Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Puedes asignar políticas de firewall jerárquicas a toda la organización o a carpetas individuales. Estas políticas contienen reglas que pueden rechazar o permitir las conexiones de forma explícita, al igual que las reglas de firewall de la nube privada virtual (VPC).
Además, las reglas de políticas de firewall jerárquicas pueden delegar la evaluación a políticas de nivel inferior o a las reglas de firewall de la red de VPC con una acción goto_next.
Las reglas de nivel inferior no pueden anular una regla de un nivel superior en la jerarquía de recursos. Esto permite que los administradores de toda la organización administren las reglas de firewall fundamentales en un solo lugar.
Especificaciones
- Las políticas jerárquicas de firewall se crean en nodos de organización y carpeta. La creación de una política no aplica automáticamente las reglas al nodo.
- Las políticas, una vez creadas, se pueden aplicar (asociadas a) a cualquier nodo de la organización.
- Las políticas de firewall jerárquicas son contenedores para las reglas de firewall. Cuando asocias una política con la organización o una carpeta, todas las reglas se aplican de inmediato. Puedes intercambiar políticas para un nodo, lo cual intercambia de forma atómica todas las reglas de firewall que se aplicaron a instancias de máquinas virtuales (VM) en ese nodo.
- La evaluación de reglas es jerárquica según la jerarquía de recursos. Se evalúan todas las reglas asociadas al nodo de la organización, seguidas por las que se encuentran en el primer nivel de carpetas y así sucesivamente.
- Las reglas de políticas de firewall jerárquicas tienen una acción
goto_nextnueva que puedes usar para delegar la evaluación de conexión a niveles inferiores de la jerarquía.
Las reglas de políticas de firewall jerárquicas se pueden usar para configurar la inspección de la capa 7 del tráfico coincidente, como el servicio de prevención de intrusiones.
Crea una regla de política de firewall con la acción
apply_security_profile_groupy el nombre del grupo de perfil de seguridad. El tráfico que coincide con la regla de política de firewall se intercepta y se reenvía de forma transparente al extremo de firewall para la inspección de la capa 7 y de vuelta. Para aprender a crear una regla de política de firewall, consulta Crea reglas de firewall.
- Las reglas de políticas jerárquicas de firewall deben segmentarse a redes de VPC y VM específicas mediante el uso de recursos de destino para redes y cuentas de servicio objetivo para VM. Esto te permite crear excepciones para grupos de VM. Las reglas de políticas de firewall jerárquicas no son compatibles con la elección de un destino mediante etiquetas de instancia.
- Cada regla de política de firewall jerárquica puede incluir rangos de IPv4 o IPv6, pero no ambos.
- A fin de ayudar con el cumplimiento y la depuración, las reglas de firewall aplicadas a una instancia de VM se pueden auditar mediante la página de detalles de la red de VPC y la página de detalles de la interfaz de red de la instancia de VM.
Jerarquía de recursos
Puedes crear y aplicar políticas de firewall como pasos independientes. Puedes crear y aplicar políticas de firewall en los nodos de la organización o de la carpeta de la jerarquía de recursos. Una regla de políticas de firewall puede bloquear conexiones, permitirlas o aplazar la evaluación de reglas de firewall en carpetas de nivel inferior o reglas de firewall de VPC definidas en redes de VPC.
La organización es el nodo de nivel superior en la jerarquía de recursos de Google Cloud en la que puedes crear o asociar políticas de firewall jerárquicas. Todas las carpetas y las redes de VPC de la organización heredan esta política.
Las carpetas son nodos de nivel intermedio en la jerarquía de recursos de Google Cloud, entre la organización y los proyectos, en los que puedes crear o asignar políticas de firewall jerárquicas. Todas las carpetas y redes de VPC de una carpeta heredan su política asociada.
Un proyecto reside en una organización o carpeta. Puedes mover proyectos entre los nodos de una organización. Los proyectos contienen redes de VPC. Las políticas de firewall jerárquicas no se pueden asignar a proyectos, solo a la organización o a las carpetas.
Una red de VPC es la partición de Google Cloud para la comunicación de espacios de IP interna aislada. Este es el nivel en el que se especifican y aplican las rutas, las políticas de firewall de red y las reglas de firewall de VPC tradicionales. Las reglas de políticas de firewall jerárquicas pueden anular o delegar la evaluación de conexión a las reglas y políticas de firewall de red globales.
De forma predeterminada, todas las reglas de políticas de firewall jerárquicas se aplican a todas las VM en todos los proyectos de la organización o la carpeta a la que está asociada la política. Sin embargo, puedes restringir qué VM obtienen una regla determinada si especificas las redes de destino o cuentas de servicio objetivo.
Los niveles de la jerarquía en los que se pueden aplicar las reglas de firewall se representan en el siguiente diagrama. Los cuadros amarillos representan políticas de firewall jerárquicas que contienen reglas de firewall, y los cuadros blancos representan reglas de firewall de VPC.
