Hierarchische Firewallrichtlinien

Mit hierarchischen Firewallrichtlinien können Sie eine konsistente Firewallrichtlinie für Ihre gesamte Organisation erstellen und erzwingen. Sie können der Organisation hierarchische Firewallrichtlinien als Ganzes oder für einzelne Ordner zuweisen. Diese Richtlinien enthalten Regeln, die Verbindungen explizit ablehnen oder zulassen, wie VPC-Firewallregeln (Virtual Private Cloud). Darüber hinaus können die Regeln einer hierarchischen Firewallrichtlinie die Auswertung an Richtlinien auf einer niedrigeren Ebene oder VPC-Netzwerk-Firewallregeln mit der Aktion goto_next delegieren.

Regeln auf niedrigerer Ebene können keine Regeln von einer höheren Ebene in der Ressourcenhierarchie überschreiben. Auf diese Weise können organisationsweite Administratoren kritische Firewallregeln an einem Ort verwalten.

Spezifikationen

  • Hierarchische Firewallrichtlinien werden in Organisations- und Ordnerknoten erstellt. Beim Erstellen einer Richtlinie werden die Regeln nicht automatisch auf den Knoten angewendet.
  • Nach dem Erstellen können Richtlinien auf alle Knoten in der Organisation (verknüpft) angewendet werden.
  • Hierarchische Firewallrichtlinien sind Container für Firewallregeln. Wenn Sie eine Richtlinie mit der Organisation oder einem Ordner verknüpfen, werden alle Regeln sofort angewendet. Sie können Richtlinien für einen Knoten austauschen, wodurch alle Firewallregeln, die auf VM-Instanzen unter diesem Knoten angewendet werden, atomar ausgetauscht werden.
  • Die Regelauswertung ist entsprechend der Ressourcenhierarchie hierarchisch. Alle Regeln, die dem Organisationsknoten zugeordnet sind, werden ausgewertet, gefolgt von den Regeln der obersten Ordnerebene usw.
  • Regeln in hierarchischen Firewallrichtlinien haben eine neue goto_next-Aktion, mit der Sie die Auswertung der Verbindung an niedrigere Hierarchieebenen delegieren können.

  • Regeln für hierarchische Firewallrichtlinien können verwendet werden, um die Layer-7-Prüfung des übereinstimmenden Traffics zu konfigurieren, z. B. die Einbruchsprävention.

    Sie erstellen eine Firewallrichtlinienregel mit der Aktion apply_security_profile_group und dem Namen der Sicherheitsprofilgruppe. Der Traffic, der der Firewallrichtlinienregel entspricht, wird abgefangen und transparent für die Layer-7-Prüfung an den Firewallendpunkt weiter- und wieder zurückgeleitet. Informationen zum Erstellen einer Firewallrichtlinienregel finden Sie unter Firewallregeln erstellen.

  • Regeln für hierarchische Firewallregeln lassen sich auf bestimmte VPC-Netzwerke und VMs ausrichten. Dabei werden Zielressourcen für Netzwerke und Zieldienstkonten für VMs verwendet. Damit können Sie Ausnahmen für Gruppen von VMs erstellen. Die Konfiguration von hierarchischen Firewallregeln unterstützt kein Targeting nach Instanztags.
  • Jede hierarchische Firewallrichtlinienregel kann entweder IPv4- oder IPv6-Bereiche enthalten, aber nicht beides.
  • Zur Unterstützung bei der Compliance und Fehlerbehebung können Firewallregeln, die auf eine VM-Instanz angewendet werden, über die Seite „VPC-Netzwerkdetails“ und die Detailseite zur Netzwerkschnittstelle der VM-Instanz überprüft werden.

Ressourcenhierarchie

Firewallrichtlinien werden als separate Schritte erstellt und angewendet. Sie können Firewallrichtlinien auf den Organisations- oder Ordnerknoten der Ressourcenhierarchie erstellen und anwenden. Mit Firewallregeln können Sie Verbindungen blockieren, Verbindungen zulassen oder die Auswertung von Firewallregeln auf untergeordnete Ordner oder VPC-Firewallregeln einschränken, die in VPC-Netzwerken definiert sind.

