Descripción general de las políticas de firewall jerárquico

Las políticas de firewall jerárquico te permiten crear y aplicar una política de firewall coherente en toda tu organización. Puedes asignar políticas de firewall jerárquico a toda la organización o a carpetas individuales. Estas políticas contienen reglas que pueden denegar o permitir explícitamente las conexiones, al igual que las reglas de firewall para la nube privada virtual (VPC). Además, las reglas de política de firewall jerárquico pueden delegar la evaluación a políticas de nivel inferior o reglas de firewall de red de VPC con una acción goto_next.

Las reglas de nivel inferior no pueden anular una regla de un lugar más alto en la jerarquía de recursos. Esto permite que los administradores de toda la organización administren las reglas de firewall fundamentales en un solo lugar.

Especificaciones

  • Las políticas de firewall jerárquico se pueden especificar en los nodos de la organización y de la carpeta.
  • Las políticas de firewall jerárquico son contenedores para las reglas de firewall. Cuando asocias una política con la organización o una carpeta, todas las reglas se aplican de inmediato. Puedes intercambiar políticas para un nodo, que intercambia de forma atómica todas las reglas de firewall aplicadas a la instancia de máquina virtual (VM) en ese nodo.
  • La evaluación de las reglas es jerárquica en función de la jerarquía de recursos. Se evalúan todas las reglas asociadas con el nodo de organización, seguidas de las del primer nivel de carpetas, y así sucesivamente.
  • Las reglas de política de firewall jerárquico tienen una acción goto_next nueva que puedes usar para delegar la evaluación de conexión a niveles inferiores de la jerarquía.
  • Las reglas de políticas de firewall jerárquico se pueden orientar a redes y VM de VPC específicas mediante el uso de recursos de destino. Esto te permite crear excepciones para grupos de VM.
  • Una nueva función te permite ver qué reglas de firewall se aplican a una red o interfaz de VM específica, lo que ayuda con el cumplimiento y la depuración.

Jerarquía de recursos

Crea y aplica políticas de firewall como pasos separados. Puedes crear y aplicar políticas de firewall en la organización o en los nodos de carpetas de la jerarquía de recursos. Una regla de política de firewall puede bloquear conexiones, permitir conexiones o posponer la evaluación de reglas de firewall a carpetas de nivel inferior o reglas de firewall de VPC definidas en redes de VPC.

  • La organización es el nodo de nivel superior en la jerarquía de recursos en Google Cloud, en el que puedes crear o asociar políticas de firewall jerárquicas. Todas las carpetas y redes de VPC de la organización heredan esta política.

  • Las carpetas son nodos de nivel medio en la jerarquía de recursos de Google Cloud, entre la organización y los proyectos, en los que puedes crear o asignar políticas de firewall jerárquico. Todas las carpetas y redes de VPC en una carpeta heredan su política asociada.

  • Un proyecto reside en una carpeta o en la organización. Puedes mover proyectos entre nodos en una organización. Los proyectos contienen redes de VPC. Las políticas de firewall jerárquico no se pueden asignar a los proyectos, solo a la organización o carpetas.

  • Una red de VPC es la partición de Google Cloud para la comunicación del espacio IP interno aislado. Este es el nivel en el que se especifican y se aplican las rutas y las reglas de firewall de VPC tradicionales. Las reglas de políticas de firewall jerárquico pueden anular las reglas de firewall de red o pueden delegarles la evaluación de conexión.

Según la configuración predeterminada, todas las reglas de políticas de firewall jerárquico se aplican a todas las VM en todos los proyectos de la organización o carpeta en la que está asociada la política. Sin embargo, puedes restringir qué VM obtienen una regla si especificas una red de destino o una cuenta de servicio de destino.

En el siguiente diagrama, se representan los niveles de la jerarquía en la que se pueden aplicar las reglas de firewall. Los cuadros amarillos representan políticas de firewall jerárquicas que contienen reglas de firewall, mientras que los cuadros blancos representan reglas de firewall de VPC.

Políticas de firewall jerárquico que contienen reglas (cuadros amarillos) a nivel de la organización y de la carpeta y reglas de firewall de VPC a nivel de la red de VPC
Políticas de firewall jerárquico que contienen reglas (cuadros amarillos) a nivel de organización y carpeta, y reglas de firewall de VPC a nivel de red de VPC

Evaluación de reglas

Las reglas de políticas de firewall jerárquico se aplican a nivel de VM, al igual que las reglas de firewall de VPC. Es decir, no se aplican en el perímetro de la red como lo harían los firewalls tradicionales.