Detalles de las políticas de firewall jerárquicas
Las reglas de políticas de firewall jerárquicas se definen en un recurso de política de firewall que actúa como un contenedor para las reglas de firewall. Las reglas que se definen en una política de firewall no se aplican hasta que la política esté asociada con un nodo (una organización o una carpeta).
Se puede asociar una sola política con varios nodos. Si modificas una regla en una política, esa modificación se aplica a todos los nodos asociados en la actualidad.
Solo se puede asociar una política de firewall con un nodo. Las reglas de políticas de firewall jerárquicas y las reglas de firewall de VPC se evalúan en un orden bien definido.
Una política de firewall que no está asociada con ningún nodo es una política de firewall jerárquica no asociada.
Nombres de políticas
Cuando creas una política nueva, Google Cloud genera un ID para la política de forma automática. Además, debes especificar un nombre corto para la política.
Cuando usas la interfaz de gcloud para actualizar una política existente, puedes hacer referencia
al ID generado por el sistema o a una combinación del nombre corto y el
ID de la organización. Cuando usas la API para actualizar la política, debes proporcionar el ID que generó el sistema.
Detalles de las reglas de políticas de firewall jerárquicas
Las reglas de políticas de firewall jerárquicas funcionan igual que las reglas de políticas de firewall y las reglas de firewall de VPC, pero existen algunas diferencias:
Las políticas de firewall jerárquicas admiten redes de destino, mientras que las políticas de firewall de red globales no lo hacen. Puedes especificar redes de destino para restringir una regla de política de firewall a las VMs en las redes especificadas. Especificar las redes de VPC en la regla te permite controlar qué redes están configuradas con esa regla.
Si la combinas con
goto_nextoallow, especificar redes de destino te permite crear excepciones para redes específicas cuando quieras definir una política que de otra manera estaría restringida.Las políticas de firewall jerárquicas no tienen integración segura con etiquetas.
Las políticas de firewall jerárquicas son recursos a nivel de la organización, mientras que las políticas de firewall de red globales son recursos a nivel de proyecto.
Reglas predefinidas
Cuando creas una política jerárquica de firewall, Cloud Next Generation Firewall agrega reglas predefinidas con la prioridad más baja a la política. Estas reglas se aplican a cualquier conexión que no coincida con una regla definida de manera explícita en la política, lo que provoca que esas conexiones se pasen a políticas o reglas de red de nivel inferior.
Para obtener información sobre los distintos tipos de reglas predefinidas y sus características, consulta Reglas predefinidas.
roles de Identity and Access Management (IAM)
Las funciones de IAM rigen las siguientes acciones en relación con las políticas jerárquicas de firewall:
- Crear una política que se resida en un nodo determinado
- Asociar una política a un nodo en particular
- Modificar una política existente
- Visualizar las reglas de firewall vigentes para una red o VM en particular
En la siguiente tabla, se describen las funciones necesarias para cada paso:
| Capacidad | Función necesaria |
|---|---|
| Crear una nueva política jerárquica de firewall | compute.orgFirewallPolicyAdmin en el nodo donde residirá la política |
| Asociar una política a un nodo | El rol compute.orgSecurityResourceAdmin en el nodo de destino y el rol compute.orgFirewallPolicyAdmin o compute.orgFirewallPolicyUser el nodo en el que reside la política o la política en sí |
| Modificar la política agregando, actualizando o borrando reglas de firewall de la política | Función compute.orgFirewallPolicyAdmin en el nodo en el que reside la política o en la política |
| Borrar la política | Función compute.orgFirewallPolicyAdmin en el nodo en el que reside la política o en la política |
| Visualizar las reglas de firewall vigentes para una red de VPC | Cualquiera de los siguientes roles para la red: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Visualizar las reglas de firewall vigentes para una VM en una red | Cualquiera de los siguientes roles para la VM: compute.instanceAdmin compute.securityAdmin compute.viewer |
Las siguientes funciones son pertinentes a las políticas de firewall jerárquicas.
| Nombre de la función | Descripción |
|---|---|
| compute.orgFirewallPolicyAdmin | Se puede otorgar en un nodo o en una política individual. Si se otorga en un nodo,
permite a los usuarios crear, actualizar y borrar políticas jerárquicas de firewall y
sus reglas. Si se otorga en una política individual, permite que el usuario actualice
reglas de la política, pero no que cree o borre la política. Esta función también permite
al usuario asociar una política a un nodo si también tiene la función
compute.orgSecurityResourceAdmin en ese nodo. |
| compute.orgSecurityResourceAdmin | Se otorga a nivel de organización o a una carpeta y permite que los administradores a nivel de carpeta asocien una política con ese nodo. Los administradores también
deben tener la función compute.orgFirewallPolicyUser o
compute.orgFirewallPolicyAdmin en el nodo que
es propietario de la política o en la política para poder usarla. |
| compute.orgFirewallPolicyUser | Si se otorga en un nodo o en una política individual permite que los administradores
utilicen la política individual o las políticas asociadas al nodo. Los usuarios también deben tener la función compute.orgSecurityResourceAdmin en el nodo de destino para asociar una política con ese nodo. |
|
compute.securityAdmin compute.viewer compute.networkUser compute.networkViewer |
Permite que los usuarios vean las reglas de firewall que se aplicaron a la red o a la instancia. Incluye el permiso compute.networks.getEffectiveFirewalls para las redes y el compute.instances.getEffectiveFirewalls para las instancias. |
En el siguiente ejemplo, Joe puede crear, modificar y borrar cualquier política de firewall jerárquica en la carpeta policies, pero no puede adjuntar la política de firewall jerárquica a una carpeta porque no tiene la función orgSecurityResourceAdmin en ninguna.