  • Organisation ist der Knoten auf oberster Ebene in der Ressourcenhierarchie in Google Cloud, auf der Sie hierarchische Firewallrichtlinien erstellen oder verknüpfen können. Diese Richtlinie wird von allen Ordnern und VPC-Netzwerken in der Organisation übernommen.

  • Ordner sind Knoten auf der mittleren Ebene in der Google Cloud-Ressourcenhierarchie zwischen der Organisation und Projekten. Sie können hierarchische Firewallrichtlinien in Ordnern erstellen oder zuweisen. Die zugehörige Richtlinie wird für alle Ordner und VPC-Netzwerke in einem Ordner übernommen.

  • Ein Projekt befindet sich in einem Ordner oder der Organisation. Sie können Projekte zwischen Knoten in einer Organisation verschieben. Projekte enthalten VPC-Netzwerke. Hierarchische Firewallrichtlinien können nicht Projekten zugewiesen werden, sondern nur der Organisation oder den Ordnern.

  • Ein VPC-Netzwerk ist die Google Cloud-Partition für die isolierte Kommunikation innerhalb eines IP-Bereichs. Auf dieser Ebene werden Routen, Netzwerk-Firewallrichtlinien und herkömmliche VPC-Firewallregeln spezifiziert und angewendet. Regeln in hierarchischen Firewallrichtlinien können die Auswertung der Verbindung zu globalen Netzwerk-Firewallrichtlinien und -regeln überschreiben oder delegieren.

Standardmäßig werden alle Regeln in hierarchischen Firewallrichtlinien auf alle VMs in allen Projekten innerhalb der Organisation oder dem Ordner angewendet, dem die Richtlinie zugeordnet ist. Sie können jedoch einschränken, welche VMs eine bestimmte Regel erhalten, indem Sie Zielnetzwerke oder Zieldienstkonten angeben.

Die Hierarchieebenen, auf denen Firewallregeln jetzt angewendet werden können, sind im folgenden Diagramm dargestellt. Die gelben Felder stellen hierarchische Firewallrichtlinien dar, die Firewallregeln enthalten. Die weißen Felder hingegen stellen VPC-Firewallregeln dar.

Hierarchische Firewallrichtlinien, die Regeln (gelbe Kästchen) auf der Organisations- und der Ordnerebene und VPC-Firewallregeln auf der VPC-Netzwerkebene enthalten
Hierarchische Firewallrichtlinien mit Regeln (gelbe Kästchen) werden auf Organisations- und Ordnerebene angewendet. VPC-Firewallregeln werden auf VPC-Netzwerkebene angewendet.

Hierarchische Firewallrichtlinien

Regeln hierarchischer Firewallrichtlinien werden in einer Firewallrichtlinienressource definiert, die als Container für Firewallregeln dient. Die in einer Firewallrichtlinie definierten Regeln werden erst erzwungen, wenn die Richtlinie mit einem Knoten (einer Organisation oder einem Ordner) verknüpft ist.

Eine einzelne Richtlinie kann mit mehreren Knoten verknüpft sein. Wenn Sie eine Regel in einer Richtlinie ändern, gilt diese Regel für alle derzeit verknüpften Knoten.

Es kann immer nur eine Firewallrichtlinie mit einem Knoten verknüpft werden. Hierarchische Firewallregeln und VPC-Firewallregeln werden in einer festgelegten Reihenfolge ausgewertet.

Eine Firewallrichtlinie, die keinem Knoten zugeordnet ist, ist eine nicht verknüpfte hierarchische Firewallrichtlinie.

Richtliniennamen

Wenn Sie eine neue Richtlinie erstellen, generiert Google Cloud automatisch eine ID für die Richtlinie. Geben Sie außerdem einen Kurznamen für die Richtlinie an. Wenn Sie eine vorhandene Richtlinie mit der gcloud-Schnittstelle aktualisieren, können Sie entweder auf die vom System generierte ID oder eine Kombination aus dem Kurznamen und der Organisations-ID verweisen. Wenn Sie die API zum Aktualisieren der Richtlinie verwenden, müssen Sie die vom System generierte ID angeben.