Google Cloud evalúa las reglas de política de firewall jerárquicas y las reglas de firewall de VPC en este orden:

  1. Si una política de firewall está asociada con una organización, Google Cloud evalúa las reglas de esa política aplicadas a la VM. Cada regla hace que las conexiones se permitan o se rechacen, o la regla puede indicar a la evaluación de firewall que vaya al siguiente nivel de la jerarquía, que puede ser una carpeta o una red de VPC.
  2. Google Cloud evalúa las reglas de políticas asociadas con cada carpeta, comenzando por la carpeta superior en la organización y bajando por las carpetas secundarias, si están presentes.

    La evaluación de cada regla hace que se permitan o rechacen las conexiones, o bien la regla puede indicar a la evaluación de firewall que pase al siguiente nivel de la jerarquía, que es otra carpeta o una red de VPC.

  3. Por último, se evalúan las reglas de firewall de VPC. Las reglas de firewall de VPC permiten o rechazan conexiones.

Flujo de resolución de reglas de firewall
Flujo de resolución de reglas de firewall

Detalles de la política de firewall jerárquico

Las reglas de la política de firewall jerárquico se definen en un recurso de política de firewall que actúa como un contenedor para las reglas de firewall. Las reglas definidas en una política de firewall no se aplican hasta que la política se asocia con un nodo (una organización o una carpeta).

Una sola política se puede asociar con varios nodos. Si modificas una regla en una política, ese cambio de reglas se aplica a todos los nodos asociados en la actualidad.

Solo se puede asociar una política de firewall con un nodo. Las reglas de la política de firewall jerárquico y las reglas de firewall de VPC se evalúan en un orden bien definido.

Nombres de políticas

Cuando creas una política nueva, Google Cloud genera automáticamente un ID para la política. Además, también debes especificar un nombre comercial para la política. Cuando se usa la interfaz gcloud para actualizar una política existente, puedes hacer referencia al ID generado por el sistema o a una combinación del nombre visible y el ID de tu organización. Cuando uses la API para actualizar la política, debes proporcionar el ID generado por el sistema.

Detalles de la regla de políticas de firewall jerárquico

Las políticas de firewall jerárquico contienen reglas que generalmente funcionan de la misma manera que las reglas de firewall de VPC, pero hay algunas diferencias.

Priority

  • A diferencia de las reglas de firewall de VPC, donde varias reglas pueden tener la misma prioridad, las reglas de política de firewall jerárquico deben tener una prioridad específica y cada prioridad debe ser única dentro de una política de firewall.

  • Las reglas de políticas de firewall jerárquico no tienen nombres. En su lugar, la política de firewall tiene un ID y un nombre, y cada regla tiene un número de prioridad único.

  • Dentro de una política de firewall jerárquico, las reglas de firewall se evalúan en orden de prioridad, a partir de la regla de mayor prioridad (número más bajo). Por lo tanto, una regla con prioridad 0 en una política asignada al nodo de la organización anula cualquier otra regla en la organización.

Acción en casos de coincidencia

  • allow
    Una regla de política de firewall jerárquica allow anula cualquier regla deny con una prioridad inferior o un nivel inferior en la jerarquía. Usa reglas allow en una política de carpeta o de organización para permitir de manera incondicionalmente ciertos tipos de conexiones a todas las VM en ese nodo en la jerarquía.

    Por ejemplo, si tienes sistemas de sondeo administrados que supervisan todas las VM de tu organización, puedes crear una regla allow a nivel de la organización para asegurarte de que las solicitudes de las direcciones IP de los sondeos no estén bloqueadas por las cualquier red en cualquier proyecto.

  • deny
    Una regla de firewall jerárquica deny anula cualquier regla allow con una prioridad más baja o en un nivel inferior en la jerarquía.

    Por ejemplo, si quieres asegurarte de que no se pueda acceder a ninguna de las VM de tu organización desde un rango de IP específico, puedes crear una regla deny para ese rango.

  • goto_next
    Dirige el firewall para mover la evaluación de firewall al siguiente nivel inferior de la jerarquía. Puedes usar esto para delegar tipos específicos de conexiones en niveles más bajos que administrar.

Redes objetivo

Puedes restringir una regla de política de firewall jerárquica a VM en solo redes especificadas. Especificar la red de destino en la regla te permite controlar qué redes de VPC se configuran con esa regla. Junto con goto_next o allow, te permite crear excepciones para redes específicas cuando deseas definir una política de otra manera.

Cuentas de servicio objetivo

Puedes especificar una cuenta de servicio de destino para una regla. Estas reglas se aplican solo a las VM que pertenecen a la cuenta de servicio especificada. Las reglas de políticas de firewall jerárquico no admiten la orientación por etiquetas de instancia.

Protocols and ports

Al igual que las reglas de firewall de VPC, debes especificar una o más restricciones de protocolo y puerto cuando creas una regla. Cuando especificas TCP o UDP en una regla, puedes especificar el protocolo, y un puerto, o el protocolo y un rango de puertos, pero no puedes especificar solo un puerto o un rango de puertos. Para ICMP, especifica icmp. Las reglas de firewall no admiten la especificación de códigos y tipos de ICMP.

