia delle risorse
La propagazione delle modifiche alla gerarchia delle risorse in tutto il sistema potrebbe richiedere del tempo. Consigliamo di evitare aggiornamenti simultanei dei collegamenti dei criteri firewall gerarchici e della gerarchia delle risorse, poiché le reti potrebbero non ereditare immediatamente il criterio firewall gerarchico definito nella nuova posizione della gerarchia.
Ad esempio, se sposti la cartella dept-A dalla cartella dev-projects alla cartella eng-projects e modifichi l'associazione di policy-1 in eng-projects anziché in dev-projects, assicurati di non annullare l'associazione di policy-1 da dev-projects contemporaneamente. Se la cartella dev-projects perde l'associazione gerarchica del criterio firewall prima che tutte le reti VPC al suo interno abbiano eseguito l'aggiornamento delle relative origini, per un breve periodo di tempo queste reti VPC non sono protette da policy-1.
Utilizzo di criteri firewall gerarchici con il VPC condiviso
Negli scenari VPC condivisi, un'interfaccia VM connessa alla rete di un progetto host è regolata dalle regole dei criteri firewall gerarchici del progetto host, non di quello di servizio.
Anche se i progetti di servizio si trovano in una cartella diversa da quella del progetto host, le interfacce VM nella rete condivisa ereditano comunque dalle regole delle cartelle del progetto host.
Utilizzo di criteri firewall gerarchici con il peering di rete VPC
Negli scenari di peering di rete VPC, l'interfaccia VM associata a ciascuna delle reti VPC eredita i criteri nella gerarchia delle rispettive reti VPC. Di seguito è riportato un esempio di peering di rete VPC in cui le reti in peering VPC appartengono a organizzazioni diverse.
Passaggi successivi
- Per creare e modificare criteri e regole firewall gerarchici, consulta Utilizzare i criteri firewall gerarchici.
- Per visualizzare esempi di implementazioni di criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.