Regeln in hierarchischen Firewallrichtlinien

Regeln in hierarchischen Firewallrichtlinien funktionieren genauso wie Regeln für Firewallrichtlinien und VPC-Firewallrichtlinien, es gibt jedoch einige Unterschiede:

  • Hierarchische Firewallrichtlinien unterstützen Zielnetzwerke, während globale Firewallrichtlinien dies nicht tun. Sie können Zielnetzwerke angeben, um eine Firewallrichtlinienregel auf VMs in den angegebenen Netzwerken einzuschränken. Wenn Sie VPC-Netzwerke in der Regel angeben, können Sie steuern, welche Netzwerke mit dieser Regel konfiguriert werden.

    In Kombination mit goto_next oder allow können Sie durch Angabe von Zielnetzwerken Ausnahmen für bestimmte Netzwerke erstellen, wenn Sie eine ansonsten restriktive Richtlinie definieren möchten.

  • Hierarchische Firewallrichtlinien haben keine sichere Tag-Einbindung.

  • Hierarchische Firewallrichtlinien sind Ressourcen auf Organisationsebene, während globale Firewallrichtlinien Richtlinien auf Projektebene sind.

Vordefinierte Regeln

Wenn Sie eine hierarchische Firewallrichtlinie erstellen, fügt Cloud Next Generation Firewall vordefinierte Richtlinien mit der niedrigsten Priorität zur Richtlinie hinzu. Diese Regeln werden auf alle Verbindungen angewendet, die nicht mit einer explizit definierten Regel in der Richtlinie übereinstimmen, sodass solche Verbindungen an untergeordnete Richtlinien oder Netzwerkregeln weitergegeben werden.

Weitere Informationen zu den verschiedenen Arten vordefinierter Regeln und ihrer Eigenschaften finden Sie unter Vordefinierte Regeln.

IAM-Rollen (Identity and Access Management, Identitäts- und Zugriffsverwaltung)

IAM-Rollen regeln die folgenden Aktionen in Bezug auf hierarchische Firewallrichtlinien:

  • Richtlinie erstellen, die in einem bestimmten Knoten enthalten ist
  • Richtlinie mit einem bestimmten Knoten verknüpfen
  • Vorhandene Richtlinie ändern
  • Aktive Firewallregeln für ein bestimmtes Netzwerk oder eine bestimmte VM aufrufen

In der folgenden Tabelle wird beschrieben, welche Rollen für die einzelnen Schritte erforderlich sind:

Funktion Erforderliche Rolle
Neue hierarchische Firewallrichtlinie erstellen Rolle compute.orgFirewallPolicyAdmin für den Knoten, auf dem die Richtlinie ausgeführt wird
Richtlinie mit einem Knoten verknüpfen Rolle compute.orgSecurityResourceAdmin auf dem Zielknoten und entweder die Rolle compute.orgFirewallPolicyAdmin oder compute.orgFirewallPolicyUser auf dem Knoten, auf dem sich die Richtlinie befindet, oder auf der Richtlinie selbst
Richtlinie durch Hinzufügen, Aktualisieren oder Löschen von Richtlinien-Firewallregeln ändern Rolle compute.orgFirewallPolicyAdmin für den Knoten, auf dem die Richtlinie ausgeführt wird, oder für die Richtlinie selbst
Richtlinie löschen Rolle compute.orgFirewallPolicyAdmin für den Knoten, auf dem die Richtlinie ausgeführt wird, oder für die Richtlinie selbst
Gültige Firewallregeln für ein VPC-Netzwerk aufrufen Eine der folgenden Rollen für das Netzwerk:
compute.networkAdmin
compute.networkViewer
compute.securityAdmin
compute.viewer
Gültige Firewallregeln für eine VM in einem Netzwerk aufrufen Eine der folgenden Rollen für die VM:
compute.instanceAdmin
compute.securityAdmin
compute.viewer

Die folgenden Rollen sind für hierarchische Firewallrichtlinien relevant.