Logging

El registro para las reglas de políticas de firewall jerárquico funciona de la misma manera que para el registro de reglas de firewall de VPC, excepto por lo siguiente:

  • El campo de referencia incluye el ID de la política de seguridad y un número que indica el nivel jerárquico del nodo al que se adjuntó la política. Por ejemplo, 0 significa que la política se aplica a una organización y 1 significa que la política se aplica a una carpeta de nivel superior dentro de la organización.

  • Los registros para las reglas de política de firewall jerárquico incluyen un campo target_resource que identifica las redes de VPC a las que se aplica la regla.

El registro solo se puede habilitar para las reglas allow y deny. no se puede habilitar para las reglas goto_next.

Reglas predefinidas

Todas las políticas de firewall jerárquica tienen dos reglas predefinidas goto_next con menor prioridad. Estas reglas se aplican a cualquier conexión que no coincida con una regla definida explícitamente en la política, lo que hace que esas conexiones pasen a políticas de nivel inferior o reglas de red.

  • Una regla de salida con prioridad muy baja (2147483646) que envía el procesamiento de la conexión al siguiente nivel inferior de evaluación (goto_next).
  • Una regla de entrada con una prioridad muy baja (2147483647) que envía el procesamiento de la conexión al siguiente nivel inferior de evaluación (goto_next).

Estas reglas predefinidas son visibles, pero no pueden modificarse ni borrarse.

Funciones de administración de identidades y accesos (IAM)

Las siguientes funciones son relevantes para las políticas de firewall jerárquicas.

Nombre de la función Descripción
compute.orgSecurityPolicyAdmin Si se otorga a nivel de la organización o a una carpeta, permite a los usuarios crear, actualizar y borrar políticas de seguridad jerárquicas y sus reglas. También permite que el administrador asocie una política con un nodo si también tiene la función compute.orgSecurityResourceAdmin en ese nodo.
compute.orgSecurityResourceAdmin Si se otorga a nivel de la organización o a una carpeta, permite que los administradores a nivel de carpeta asocien una política con ese nodo. Los administradores también deben tener la función compute.orgSecurityPolicyUser en el nodo que posee la política para usarla.
compute.orgSecurityPolicyUser Otorgado a nivel de la organización o a una carpeta, permite a los administradores usar políticas asociadas con la organización o la carpeta. Los usuarios también deben tener la función compute.orgSecurityResourceAdmin en el nodo de destino para asociar una política con ese nodo.
compute.securityAdmin
compute.viewer
compute.securityReadOnly
compute.networkUser
compute.networkViewer
Permite a los usuarios ver las reglas de firewall aplicadas a la red o instancia.
Incluye el permiso compute.networks.getEffectiveFirewalls para redes y el compute.instances.getEffectiveFirewalls para instancias.

En el siguiente ejemplo, Joe puede crear, modificar y borrar cualquier política de firewall jerárquica en la carpeta policies, pero no puede adjuntar la política de firewall jerárquica a una carpeta porque no tiene la función orgSecurityResourceAdmin en cualquier carpeta.

Sin embargo, debido a que Joe le otorgó permisos a Mary para usar policy-1, puede enumerar y asociar esa política de firewall jerárquico con la carpeta dev-projects o cualquiera de sus descendentes. La función orgSecurityPolicyUser no otorga permiso para asociar las políticas a ninguna carpeta, por lo que el usuario también debe tener la función orgSecurityResourceAdmin en la carpeta de destino.

Ejemplo de policy-1
ejemplo de policy-1

Administra recursos de políticas de firewall jerárquico

Debido a que una política de firewall jerárquico solo define un conjunto de reglas de firewall y no donde se aplican, puedes crear estos recursos en una parte diferente de la jerarquía de los nodos a los que se aplican. Esto te permite asociar un único recurso de política de firewall jerárquico con varias carpetas de la organización.

En el siguiente ejemplo, policy-1 se aplica a las carpetas dev-projects y corp-projects, por lo que se aplica en todos los proyectos de esas carpetas. Debido a que no se aplica a la carpeta policies, no se aplica a project-C.

Ubicación de la política y asociación
Ubicación de la política y asociación

Modifica las reglas de una política

Puedes agregar, quitar y modificar las reglas en una política. Cada cambio se realiza de forma individual; no existe un mecanismo para actualizar reglas por lotes en una política. Los cambios se aplican aproximadamente en el orden en que se ejecutan los comandos, aunque esto no está garantizado.