Sin embargo, dado que Joe le otorgó a Mary permisos para usar policy-1, puede enumerar y asociar esa política de firewall jerárquica con la carpeta dev-projects o cualquiera de sus descendientes. La función orgFirewallPolicyUser no otorga permisos para asociar las políticas a ninguna carpeta, el usuario también debe tener la función orgSecurityResourceAdmin en la carpeta de destino.
Administra recursos de políticas de firewall jerárquicas
Debido a que una política de firewall jerárquica solo define un conjunto de reglas de firewall y no dónde se aplican, puedes crear estos recursos en una parte de la jerarquía diferente de los nodos a los que se aplican. Esto te permite asociar un solo recurso de política de firewall jerárquica con varias carpetas en la organización.
En el siguiente ejemplo, policy-1 se aplica a las carpetas dev-projects y corp-projects y, por lo tanto, a todos los proyectos dentro de esas carpetas.
Modifica las reglas de una política
Puedes agregar, quitar y modificar reglas en una política. Los cambios se realizan de forma individual, no hay un mecanismo para actualizar las reglas de una política por lotes. Los cambios se aplican en el orden aproximado en que se ejecutan, aunque esto no está garantizado.
Si realizas cambios grandes a una política de firewall jerárquica y necesitas asegurarte de que se apliquen al mismo tiempo, puedes clonar la política en una política temporal y asignarla a los mismos nodos. Después, puedes hacer los cambios en la original y, luego, asignarla a los nodos. Si deseas obtener los pasos para realizar esta tarea, consulta Clona reglas de una política a otra.
En el siguiente ejemplo, policy-1 se adjunta a la carpeta dev-projects; te recomendamos realizar varios cambios que se apliquen de forma automática. Crea una política nueva llamada scratch-policy y, luego, copia todas las reglas existentes de policy-1 a scratch-policy para editarla. Cuando termines de editar, vuelve a copiar todas las reglas de scratch-policy a policy-1.
Mueve una política
Las políticas de firewall jerárquicas, como los proyectos, tienen un recurso de carpeta o de organización superior. A medida que evoluciona el esquema de las carpetas, es posible que debas mover una política de firewall jerárquica a una carpeta nueva, quizás antes de la eliminación de una carpeta. Si se borra una carpeta, también se borran las políticas dentro de ella.
En el siguiente diagrama, se ilustran las asociaciones del movimiento de una política entre nodos o la evaluación de reglas en la política.
Asocia una política de firewall jerárquica con una carpeta
Una política de firewall jerárquica no se aplica, a menos que esté asociada con un nodo de organización o de carpeta. Una vez que se asocia, se aplica a todas las VM en todas las redes de esa organización o carpeta.
Cambios en la jerarquía de recursos
Es posible que los cambios en la jerarquía de recursos tomen un tiempo en propagarse en el sistema. Te recomendamos evitar las actualizaciones simultáneas de los adjuntos de la política de firewall jerárquica y de la jerarquía de recursos, ya que las redes podrían no heredar de inmediato la política de firewall jerárquica definida en la ubicación nueva en la jerarquía.
Por ejemplo, si mueves la carpeta dept-A de la carpeta dev-projects a la carpeta eng-projects y cambias la asociación de policy-1 por eng-projects en lugar de dev-projects, asegúrate de no desasociar policy-1 de dev-projects al mismo tiempo. Si la carpeta dev-projects pierde su asociación de política de firewall jerárquica antes de que todas las redes de VPC que contiene actualicen sus principales, policy-1 no protegerá a esas redes de VPC por un corto período.
Usa políticas de firewall jerárquicas con VPC compartida
En situaciones de VPC compartida, una interfaz de VM conectada a una red de proyecto host se rige por las reglas de políticas de firewall jerárquicas del proyecto host, no del proyecto de servicio.
Incluso si los proyectos de servicio están en una carpeta diferente a la del proyecto host, las interfaces de VM en la red compartida aún heredan de las reglas de la carpeta del proyecto host.
Usa políticas de firewall jerárquicas con intercambio de tráfico entre redes de VPC
En situaciones de intercambio de tráfico entre redes de VPC, la interfaz de VM asociada con cada una de las redes de VPC hereda las políticas en la jerarquía de las respectivas redes de VPC. A continuación, se muestra un ejemplo de intercambio de tráfico entre redes de VPC en el que las redes con intercambio de tráfico de VPC pertenecen a organizaciones diferentes.
¿Qué sigue?
- Para crear y modificar reglas y políticas de firewall jerárquicas, consulta Usa políticas de firewall jerárquicas.
- Para ver ejemplos de implementaciones de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.