Rollenname Beschreibung
compute.orgFirewallPolicyAdmin Kann für einen Knoten oder für eine einzelne Richtlinie gewährt werden. Wenn sie auf einem Knoten gewährt wird, können Nutzer hierarchische Firewallrichtlinien und ihre Regeln erstellen, aktualisieren und löschen. Wenn sie einer einzelnen Richtlinie gewährt wird, kann der Nutzer die Richtlinienregeln aktualisieren, die Richtlinie jedoch nicht erstellen oder löschen. Mit dieser Rolle kann der Nutzer auch eine Richtlinie mit einem Knoten verknüpfen, wenn er auch die Rolle compute.orgSecurityResourceAdmin für diesen Knoten hat.
compute.orgSecurityResourceAdmin Wird auf der Organisationsebene oder einem Ordner gewährt; ermöglicht Administratoren auf der Ordnerebene, eine Richtlinien mit diesem Knoten zu verknüpfen. Administratoren müssen außerdem für den Knoten, dem die Richtlinie gehört, die Rolle compute.orgFirewallPolicyUser oder compute.orgFirewallPolicyAdmin haben, um die Richtlinie nutzen zu können.
compute.orgFirewallPolicyUser Wird sie einem Knoten oder einer einzelnen Richtlinie zugewiesen, können Administratoren die jeweilige Richtlinie oder die mit dem Knoten verknüpften Richtlinien verwenden. Nutzer müssen außerdem die Rolle compute.orgSecurityResourceAdmin für den Zielknoten haben, um eine Richtlinie mit diesem Knoten zu verknüpfen.
compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer
 Nutzer können die Firewallregeln sehen, die auf das Netzwerk oder die Instanz angewendet werden.
Enthält die Berechtigung compute.networks.getEffectiveFirewalls für Netzwerke und die Berechtigung compute.instances.getEffectiveFirewalls für Instanzen.

Im folgenden Beispiel kann Joe alle hierarchischen Firewallrichtlinien im Ordner policies erstellen, ändern und löschen. Er kann die hierarchische Firewallrichtlinie aber keinem Ordner hinzufügen, da er für keinen Ordner die Rolle orgSecurityResourceAdmin hat.

Da Joe jedoch Mary die Berechtigung zur Verwendung von policy-1 gewährt hat, kann sie diese hierarchische Firewallrichtlinie auflisten und mit dem Ordner dev-projects oder einem seiner untergeordneten Elemente verknüpfen. Die Rolle orgFirewallPolicyUser gewährt keine Berechtigung zum Verknüpfen der Richtlinien mit Ordnern. Der Nutzer muss auch die Rolle orgSecurityResourceAdmin für den Zielordner haben.

policy-1-Beispiel
policy-1-Beispiel

Hierarchische Firewallrichtlinienressourcen verwalten

Mit einer hierarchischen Firewallrichtlinie wird lediglich ein Satz Firewallregeln definiert, jedoch nicht angegeben, wo sie angewendet werden. Daher können Sie diese Ressourcen in einem anderen Teil der Hierarchie als den Knoten erstellen, auf die sie angewendet werden. Dadurch können Sie eine einzelne hierarchische Firewallrichtlinienressource mit mehreren Ordnern in der Organisation verknüpfen.

Im folgenden Beispiel wird policy-1 auf die Ordner dev-projects und corp-projects angewendet und für alle Projekte in diesen Ordnern erzwungen.

Speicherort und Verknüpfung von Richtlinien
Speicherort und Verknüpfung von Richtlinien

Regeln einer Richtlinie ändern

Sie können Regeln einer Richtlinie hinzufügen, daraus entfernen und ändern. Jede Änderung wird einzeln durchgeführt. Es gibt keinen Mechanismus für Regeln für die Batch-Aktualisierung in einer Richtlinie. Änderungen werden ungefähr in der Reihenfolge angewendet, in der die Befehle ausgeführt werden. Dies ist jedoch nicht garantiert.

Wenn Sie umfangreiche Änderungen an einer hierarchischen Firewallrichtlinie vornehmen und dafür sorgen möchten, dass sie gleichzeitig angewendet werden, können Sie die Richtlinie in eine temporäre Richtlinie klonen und die temporäre Richtlinie den gleichen Knoten zuweisen. Sie können dann Änderungen am Original vornehmen und das Original dann wieder den Knoten zuweisen. Die dafür erforderlichen Schritte finden Sie unter Regeln von einer Richtlinie in eine andere klonen.