Si realizas cambios extensos en una política de firewall jerárquico y necesitas asegurarte de que se apliquen al mismo tiempo, puedes clonar la política en una política temporal y asignar la política temporal a los mismos nodos. Luego, puedes hacer los cambios al original y, luego, asignar el original a los nodos. Para obtener información sobre los pasos, consulta Copia reglas de una política a otra.

En el siguiente ejemplo, policy-1 se adjunta a la carpeta dev-projects y deseas realizar varios cambios que se apliquen de forma atómica. Crea una nueva política llamada scratch-policy y, luego, copia todas las reglas existentes de policy-1 a scratch-policy para editarla. Cuando termines de editar, vuelve a copiar todas las reglas de scratch-policy a policy-1.

Modifica una política
Modifica una política

Mueve una política

Las políticas de firewall jerárquicas, como los proyectos, están vinculadas a una carpeta o recurso de organización. A medida que evoluciona el esquema de carpetas, es posible que debas mover una política de firewall jerárquica a una carpeta nueva, tal vez antes de que se borre una carpeta. Las políticas que son propiedad de una carpeta se borran si se borra.

En el siguiente diagrama, se ilustra cómo mover una política entre nodos o la evaluación de reglas en la política.

Mueve una política
Mueve una política

Asocia una política de firewall jerárquico con una carpeta

Una política de firewall jerárquica no se aplica a menos que esté asociada con una organización o un nodo de carpeta. Después de que se asocia, se aplica a todas las VM en todas las redes de esa organización o carpeta.

Asocia una política
Asocia una política

Cambios en la jerarquía de recursos

Los cambios en la jerarquía de recursos pueden tardar un poco en propagarse a través del sistema. Te recomendamos evitar las actualizaciones simultáneas de los adjuntos de la política de firewall jerárquico y la jerarquía de recursos, ya que las redes podrían no heredar de inmediato la política de firewall jerárquico definida en la nueva ubicación en la jerarquía.

Mueve una política
Mueve una política

Por ejemplo, si mueves el dept-A de la carpeta dev-projects a la carpeta eng-projects carpeta y cambias la asociación de policy-1 para eng-projects en lugar de dev-projects, asegúrate de no desvincular policy-1 de dev-projects al mismo tiempo. Si la carpeta dev-projects pierde su asociación de política de firewall jerárquica antes de que todas sus redes de VPC se hayan actualizado, durante un período breve esas redes de VPC no están protegidas por policy-1.

Usa políticas de firewall jerárquico con VPC compartida

En situaciones de VPC compartida, una interfaz de VM conectada a una red de proyecto host se rige por las reglas de política de firewall jerárquicas del proyecto host.

VM en VPC compartida
VM en la VPC compartida

Incluso si los proyectos de servicio están en una carpeta diferente a la del proyecto host, las interfaces de VM en la red compartida se heredan de las reglas de la carpeta del proyecto host.

Las VM del proyecto de servicio heredan las reglas del proyecto host
Las VM del proyecto de servicio heredan reglas del proyecto host

Usa políticas de firewall jerárquico con intercambio de tráfico entre redes de VPC

En situaciones de intercambio de tráfico entre redes de VPC, la interfaz de VM asociada a cada una de las redes de VPC hereda las políticas de la jerarquía en las redes de VPC respectivas. A continuación se muestra un ejemplo de intercambio de tráfico entre redes de VPC en el que las redes de intercambio de tráfico de VPC pertenecen a organizaciones diferentes.

Las VM se heredan de las redes respectivas.
Las VM se heredan de las redes respectivas

Reglas de firewall eficaces

Debido a que las conexiones se rigen por reglas de políticas de firewall jerárquico y reglas de firewall de VPC, es útil ver todas las reglas de firewall que afectan a una red individual o a una interfaz de VM individual.

Es posible que los administradores a nivel de proyecto no tengan permiso para ver las reglas en las políticas de firewall jerárquico que afectan sus VM. Sin embargo, si un usuario tiene permisos para ver las reglas de firewall de una red, puede ver todas las reglas que se aplican a la red, incluso si las reglas se heredan de una carpeta o de la organización.

Política de seguridad efectiva de la red

Puedes ver todas las reglas de firewall aplicadas a una red de VPC. La lista incluye todas las reglas heredadas de las políticas de firewall jerárquicas y todas las reglas aplicadas desde la red de VPC.

Reglas de firewall efectivas de instancias

Puedes ver todas las reglas de firewall aplicadas a la interfaz de red de una VM. La lista incluye todas las reglas heredadas de las políticas de firewall jerárquico y todas las reglas aplicadas desde la red de VPC de la interfaz.

Las reglas se ordenan desde el nivel de la organización hasta las reglas de VPC. Solo se muestran las reglas que se aplican a la interfaz de VM. Las reglas de otras políticas no se muestran, por lo que un usuario no puede ver la política de seguridad general de la organización.

Qué sigue