Im folgenden Beispiel ist policy-1 mit dem Ordner dev-projects verknüpft. Sie möchten mehrere Änderungen vornehmen, die atomar angewendet werden. Erstellen Sie eine neue Richtlinie mit dem Namen scratch-policy und kopieren Sie dann alle vorhandenen Regeln von policy-1 nach scratch-policy, um sie zu bearbeiten. Kopieren Sie nach Abschluss der Bearbeitung alle Regeln von scratch-policy zurück nach policy-1.

Richtlinie ändern
Richtlinie ändern

Richtlinie verschieben

Hierarchische Firewallrichtlinien wie Projekte sind einem Ordner oder einer Organisationsressource untergeordnet. Bei einer Weiterentwicklung des Ordnerschemas müssen Sie möglicherweise eine hierarchische Firewallrichtlinie in einen neuen Ordner verschieben, z. B. vor dem Löschen eines Ordners. Richtlinien eines Ordners werden gelöscht, wenn der Ordner gelöscht wird.

Das folgende Diagramm zeigt Verknüpfungen zum Verschieben einer Richtlinie zwischen Knoten oder die Auswertung von Regeln in der Richtlinie.

Richtlinie verschieben
Richtlinie verschieben

Hierarchische Firewallrichtlinie mit einem Ordner verknüpfen

Eine hierarchische Firewallrichtlinie wird nur erzwungen, wenn sie mit einem Organisations- oder Ordnerknoten verknüpft ist. Nachdem sie verknüpft wurde, wird sie auf alle VMs in allen Netzwerken unter dieser Organisation oder diesem Ordner angewendet.

Richtlinie verknüpfen
Richtlinie verknüpfen

Änderungen an der Ressourcenhierarchie

Es kann einige Zeit dauern, bis Änderungen an der Ressourcenhierarchie im System wirksam werden. Sie sollten gleichzeitige Aktualisierungen an den Zuordnungen von hierarchischen Firewallrichtlinien und der Ressourcenhierarchie vermeiden. Der Grund hierfür ist, dass die am neuen Speicherort in der Hierarchie definierte hierarchische Firewallrichtlinie möglicherweise nicht sofort von Netzwerken übernommen werden kann.

Richtlinie verschieben
Richtlinie verschieben

Wenn Sie beispielsweise den Ordner dept-A aus dem Ordner dev-projects in den Ordner eng-projects verschieben und policy-1 mit eng-projects statt dev-projects verknüpfen, heben Sie die Verknüpfung von policy-1 nicht gleichzeitig von dev-projects auf. Wenn der Ordner dev-projects seine Verknüpfung der hierarchischn Firewallrichtlinien verliert, bevor die Herkunft für alle ihm untergeordneten VPC-Netzwerke aktualisiert wurde, sind diese VPC-Netzwerke für kurze Zeit nicht durch policy-1 geschützt.

Hierarchische Firewallrichtlinien mit freigegebener VPC verwenden

In Szenarien mit freigegebenen VPCs gelten für eine VM-Schnittstelle, die mit einem Hostprojekt-Netzwerk verbunden ist, die hierarchischen Firewallregeln des Hostprojekts und nicht des Dienstprojekts.

VM in freigegebener VPC
VM in freigegebener VPC

Auch wenn sich die Dienstprojekte in einem anderen Ordner als dem Hostprojekt befinden, übernehmen die VM-Schnittstellen im freigegebenen Netzwerk die Einstellungen aus den Ordnerregeln des Hostprojekts.

Dienstprojekt-VMs übernehmen Regeln vom Hostprojekt
Dienstprojekt-VMs übernehmen Regeln vom Hostprojekt

Hierarchische Firewallrichtlinien mit VPC-Netzwerk-Peering verwenden

In Szenarien für VPC-Netzwerk-Peering werden die Richtlinien in der Hierarchie der entsprechenden VPC-Netzwerke von der VM-Schnittstelle übernommen, die den einzelnen VPC-Netzwerken zugeordnet ist. Im Folgenden finden Sie ein Beispiel für VPC-Netzwerk-Peering, bei dem die VPC-Peering-Netzwerke verschiedenen Organisationen angehören.

VMs übernehmen Richtlinien von entsprechenden Netzwerken
VMs übernehmen Richtlinien von entsprechenden Netzwerken

Nächste Schritte